Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Supervisar AWS KMS keys
El monitoreo es una parte importante para comprender la disponibilidad, el estado y el uso de su AWS KMS keys información AWS KMS y para mantener la confiabilidad, la disponibilidad y el rendimiento de sus AWS soluciones. La recopilación de los datos de monitoreo de todas las partes de su solución de AWS le ayudará a depurar un error que se produce en distintas partes del código, en caso de que ocurra. No obstante, antes de comenzar a monitorizar las claves KMS, debe crear un plan de monitorización que incluya respuestas a las siguientes preguntas:
+ ¿Cuáles son los objetivos de la supervisión?
+ ¿Qué recursos va a supervisar?
+ ¿Con qué frecuencia va a supervisar estos recursos?
+ ¿Qué [herramientas de monitorización](#monitoring-tools) va a utilizar?
+ ¿Quién se encargará de realizar las tareas de supervisión?
+ ¿Quién debería recibir una notificación cuando suceda algo?
El siguiente paso es monitorear las claves KMS a lo largo del tiempo para establecer un punto de referencia para el uso normal de AWS KMS y las expectativas en su entorno. A medida que monitorice las claves KMS, almacene los datos de monitorización históricos para que pueda compararlos con los datos actuales, identificar los patrones normales y las anomalías, así como desarrollar métodos para la resolución de problemas.
Por ejemplo, puede supervisar la actividad y los eventos de la AWS KMS API que afectan a sus claves de KMS. Cuando los datos están por encima o por debajo de las normas establecidas, es posible que efectuar una investigación o adoptar medidas correctivas.
Para establecer un punto de referencia para los patrones normales, monitorice los elementos siguientes:
+ AWS KMS Actividad de la API para las operaciones *del plano de datos*. Se trata de [operaciones criptográficas](kms-cryptography.md#cryptographic-operations) que utilizan una clave KMS, como [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [Encrypt y [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html). [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ AWS KMS Actividad de la API para las operaciones *del plano de control* que son importantes para usted. Estas operaciones administran una clave de KMS, y es posible que desee supervisar las que modifican la disponibilidad de una clave de KMS (por ejemplo [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html), [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html), [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html), [EnableKey[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html), y [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)) o cambian el control de acceso de una clave de KMS (por ejemplo, [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)y [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)).
+ Otras AWS KMS métricas (como el tiempo que queda hasta que caduque el [material clave importado](importing-keys.md)) y eventos (como la caducidad del material clave importado o la eliminación o rotación de claves de una clave KMS).
## Herramientas de supervisión
AWS proporciona varias herramientas que puede utilizar para supervisar sus claves de KMS. Puede configurar algunas de estas herramientas para que monitoricen por usted, pero otras herramientas requieren intervención manual. Le recomendamos que automatice las tareas de monitorización en la medida de lo posible.
### Herramientas de monitoreo automatizadas
Puede utilizar las siguientes herramientas de monitorización automatizada para monitorizar sus claves KMS e informar cuando haya algún cambio.
+ **AWS CloudTrail Supervisión** de registros: comparta archivos de registro entre cuentas, supervise los archivos de CloudTrail registro en tiempo real enviándolos a CloudWatch Logs, cree aplicaciones de procesamiento de registros con la [biblioteca de CloudTrail procesamiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) y valide que los archivos de registro no hayan cambiado después de su entrega CloudTrail. Para obtener más información, consulte [Trabajar con archivos de CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) en la *Guía del AWS CloudTrail usuario*.
+ **Amazon CloudWatch Alarms**: observe una sola métrica durante un período de tiempo que especifique y realice una o más acciones en función del valor de la métrica en relación con un umbral determinado durante varios períodos de tiempo. La acción es una notificación enviada a un tema del Servicio de Notificación Simple (Amazon SNS) o a una política de Amazon EC2 Auto Scaling. CloudWatch las alarmas no invocan acciones simplemente porque se encuentran en un estado determinado; el estado debe haber cambiado y se ha mantenido durante un número específico de períodos. Para obtener más información, consulte [Supervise las claves de KMS con Amazon CloudWatch](monitoring-cloudwatch.md).
+ **Amazon EventBridge**: haga coincidir los eventos y diríjalos a una o más funciones o transmisiones de destino para capturar información de estado y, si es necesario, realizar cambios o tomar medidas correctivas. Para obtener más información, consulta [Supervise las claves de KMS con Amazon EventBridge](kms-events.md) la [Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ **Amazon CloudWatch Logs**: supervise, almacene y acceda a sus archivos de registro desde AWS CloudTrail u otras fuentes. Para obtener más información, consulta la [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
### Herramientas de supervisión manuales
Otra parte importante de la supervisión de las claves de KMS implica la supervisión manual de los elementos que CloudWatch las alarmas y los eventos no cubren. Los AWS paneles AWS KMS CloudWatch, AWS Trusted Advisor, y otros proporcionan una at-a-glance vista del estado de su AWS entorno.
Puede [personalizar](viewing-console-customize.md#console-customize-tables) las **Claves administradas por AWS** y las páginas **Claves administradas por el cliente** de la [consola de AWS KMS](https://console.aws.amazon.com/kms) para mostrar la siguiente información sobre cada clave de KMS:
+ ID de clave
+ Status
+ Fecha de creación
+ Fecha de vencimiento (para las claves KMS con [material de claves importado](importing-keys.md))
+ Origen
+ ID de almacén de claves personalizado (para las claves KMS en [almacenes de claves personalizados](key-store-overview.md#custom-key-store-overview))
El [panel de la consola de CloudWatch ](https://console.aws.amazon.com/cloudwatch/home) muestra lo siguiente:
+ Alarmas y estado actual
+ Gráficos de alarmas y recursos
+ Estado de los servicios
Además, puede utilizarlos CloudWatch para hacer lo siguiente:
+ Crear [paneles personalizados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) para monitorizar los servicios que le interesan
+ Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias
+ Busque y explore todas sus métricas AWS de recursos
+ Crear y editar las alarmas de notificación de problemas
AWS Trusted Advisor puede ayudarlo a monitorear sus AWS recursos para mejorar el rendimiento, la confiabilidad, la seguridad y la rentabilidad. Hay cuatro Trusted Advisor comprobaciones disponibles para todos los usuarios; hay más de 50 comprobaciones disponibles para los usuarios con un plan de soporte empresarial o empresarial. Para obtener más información, consulte [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/).
