Busca alias en los registros AWS CloudTrail - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Busca alias en los registros AWS CloudTrail

Puede usar un alias para representar a un AWS KMS key en una AWS KMS API operación. Cuando lo hace, el alias y la clave ARN de la KMS clave se registran en la entrada de AWS CloudTrail registro del evento. El alias aparece en el campo requestParameters. La clave ARN aparece en el resources campo. Esto es cierto incluso cuando un AWS servicio utiliza una Clave administrada de AWS en tu cuenta.

Por ejemplo, la siguiente GenerateDataKeysolicitud utiliza el project-key alias para representar una KMS clave.

$ aws kms generate-data-key --key-id alias/project-key --key-spec AES_256

Cuando esta solicitud se registra en el CloudTrail registro, la entrada del registro incluye tanto el alias como la clave ARN de la KMS clave real que se utilizó. 

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "ABCDE",
        "arn": "arn:aws:iam::111122223333:role/ProjectDev",
        "accountId": "111122223333",
        "accessKeyId": "FFHIJ",
        "userName": "example-dev"
    },
    "eventTime": "2020-06-29T23:36:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.205.123.000",
    "userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12",
    "requestParameters": {
        "keyId": "alias/project-key",
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363",
    "eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

Para obtener más información sobre AWS KMS las operaciones de registro en CloudTrail los registros, consulteRegistrar AWS KMS API llamadas con AWS CloudTrail.