Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registrar llamadas a la AWS KMS API con AWS CloudTrail
AWS KMS está integrado con AWS CloudTrailun servicio que registra todas las llamadas realizadas AWS KMS por los usuarios, los roles y otros AWS servicios. CloudTrail captura todas las llamadas a la API AWS KMS como eventos, incluidas las llamadas desde la AWS KMS consola AWS KMS APIs, las AWS CloudFormation plantillas, el AWS Command Line Interface (AWS CLI) y Herramientas de AWS para PowerShell.
CloudTrail registra todas AWS KMS las operaciones, incluidas las operaciones de solo lectura, como ListAliasesy GetKeyRotationStatus, las operaciones que administran las claves de KMS, como CreateKeyy PutKeyPolicy, las operaciones criptográficas, como GenerateDataKeyDecrypt. También registra las operaciones internas que lo AWS KMS requieran, como,, DeleteExpiredKeyMaterialy DeleteKey. SynchronizeMultiRegionKeyRotateKey
CloudTrail registra todas las operaciones realizadas correctamente y, en algunos casos, los intentos de llamadas fallidos, como cuando se deniega el acceso a un recurso a la persona que llama. Las operaciones que utilizan claves de KMS en otras cuentas se registran tanto en la cuenta del autor de la llamada como en la cuenta del propietario de la clave de KMS. Sin embargo, AWS KMS las solicitudes entre cuentas que se rechazan porque se deniega el acceso se registran únicamente en la cuenta de la persona que llama.
Por motivos de seguridad, algunos campos se omiten de las entradas de AWS KMS registro, como el Plaintext parámetro de una solicitud de cifrado y la respuesta a GetKeyPolicycualquier operación criptográfica. Para facilitar la búsqueda de entradas de CloudTrail registro para determinadas claves de KMS, AWS KMS agrega el ARN de clave de la clave de KMS afectada al responseElements campo de las entradas de registro para algunas operaciones de administración de AWS KMS claves, incluso cuando la operación de API no devuelva el ARN de clave.
Aunque, de forma predeterminada, todas AWS KMS las acciones se registran como CloudTrail eventos, puedes AWS KMS excluirlas de un CloudTrail registro. Para obtener más información, consulte Excluir AWS KMS eventos de una ruta.
Más información:
-
Para ver ejemplos de CloudTrail registro de AWS KMS las operaciones de un enclave de AWS Nitro, consulteSupervisión de las solicitudes para enclaves de Nitro.
Temas
Búsqueda de entradas AWS KMS de registro en CloudTrail
Para buscar entradas de CloudTrail registro, utilice la CloudTrail consola o la CloudTrail LookupEventsoperación. CloudTrail admite numerosos valores de atributos para filtrar la búsqueda, incluidos el nombre del evento, el nombre de usuario y la fuente del evento.
Para ayudarle a buscar entradas de AWS KMS registro CloudTrail, AWS KMS rellena los siguientes campos de entrada de CloudTrail registro.
nota
A partir de diciembre de 2022, AWS KMS rellena los atributos Tipo de recurso y Nombre del recurso en todas las operaciones de administración que cambien una clave de KMS concreta. Estos valores de atributo pueden ser nulos en CloudTrail las entradas anteriores para las siguientes operaciones: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrantUpdateAlias, y UpdatePrimaryRegion.
| Atributo | Valor | Entradas de registro |
|---|---|---|
Fuente del evento (EventSource) |
kms.amazonaws.com |
Todas las operaciones. |
Tipo de recurso (ResourceType) |
AWS::KMS::Key |
Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys. |
Nombre del recurso (ResourceName) |
ARN de clave (o ID de clave y ARN de clave) | Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys. |
Para ayudarle a encontrar entradas de registro para las operaciones de administración en determinadas claves de KMS, AWS KMS
registra el ARN de clave de la clave de KMS afectada en el responseElements.keyId elemento de la entrada de registro, incluso cuando la operación de AWS KMS API no devuelva el ARN de clave.
Por ejemplo, una llamada correcta a la DisableKeyoperación no devuelve ningún valor en la respuesta, pero en lugar de un valor nulo, el responseElements.keyId valor de la entrada de DisableKey registro incluye la clave ARN de la clave KMS deshabilitada.
Esta función se agregó en diciembre de 2022 y afecta a las siguientes entradas de CloudTrail registro: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, y UpdatePrimaryRegion.
Excluir AWS KMS eventos de una ruta
Para proporcionar un registro del uso y la administración de sus AWS KMS recursos, la mayoría de AWS KMS los usuarios se basan en los eventos de una CloudTrail ruta. El registro puede ser una fuente de datos valiosa para auditar eventos críticos, como la creación, inhabilitación y eliminación AWS KMS keys, el cambio de la política de claves y el uso de las claves de KMS por parte de AWS los servicios que actúan en su nombre. En algunos casos, los metadatos de una entrada de CloudTrail registro, como el contexto de cifrado de una operación de cifrado, pueden ayudarle a evitar o resolver errores.
Sin embargo, dado que AWS KMS puede generar una gran cantidad de eventos, AWS CloudTrail le permite excluir AWS KMS eventos de un registro. Esta configuración por ruta excluye todos los AWS KMS eventos; no puedes excluir eventos específicos AWS KMS .
aviso
Si se excluyen AWS KMS los eventos de un CloudTrail registro, se pueden ocultar las acciones que utilizan las claves de KMS. Actúe con precaución al conceder a las entidades principales el permiso cloudtrail:PutEventSelectors necesario para realizar esta operación.
Para excluir AWS KMS eventos de un registro:
-
En la CloudTrail consola, utilice la configuración de eventos del Servicio de administración de claves de registro cuando cree o actualice una ruta. Para obtener instrucciones, consulte Registrar los eventos de administración AWS Management Console en la Guía del AWS CloudTrail usuario.
-
En la CloudTrail API, utilice la PutEventSelectorsoperación. Agregue el atributo
ExcludeManagementEventSourcesa sus selectores de eventos con un valor dekms.amazonaws.com. Para ver un ejemplo, consulte Ejemplo: una ruta que no registra AWS Key Management Service eventos en la Guía del AWS CloudTrail usuario.
Puede desactivar esta exclusión en cualquier momento cambiando la configuración de la consola o los selectores de eventos de un registro de seguimiento. A continuación, el sendero empezará a registrar AWS KMS los eventos. Sin embargo, no puede recuperar AWS KMS los eventos que ocurrieron mientras la exclusión estaba vigente.
Cuando excluyes AWS KMS eventos mediante la consola o la API, la operación de CloudTrail PutEventSelectors API resultante también se registra en tus CloudTrail registros. Si AWS KMS
los eventos no aparecen en tus CloudTrail registros, busca un PutEventSelectors evento con el ExcludeManagementEventSources atributo establecido enkms.amazonaws.com.