# Registrar llamadas a la AWS KMS API con AWS CloudTrail
AWS KMS está integrado con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)un servicio que registra todas las llamadas realizadas AWS KMS por los usuarios, los roles y otros AWS servicios. CloudTrail captura todas las llamadas a la API AWS KMS como eventos, incluidas las llamadas desde la AWS KMS consola AWS KMS APIs, las CloudFormation plantillas, el AWS Command Line Interface (AWS CLI) y Herramientas de AWS para PowerShell.
CloudTrail [registra todas AWS KMS las operaciones, incluidas las operaciones de solo lectura, como [ListAliases](ct-listaliases.md)y [GetKeyRotationStatus](ct-getkeyrotationstatus.md), las operaciones que administran las claves de KMS, como [CreateKey](ct-createkey.md)y [PutKeyPolicy](ct-put-key-policy.md), las [operaciones criptográficas](kms-cryptography.md#cryptographic-operations), como [GenerateDataKey](ct-generatedatakey.md)Decrypt.](ct-decrypt.md) También registra las operaciones internas que lo AWS KMS requieran, como,, [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)y [DeleteKey](ct-delete-key.md). [SynchronizeMultiRegionKey[RotateKey](ct-rotatekey.md)](ct-synchronize-multi-region-key.md)
CloudTrail registra todas las operaciones realizadas correctamente y, en algunos casos, los intentos de llamadas fallidos, como cuando se deniega a la persona que llama el acceso a un recurso. [Las operaciones que utilizan claves de KMS en otras cuentas](key-policy-modifying-external-accounts.md) se registran tanto en la cuenta del autor de la llamada como en la cuenta del propietario de la clave de KMS. Sin embargo, AWS KMS las solicitudes entre cuentas que se rechazan porque se deniega el acceso se registran únicamente en la cuenta de la persona que llama.
Por motivos de seguridad, algunos campos se omiten de las entradas de AWS KMS registro, como el `Plaintext` parámetro de una solicitud de [cifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) y la respuesta a [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)cualquier operación criptográfica. Para facilitar la búsqueda de entradas de CloudTrail registro para determinadas claves de KMS, AWS KMS agrega el [ARN de clave](concepts.md#key-id-key-ARN) de la clave de KMS afectada al `responseElements` campo de las entradas de registro para algunas operaciones de administración de AWS KMS claves, incluso cuando la operación de API no devuelva el ARN de clave.
Aunque, de forma predeterminada, todas AWS KMS las acciones se registran como CloudTrail eventos, puedes AWS KMS excluirlas de un CloudTrail registro. Para obtener más información, consulte [Excluir AWS KMS eventos de una ruta](#filtering-kms-events).
**Más información:**
+ Para ver ejemplos de AWS KMS operaciones de CloudTrail registro para plataformas certificadas, consulte[Monitoreo de solicitudes certificadas](ct-attestation.md).
**Topics**
+ [Búsqueda de entradas AWS KMS de registro en CloudTrail](#searching-kms-ct)
+ [Excluir AWS KMS eventos de una ruta](#filtering-kms-events)
+ [Ejemplos de entradas de AWS KMS registro](understanding-kms-entries.md)
## Búsqueda de entradas AWS KMS de registro en CloudTrail
Para buscar entradas de CloudTrail registro, utilice la [CloudTrail consola](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) o la [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)operación. CloudTrail admite numerosos [valores de atributos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) para filtrar la búsqueda, incluidos el nombre del evento, el nombre de usuario y la fuente del evento.
Para ayudarle a buscar entradas de AWS KMS registro CloudTrail, AWS KMS rellena los siguientes campos de entrada de CloudTrail registro.
**nota**
A partir de diciembre de 2022, AWS KMS rellena los atributos **Tipo de recurso** y **Nombre del recurso** en todas las operaciones de administración que cambien una clave de KMS concreta. Estos valores de atributo pueden ser nulos en CloudTrail las entradas anteriores para las siguientes operaciones: [CreateAlias[CreateGrant[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), [RevokeGrant[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html), y [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html).
| Atributo | Valor | Entradas de registro |
| --- | --- | --- |
| Fuente del evento (EventSource) | kms.amazonaws.com | Todas las operaciones. |
| Tipo de recurso (ResourceType) | AWS::KMS::Key | Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys. |
| Nombre del recurso (ResourceName) | ARN de clave (o ID de clave y ARN de clave) | Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys. |
Para ayudarle a encontrar entradas de registro para las operaciones de administración en determinadas claves de KMS, AWS KMS registra el ARN de clave de la clave de KMS afectada en el `responseElements.keyId` elemento de la entrada de registro, incluso cuando la operación de AWS KMS API no devuelva el ARN de clave.
Por ejemplo, una llamada correcta a la [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación no devuelve ningún valor en la respuesta, pero en lugar de un valor nulo, el `responseElements.keyId` valor de la [entrada de DisableKey registro](ct-disablekey.md) incluye la clave ARN de la clave KMS deshabilitada.
Esta función se agregó en diciembre de 2022 y afecta a las siguientes entradas de CloudTrail registro: [CreateAlias[CreateGrant[DeleteAlias](ct-deletealias.md)](ct-creategrant.md)](ct-createalias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource[UpdateAlias](ct-updatealias.md)](ct-untagresource.md), y [UpdatePrimaryRegion](ct-update-primary-region.md).
