Busque alias en los registros AWS CloudTrail - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Busque alias en los registros AWS CloudTrail

Puedes usar un alias para representar una operación AWS KMS key en una AWS KMS API. Cuando lo hace, el alias y la clave ARN de la clave KMS se registran en la entrada de AWS CloudTrail registro del evento. El alias aparece en el campo requestParameters. El ARN de clave aparece en el campo resources. Esto es cierto incluso cuando un AWS servicio utiliza una Clave administrada de AWS en su cuenta.

Por ejemplo, la siguiente GenerateDataKeysolicitud usa el project-key alias para representar una clave de KMS.

$ aws kms generate-data-key --key-id alias/project-key --key-spec AES_256

Cuando esta solicitud se registra en el CloudTrail registro, la entrada del registro incluye el alias y la clave ARN de la clave KMS real que se utilizó. 

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "ABCDE",
        "arn": "arn:aws:iam::111122223333:role/ProjectDev",
        "accountId": "111122223333",
        "accessKeyId": "FFHIJ",
        "userName": "example-dev"
    },
    "eventTime": "2020-06-29T23:36:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.205.123.000",
    "userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12",
    "requestParameters": {
        "keyId": "alias/project-key",
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363",
    "eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

Para obtener más información sobre AWS KMS las operaciones de registro en CloudTrail los registros, consulteRegistrar llamadas a la AWS KMS API con AWS CloudTrail.