## Excluir AWS KMS eventos de una ruta
Para proporcionar un registro del uso y la administración de sus AWS KMS recursos, la mayoría de AWS KMS los usuarios se basan en los eventos de una CloudTrail ruta. El registro puede ser una fuente de datos valiosa para auditar eventos críticos, como la creación, inhabilitación y eliminación AWS KMS keys, el cambio de la política de claves y el uso de las claves de KMS por parte de AWS los servicios que actúan en su nombre. En algunos casos, los metadatos de una entrada de CloudTrail registro, como el [contexto de cifrado](encrypt_context.md) de una operación de cifrado, pueden ayudarle a evitar o resolver errores.
Sin embargo, dado que AWS KMS puede generar una gran cantidad de eventos, AWS CloudTrail le permite excluir AWS KMS eventos de un registro. Esta configuración por ruta excluye todos los AWS KMS eventos; no puedes excluir eventos específicos AWS KMS .
**aviso**
Si se excluyen AWS KMS los eventos de un CloudTrail registro, se pueden ocultar las acciones que utilizan las claves de KMS. Actúe con precaución al conceder a las entidades principales el permiso `cloudtrail:PutEventSelectors` necesario para realizar esta operación.
Para excluir AWS KMS eventos de un registro:
+ En la CloudTrail consola, utilice la configuración de **eventos del Servicio de administración de claves de registro** cuando [cree](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) o [actualice una ruta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Para obtener instrucciones, consulte [Registrar los eventos de administración Consola de administración de AWS en la](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html) Guía del AWS CloudTrail usuario.
+ En la CloudTrail API, utilice la [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operación. Agregue el atributo `ExcludeManagementEventSources` a sus selectores de eventos con un valor de `kms.amazonaws.com`. Para ver un ejemplo, consulte [Ejemplo: una ruta que no registra AWS Key Management Service eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms) en la Guía del AWS CloudTrail usuario.
Puede desactivar esta exclusión en cualquier momento cambiando la configuración de la consola o los selectores de eventos de un registro de seguimiento. A continuación, el sendero empezará a registrar AWS KMS los eventos. Sin embargo, no puede recuperar AWS KMS los eventos que ocurrieron mientras la exclusión estaba vigente.
Cuando excluyes AWS KMS eventos mediante la consola o la API, la operación de CloudTrail `PutEventSelectors` API resultante también se registra en tus CloudTrail registros. Si AWS KMS los eventos no aparecen en tus CloudTrail registros, busca un `PutEventSelectors` evento con el `ExcludeManagementEventSources` atributo establecido en`kms.amazonaws.com`.
# Ejemplos de entradas de AWS KMS registro
AWS KMS escribe entradas en su CloudTrail registro cuando llama a una AWS KMS operación y cuando un AWS servicio llama a una operación en su nombre. AWS KMS también escribe una entrada cuando llama a una operación en tu nombre. Por ejemplo, escribe una entrada cuando [elimina una clave KMS](ct-delete-key.md) programado para su eliminación.
En los temas siguientes se muestran ejemplos de entradas de CloudTrail registro para AWS KMS las operaciones.
Para ver ejemplos de entradas de CloudTrail registro de solicitudes AWS KMS procedentes de plataformas certificadas, consulte[Monitoreo de solicitudes certificadas](ct-attestation.md).
**Topics**
+ [CancelKeyDeletion](ct-cancel-key-deletion.md)
+ [ConnectCustomKeyStore](ct-connect-keystore.md)
+ [CreateAlias](ct-createalias.md)
+ [CreateCustomKeyStore](ct-create-keystore.md)
+ [CreateGrant](ct-creategrant.md)
+ [CreateKey](ct-createkey.md)
+ [Decrypt](ct-decrypt.md)
+ [DeleteAlias](ct-deletealias.md)
+ [DeleteCustomKeyStore](ct-delete-keystore.md)
+ [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)
+ [DeleteImportedKeyMaterial](ct-deleteimportedkeymaterial.md)
+ [DeleteKey](ct-delete-key.md)
+ [DescribeCustomKeyStores](ct-describe-keystores.md)
+ [DescribeKey](ct-describekey.md)
+ [DisableKey](ct-disablekey.md)
+ [DisableKeyRotation](ct-disable-key-rotation.md)
+ [DisconnectCustomKeyStore](ct-disconnect-keystore.md)
+ [EnableKey](ct-enablekey.md)
+ [EnableKeyRotation](ct-enablekeyrotation.md)
+ [Encrypt](ct-encrypt.md)
+ [GenerateDataKey](ct-generatedatakey.md)
+ [GenerateDataKeyPair](ct-generatedatakeypair.md)
+ [GenerateDataKeyPairWithoutPlaintext](ct-generatedatakeypairwithoutplaintext.md)
+ [GenerateDataKeyWithoutPlaintext](ct-generatedatakeyplaintext.md)
+ [GenerateMac](ct-generatemac.md)
+ [GenerateRandom](ct-generaterandom.md)
+ [GetKeyPolicy](ct-getkeypolicy.md)
+ [GetKeyRotationStatus](ct-getkeyrotationstatus.md)
+ [GetParametersForImport](ct-getparametersforimport.md)
+ [ImportKeyMaterial](ct-importkeymaterial.md)
+ [ListAliases](ct-listaliases.md)
+ [ListGrants](ct-listgrants.md)
+ [ListKeyRotations](ct-listkeyrotations.md)
+ [PutKeyPolicy](ct-put-key-policy.md)
+ [ReEncrypt](ct-reencrypt.md)
+ [ReplicateKey](ct-replicate-key.md)
+ [RetireGrant](ct-retire-grant.md)
+ [RevokeGrant](ct-revoke-grant.md)
+ [RotateKey](ct-rotatekey.md)
+ [RotateKeyOnDemand](ct-rotatekeyondemand.md)
+ [ScheduleKeyDeletion](ct-schedule-key-deletion.md)
+ [Sign](ct-sign.md)
+ [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)
+ [TagResource](ct-tagresource.md)
+ [UntagResource](ct-untagresource.md)
+ [UpdateAlias](ct-updatealias.md)
+ [UpdateCustomKeyStore](ct-update-keystore.md)
+ [UpdateKeyDescription](ct-update-key-description.md)
+ [UpdatePrimaryRegion](ct-update-primary-region.md)
+ [VerifyMac](ct-verifymac.md)
+ [Verificar](ct-verify.md)
+ [EC2 Ejemplo uno de Amazon](ct-ec2one.md)
+ [EC2 Ejemplo dos de Amazon](ct-ec2two.md)
# CancelKeyDeletion
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)operación. Para obtener información sobre la eliminación AWS KMS keys, consulte[Eliminar un AWS KMS key](deleting-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T21:53:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CancelKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "e3452e68-d4b0-4ec7-a768-7ae96c23764f",
"eventID": "d818bf03-6655-48e9-8b26-f279a07075fd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ConnectCustomKeyStore
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación. Para obtener información acerca conectar un almacén de claves personalizadas, consulte [Desconectar un almacén de AWS CloudHSM claves](connect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ConnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateAlias
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operación. El elemento `resources` incluye campos para los recursos de alias y clave KMS. Para obtener información sobre la creación de alias en AWS KMS, consulte[Crear alias](alias-create.md).
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-14T23:08:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/ExampleAlias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "caec1e0c-ce03-419e-bdab-6ab1f7c57c01",
"eventID": "2dd6e784-8286-46a6-befd-d64e5a02fb28",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# CreateCustomKeyStore
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operación en un almacén de AWS CloudHSM claves. Para obtener información acerca de crear los almacenes de claves personalizadas, consulte [Crear un almacén de AWS CloudHSM claves](create-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateGrant
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operación. Para obtener información sobre la creación de subvenciones en AWS KMS, consulte[Subvenciones en AWS KMS](grants.md).
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:53:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"constraints": {
"encryptionContextSubset": {
"ContextKey1": "Value1"
}
},
"operations": ["Encrypt",
"RetireGrant"],
"granteePrincipal": "EX_PRINCIPAL_ID"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# CreateKey
Estos ejemplos muestran las entradas de AWS CloudTrail registro de la [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación.
Una entrada de `CreateKey` registro puede ser el resultado de una `CreateKey` solicitud o de la `CreateKey` operación de una [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)solicitud.
El siguiente ejemplo muestra una entrada de CloudTrail registro para una [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación que crea una [clave KMS de cifrado simétrico](symm-asymm-choose-key-spec.md#symmetric-cmks). Para obtener información sobre cómo crear claves KMS, consulte [Crear una clave de KMS.](create-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-10T22:38:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"description": "",
"origin": "EXTERNAL",
"bypassPolicyLockoutSafetyCheck": false,
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"keyUsage": "ENCRYPT_DECRYPT"
},
"responseElements": {
"keyMetadata": {
"AWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Aug 10, 2022, 10:38:27 PM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "PendingImport",
"origin": "EXTERNAL",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"requestID": "1aef6713-0223-4ff7-9a6d-781360521930",
"eventID": "36327b37-f4f6-40a9-92ab-48064ec905a2",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
El siguiente ejemplo muestra el CloudTrail registro de una `CreateKey` operación que crea una clave KMS de cifrado simétrico en un almacén de [AWS CloudHSM claves](keystore-cloudhsm.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-14T17:39:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyUsage": "ENCRYPT_DECRYPT",
"bypassPolicyLockoutSafetyCheck": false,
"origin": "AWS_CLOUDHSM",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"customKeyStoreId": "cks-1234567890abcdef0",
"description": ""
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"creationDate": "Oct 14, 2021, 5:39:50 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "AWS_CLOUDHSM",
"customKeyStoreId": "cks-1234567890abcdef0",
"cloudHsmClusterId": "cluster-1a23b4cdefg",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"additionalEventData": {
"backingKey": "{\"backingKeyId\":\"backing-key-id\"}"
},
"requestID": "4f0b185c-588c-4767-9e90-c618f7e13cad",
"eventID": "c73964b8-703d-49e4-bd9e-f773d0ee1e65",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
El siguiente ejemplo muestra el CloudTrail registro de una `CreateKey` operación que crea una clave KMS de cifrado simétrico en un almacén de [claves externo](keystore-external.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-07T22:37:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"tags": [],
"keyUsage": "ENCRYPT_DECRYPT",
"description": "",
"origin": "EXTERNAL_KEY_STORE",
"multiRegion": false,
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"bypassPolicyLockoutSafetyCheck": false,
"customKeyStoreId": "cks-1234567890abcdef0",
"xksKeyId": "bb8562717f809024"
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Dec 7, 2022, 10:37:45 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "EXTERNAL_KEY_STORE",
"customKeyStoreId": "cks-1234567890abcdef0",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false,
"xksKeyConfiguration": {
"id": "bb8562717f809024"
}
}
},
"requestID": "ba197c82-3ac7-487a-8ff4-7736bbeb1316",
"eventID": "838ad5f4-5fdd-4044-afd7-4dbd88c6af56",
"readOnly": false,
"resources": [
{
"accountId": "227179770375",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:227179770375:key/39c5eb22-f37c-4956-92ca-89e8f8b57ab2"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Decrypt
Estos ejemplos muestran las entradas de AWS CloudTrail registro de la operación de [descifrado.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
La entrada de CloudTrail registro de una `Decrypt` operación siempre incluye el valor`encryptionAlgorithm`, `requestParameters` incluso si el algoritmo de cifrado no se especificó en la solicitud. El texto cifrado de la solicitud y el texto sin formato de la respuesta se omiten.
**Topics**
+ [Descifrar con una clave de cifrado simétrica estándar](#ct-decrypt-default)
+ [Error de descifrado con una clave de cifrado simétrica estándar](#ct-decrypt-fail)
+ [Descifra con una clave KMS en un AWS CloudHSM almacén de claves](#ct-decrypt-hsm)
+ [Descifrar con una clave de KMS en un almacén de claves externo](#ct-decrypt-xks)
+ [Error de descifrado con una clave de KMS en un almacén de claves externo](#ct-decrypt-xks-fail)
+ [Descifra con una clave de cifrado simétrica estándar a través de una conexión TLS poscuántica](#ct-decrypt-default-pqtls)
## Descifrar con una clave de cifrado simétrica estándar
A continuación se muestra un ejemplo de entrada de CloudTrail registro para una `Decrypt` operación con una clave de cifrado simétrica estándar.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## Error de descifrado con una clave de cifrado simétrica estándar
El siguiente ejemplo de entrada de CloudTrail registro registra una `Decrypt` operación fallida con una clave KMS de cifrado simétrico estándar. La excepción (`errorCode`) y el mensaje de error (`errorMessage`) incluidos lo ayudan a resolver el error.
En este caso, la clave de KMS de cifrado simétrica especificada en la solicitud `Decrypt` no era la clave de KMS de cifrado simétrica que se utilizó para cifrar los datos.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## Descifra con una clave KMS en un AWS CloudHSM almacén de claves
El siguiente ejemplo de entrada de CloudTrail registro registra una `Decrypt` operación con una clave KMS en un [almacén de AWS CloudHSM claves](keystore-cloudhsm.md). Todas las entradas de registro para operaciones criptográficas con clave KMS en un almacén de claves personalizado incluyen un campo `additionalEventData` con el `customKeyStoreId` y `backingKeyId`. El valor devuelto en el campo `backingKeyId` es el atributo `id` de clave de CloudHSM. Los `additionalEventData` no están especificados en la solicitud.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Descifrar con una clave de KMS en un almacén de claves externo
El siguiente ejemplo de entrada de CloudTrail registro registra una `Decrypt` operación con una clave KMS en un [almacén de claves externo](keystore-external.md). Además de `customKeyStoreId`, el campo `additionalEventData` incluye el [ID de clave externa](keystore-external.md#concept-external-key) (`XksKeyId`). Los `additionalEventData` no están especificados en la solicitud.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Error de descifrado con una clave de KMS en un almacén de claves externo
El siguiente ejemplo de entrada de CloudTrail registro registra una solicitud fallida de una `Decrypt` operación con una clave KMS en un [almacén de claves externo](keystore-external.md). CloudWatch registra las solicitudes que fallan, además de las solicitudes correctas. Al registrar un error, la entrada del CloudTrail registro incluye la excepción (ErrorCode) y el mensaje de error correspondiente (ErrorMessage).
Si la solicitud fallida llegó a su proxy del almacén de claves externo, como en este ejemplo, puede usar el valor `requestId` para asociar la solicitud fallida a la solicitud correspondiente que registre el proxy de su almacén de claves externo, si los proporciona.
Para obtener ayuda con las solicitudes de `Decrypt` en almacenes de claves externos, consulte [Errores de descifrado](xks-troubleshooting.md#fix-xks-decrypt).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Descifra con una clave de cifrado simétrica estándar a través de una conexión TLS poscuántica
A continuación se muestra un ejemplo de entrada de CloudTrail registro para una `Decrypt` operación con una clave de cifrado simétrica estándar a través de una conexión TLS poscuántica. El campo KeyExchange de la sección menciona. `tlsDetails` `X25519MLKEM768` [Se trata de un algoritmo *híbrido* que combina la [curva elíptica Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH) sobre la [curva 25519](https://en.wikipedia.org/wiki/Curve25519), un algoritmo clásico de intercambio de claves que se utiliza actualmente en el TLS, con el [mecanismo de encapsulación de claves basado en módulos (), un algoritmo de cifrado y establecimiento de claves públicas que el Instituto Nacional de Estándares y Tecnología (NISTML-KEM) ha designado como su primer algoritmo estándar de acuerdo de claves poscuántico](https://csrc.nist.gov/pubs/fips/203/final).](https://csrc.nist.gov/pubs/fips/203/final)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```
# DeleteAlias
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)operación. Para obtener información sobre la eliminación de alias, consulte [Eliminación de un alias](alias-delete.md).
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-04T00:52:27Z"
}
}
},
"eventTime": "2014-11-04T00:52:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteAlias",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9542792-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "12f48554-bb04-4991-9cfc-e7e85f68eda0",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-east-1:111122223333:alias/my_alias",
"accountId": "111122223333"
},
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DeleteCustomKeyStore
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operación. Para obtener información acerca de crear los almacenes de claves personalizadas, consulte [Eliminar un almacén de AWS CloudHSM claves](delete-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DeleteExpiredKeyMaterial
Al importar material clave a una AWS KMS key (clave KMS), puede establecer una fecha y hora de caducidad para ese material clave. AWS KMS registra una entrada en el CloudTrail registro al [importar el material clave](ct-importkeymaterial.md) (con la configuración de caducidad) y al AWS KMS eliminar el material clave caducado. Para obtener información sobre cómo crear clave KMS con material de claves importado, consulte [Importación de material clave para AWS KMS llaves](importing-keys.md).
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro que se genera al AWS KMS eliminar el material clave caducado.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-22T19:55:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteExpiredKeyMaterial",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "cfa932fd-0d3a-4a76-a8b8-616863a2b547",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"eventCategory": "Management"
}
```
# DeleteImportedKeyMaterial
Si importa material clave a una clave de KMS, puede eliminar el material clave importado en cualquier momento mediante la [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)operación. Cuando se elimina el material de claves importado de una clave de KMS, el estado de la clave de KMS cambia a `PendingImport` y no se la puede usar en ninguna operación criptográfica. Para obtener más información, consulte [Eliminación del material de claves importado](importing-keys-delete-key-material.md).
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada para la `DeleteImportedKeyMaterial` operación.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteImportedKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "dcf0e82f-dad0-4622-a378-a5b964ad42c1",
"eventID": "2afbb991-c668-4641-8a00-67d62e1fecbd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# DeleteKey
Estos ejemplos muestran la entrada de AWS CloudTrail registro que se genera cuando se elimina una clave de KMS. Para eliminar una clave KMS, utilice la [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operación. Una vez transcurrido el período de espera especificado, AWS KMS elimina la clave KMS y registra una entrada como la siguiente en el CloudTrail registro para registrar ese evento.
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
Para ver un ejemplo de la entrada de CloudTrail registro de la `ScheduleKeyDeletion` operación, consulte. [ScheduleKeyDeletion](ct-schedule-key-deletion.md) Para obtener más información acerca de cómo eliminar claves KMS, consulte [Eliminar un AWS KMS key](deleting-keys.md).
El siguiente ejemplo de entrada de CloudTrail registro registra una `DeleteKey` operación de una clave KMS con el material clave incluido AWS KMS.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-07-31T00:07:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "b25f9cda-74e1-4458-847b-4972a0bf9668",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
La siguiente entrada de CloudTrail registro registra la `DeleteKey` operación de una clave KMS en un [almacén de claves AWS CloudHSM personalizado](key-store-overview.md#custom-key-store-overview).
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"SUCCESS\"}]"
},
"eventID": "1234585c-4b0c-4340-ab11-662414b79239",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
# DescribeCustomKeyStores
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. Para obtener información acerca de la visualización de los almacenes de claves personalizadas, consulte [Ver un almacén de AWS CloudHSM claves](view-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeCustomKeyStores",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "2ea1735f-628d-43e3-b2ee-486d02913a78",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DescribeKey
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación. AWS KMS registra una entrada como la siguiente al llamar a la `DescribeKey` operación o al [ver las claves de KMS](viewing-keys.md) en la AWS KMS consola. Esta llamada es el resultado de ver una clave en la consola AWS KMS de administración.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-26T18:01:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKey
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación. Para obtener información sobre cómo activar y desactivar la AWS KMS keys entrada AWS KMS, consulte[Habilitar y deshabilitar claves](enabling-keys.md).
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKeyRotation
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)operación. Para obtener información acerca de la rotación de claves, consulte [Rotar AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:31:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "d6a9351a-ed6e-4581-88d1-2a9a8a538497",
"eventID": "6313164c-83aa-4cc3-9e1a-b7c426f7a5b1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# DisconnectCustomKeyStore
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación. Para obtener información sobre cómo desconectar un almacén de claves personalizado, consulte [Desconectar un almacén de AWS CloudHSM claves](disconnect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisconnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# EnableKey
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)operación. Para obtener información sobre cómo habilitar y deshabilitar la AWS KMS keys entrada AWS KMS, consulte.. [Habilitar y deshabilitar claves](enabling-keys.md)
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:20Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d528a6fb-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "be393928-3629-4370-9634-567f9274d52e",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# EnableKeyRotation
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro de una llamada a la [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operación. Para ver un ejemplo de la entrada de CloudTrail registro que se escribe cuando se gira la clave, consulte[RotateKey](ct-rotatekey.md). Para obtener más información acerca de la rotación AWS KMS keys, consulte [Rotar AWS KMS keys](rotate-keys.md).
**nota**
[rotation-period](rotate-keys.md#rotation-period) es un parámetro de solicitud opcional. Si no especifica un período de rotación al habilitar la rotación automática de claves, el valor predeterminado es de 365 días.
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen el ARN clave de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva el ARN de clave.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:41:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"rotationPeriodInDays": 180
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "81f5b794-452b-4d6a-932b-68c188165273",
"eventID": "fefc43a7-8e06-419f-bcab-b3bf18d6a401",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Encrypt
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la operación de [cifrado.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"Department": "Engineering"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "f3423043-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "91235988-eb87-476a-ac2c-0cdc244e6dca",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKey
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKeyPair
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)operación. En este ejemplo se registra una operación que genera un par de claves de RSA cifrado bajo una AWS KMS key de cifrado simétrica.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyPairWithoutPlaintext
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)operación. En este ejemplo se registra una operación que genera un par de claves de RSA cifrado bajo un AWS KMS key de cifrado simétrico.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPairWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_4096",
"encryptionContext": {
"Index": "5"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyWithoutPlaintext
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operación.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "d6b8e411-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f7734272-9ec5-4c80-9f36-528ebbe35e4a",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateMac
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)operación.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-12-23T19:26:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_512",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# GenerateRandom
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)operación. Como esta operación no utiliza un AWS KMS key, el `resources` campo está vacío.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyPolicy
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operación. Para obtener información acerca de cómo ver la política de claves de una clave KMS, consulte [Visualización de políticas de claves](key-policy-viewing.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:50:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default"
},
"responseElements": null,
"requestID": "93746dd6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "4aa7e4d5-d047-452a-a5a6-2cce282a7e82",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyRotationStatus
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro de la [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operación. Para obtener información acerca de la rotación automática y bajo demanda de material de claves para una clave KMS, consulte [Rotar AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T19:16:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyRotationStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12f9b7e8-49b9-4c1c-a7e3-34ac0cdf0467",
"eventID": "3d082126-9e7d-4167-8372-a6cfcbed4be6",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GetParametersForImport
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al utilizar la [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)operación. Esta operación devuelve la clave pública y el token de importación que se utiliza al importar material de claves en una clave KMS. La misma CloudTrail entrada se registra cuando se utiliza la `GetParametersForImport` operación o se utiliza la AWS KMS consola para [descargar la clave pública y el token de importación](importing-keys-get-public-key-and-token.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:58:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetParametersForImport",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"wrappingAlgorithm": "RSAES_OAEP_SHA_256",
"wrappingKeySpec": "RSA_2048"
},
"responseElements": null,
"requestID": "b5786406-e3c7-43d6-8d3c-6d5ef96e2278",
"eventID": "4023e622-0c3e-4324-bdef-7f58193bba87",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ImportKeyMaterial
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al utilizar la [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operación. La misma CloudTrail entrada se graba cuando se utiliza la `ImportKeyMaterial` operación o se utiliza la AWS KMS consola para [importar material clave](importing-keys-import-key-material.md) a un AWS KMS key.
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ImportKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"validTo": "May 21, 2025, 5:47:45 AM",
"expirationModel": "KEY_MATERIAL_EXPIRES",
"importType": "NEW_KEY_MATERIAL",
"keyMaterialDescription": "ExampleKeyMaterialA"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "89e10ee7-a612-414d-95a2-a128346969fd",
"eventID": "c7abd205-a5a2-4430-bbfa-fc10f3e2d79f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ListAliases
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operación. Como esta operación no utiliza ningún alias concreto AWS KMS key, el `resources` campo está vacío. Para obtener información sobre la visualización de los alias en AWS KMS, consulte[Búsqueda del nombre del alias y el ARN de alias para una clave de KMS](alias-view.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:51:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListAliases",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"limit": 5,
"marker": "eyJiIjoiYWxpYXMvZTU0Y2MxOTMtYTMwNC00YzEwLTliZWItYTJjZjA3NjA2OTJhIiwiYSI6ImFsaWFzL2U1NGNjMTkzLWEzMDQtNGMxMC05YmViLWEyY2YwNzYwNjkyYSJ9"
},
"responseElements": null,
"requestID": "bfe6c190-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a27dda7b-76f1-4ac3-8b40-42dfba77bcd6",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListGrants
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [ListGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operación. Para obtener información sobre las subvenciones en AWS KMS, consulte[Subvenciones en AWS KMS](grants.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListGrants",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"marker": "eyJncmFudElkIjoiMWY4M2U2ZmM0YTY2NDgxYjQ2Yzc4MTdhM2Y4YmQwMDFkZDNiYmQ1MGVlYTMyY2RmOWFiNWY1Nzc1NDNjYmNmMyIsImtleUFybiI6ImFybjphd3M6dHJlbnQtc2FuZGJveDp1cy1lYXN0LTE6NTc4Nzg3Njk2NTMwOmtleS9lYTIyYTc1MS1lNzA3LTQwZDAtOTJhYy0xM2EyOGZhOWViMTEifQ\u003d\u003d",
"limit": 10
},
"responseElements": null,
"requestID": "e5c23960-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "d24380f5-1b20-4253-8e92-dd0492b3bd3d",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListKeyRotations
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro de la [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operación. Para obtener información acerca de la rotación automática y bajo demanda de material de claves para una clave KMS, consulte [Rotar AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeyRotations",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"includeKeyMaterial": "ALL_KEY_MATERIAL"
},
"responseElements": null,
"requestID": "99c88d32-f2db-455e-8a9a-23855258a452",
"eventID": "8ce0e74b-b9c7-45a2-96ef-83136d38068e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# PutKeyPolicy
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operación. Para obtener información sobre cómo actualizar una política de claves, consulte [Cambio de una política de claves](key-policy-modifying.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T20:06:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "PutKeyPolicy",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default",
"policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",\n \"Statement\" : [ {\n \"Sid\" : \"Enable IAM User Permissions\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::111122223333:root\"\n },\n \"Action\" : \"kms:*\",\n \"Resource\" : \"*\"\n } ]\n}",
"bypassPolicyLockoutSafetyCheck": false
},
"responseElements": null,
"requestID": "7bb906fa-dc21-4350-b65c-808ff0f72f55",
"eventID": "c217db1f-903f-4a2f-8f88-9580182d6313",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# ReEncrypt
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)operación. El `resources` campo de esta entrada de registro especifica dos AWS KMS keys, la clave KMS de origen y la clave KMS de destino, en ese orden.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-22T19:34:55Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceEncryptionContext": {
"Project": "Alpha",
"Department": "Engineering"
},
"destinationKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"destinationEncryptionContext": {
"Level": "3A"
}
},
"responseElements": null,
"additionalEventData": {
"destinationKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"sourceKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "03769fd4-acf9-4b33-adf3-2ab8ca73aadf",
"eventID": "542d9e04-0e8d-4e05-bf4b-4bdeb032e6ec",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ReplicateKey
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operación. Una `ReplicateKey` solicitud da como resultado una `ReplicateKey` operación y una [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación.
Para obtener información acerca de la replicación de claves de varias regiones, consulte [Creación de claves de réplica de varias regiones](multi-region-keys-replicate.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-18T01:29:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReplicateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"replicaRegion": "us-west-2",
"bypassPolicyLockoutSafetyCheck": false,
"description": ""
},
"responseElements": {
"replicaKeyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Nov 18, 2020, 1:29:18 AM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Creating",
"origin": "AWS_KMS",
"keyManager": "CUSTOMER",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": true,
"multiRegionConfiguration": {
"multiRegionKeyType": "REPLICA",
"primaryKey": {
"arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-east-1"
},
"replicaKeys": [
{
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-west-2"
}
]
}
},
"replicaPolicy": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":[{\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:user/Alice\"},\n \"Action\":\"kms:*\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Bob\"},\n \"Action\":\"kms:CreateGrant\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Charlie\"},\n \"Action\":\"kms:Encrypt\",\n \"Resource\":\"*\"\n}]\n}",
},
"requestID": "abcdef68-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "fedcba44-6773-4f96-8763-1993aec9ae6a",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RetireGrant
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operación. Para obtener más información sobre las concesiones que van a retirarse, consulte [Retiro y revocación de concesiones](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:39:33Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "1d274d57-5697-462c-a004-f25fcc29fa26",
"eventID": "0771bcfb-3e24-4332-9ac8-e1c06563eecf",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RevokeGrant
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)operación. Para obtener más información sobre las concesiones que van a retirarse, consulte [Retiro y revocación de concesiones](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:35:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RevokeGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"responseElements": null,
"requestID": "59d94c03-c5b7-428d-ae6e-f2c4b47d2917",
"eventID": "07a23a39-6526-4ae2-b31e-d35fbe9e24ee",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RotateKey
Estos ejemplos muestran las entradas de AWS CloudTrail registro de las operaciones que giran AWS KMS keys. Para obtener más información acerca de rotación de claves KMS, consulte [Rotar AWS KMS keys](rotate-keys.md).
El siguiente ejemplo muestra una entrada de CloudTrail registro para la operación que rota una clave KMS de cifrado simétrico en la que está habilitada la rotación automática de claves. Para obtener información acerca de cómo habilitar la rotación automática, consulte [Rotar AWS KMS keys](rotate-keys.md).
Para ver un ejemplo de la entrada de CloudTrail registro que registra la `EnableKeyRotation` operación, consulte. [EnableKeyRotation](ct-enablekeyrotation.md)
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyOrigin": "AWS_KMS",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
El siguiente ejemplo muestra una entrada de CloudTrail registro para una rotación bajo demanda iniciada por la [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operación. Para obtener información acerca de la rotación de claves de KMS de cifrado simétricas bajo demanda, consulte [Realización de la rotación de claves bajo demanda](rotating-keys-on-demand.md).
Para ver un ejemplo de la entrada de CloudTrail registro que registra la `RotateKeyOnDemand` operación, consulte[RotateKeyOnDemand](ct-rotatekeyondemand.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "ON_DEMAND",
"keyOrigin": "EXTERNAL",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# RotateKeyOnDemand
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operación. Para ver un ejemplo de la entrada de CloudTrail registro que se escribe cuando se gira la clave, consulte[RotateKey](ct-rotatekey.md). Para obtener información acerca de la rotación bajo demanda de material de claves para una clave KMS, consulte [Realización de la rotación de claves bajo demanda](rotating-keys-on-demand.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T17:41:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKeyOnDemand",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "9e1dee86-eb84-42fd-8f25-e3fc7dbb32c8",
"eventID": "00a09fbc-20d6-4a58-9b92-7da85984ab77",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# ScheduleKeyDeletion
En estos ejemplos se muestran las entradas de AWS CloudTrail registro de la [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operación.
Para ver un ejemplo de la entrada de CloudTrail registro que se escribe cuando se elimina la clave, consulte[DeleteKey](ct-delete-key.md). Para obtener información acerca de cómo eliminar AWS KMS keys, consulte [Eliminar un AWS KMS key](deleting-keys.md).
En el siguiente ejemplo se registra una solicitud de `ScheduleKeyDeletion` para una clave KMS de una región.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-23T18:58:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 20,
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyState": "PendingDeletion",
"deletionDate": "Apr 12, 2021 18:58:30 PM"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
En el siguiente ejemplo se registra una solicitud de `ScheduleKeyDeletion` para una clave KMS de varias regiones con claves de réplica.
Como AWS KMS no se eliminará una clave multirregional hasta que se eliminen todas sus claves de réplica, en el `responseElements` campo, el `keyState` es `PendingReplicaDeletion` y el `deletionDate` campo se omite.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-28T17:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 30,
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"keyState": "PendingReplicaDeletion",
"pendingWindowInDays": 30
},
"requestID": "12341411-d846-42a6-a476-b1cbe3011f89",
"eventID": "abcda5f-396d-494c-9380-0c47860df5f1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
En el siguiente ejemplo, se registra una `ScheduleKeyDeletion` solicitud de clave KMS en un almacén de [claves AWS CloudHSM personalizado](key-store-overview.md#custom-key-store-overview).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:25:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"pendingWindowInDays": 30
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"deletionDate": "Nov 2, 2021, 11:25:25 PM",
"keyState": "PendingDeletion",
"pendingWindowInDays": 30
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]"
},
"requestID": "abcd9f60-2c9c-4a0b-a456-d5d998f7f321",
"eventID": "ca01996a-01b0-4edd-bbbb-25d7b6d1a6fa",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Sign
En estos ejemplos se muestran las entradas de AWS CloudTrail registro de la operación de [firma](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html).
El siguiente ejemplo muestra una entrada de CloudTrail registro para una operación de [firma](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) que utiliza una clave RSA KMS asimétrica para generar una firma digital para un archivo.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:36:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Sign",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"messageType": "RAW",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256"
},
"responseElements": null,
"requestID": "8d0b35e0-46cf-48b9-be99-bf2ebc9ab9fb",
"eventID": "107b3cac-b125-4556-9702-12a2b9afcff7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# SynchronizeMultiRegionKey
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al AWS KMS sincronizar una clave [multirregional](multi-region-keys-overview.md). La sincronización implica llamadas entre regiones para copiar las [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) de una clave principal multirregional en sus claves de réplica. AWS KMS sincroniza las claves multirregionales periódicamente para garantizar que todas las claves multirregionales relacionadas tengan el mismo material clave.
El `resources` elemento de la entrada de CloudTrail registro incluye la clave ARN de la clave principal multirregional, incluida la suya. Región de AWS Las claves de réplica de varias regiones relacionadas y sus Regiones no se enumeran en esta entrada de registro.
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-11-18T02:04:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345681-de97-42e9-bed0-b02ae1abd8dc",
"eventID": "abcdec99-2b5c-4670-9521-ddb8f031e146",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# TagResource
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro de una llamada a la [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operación para agregar una etiqueta con una clave de etiqueta `Department` y un valor de etiqueta de`IT`.
Para ver un ejemplo de una entrada de `UntagResource` CloudTrail registro que se escribe cuando se gira la clave, consulte[UntagResource](ct-untagresource.md). Para obtener información sobre el etiquetado AWS KMS keys, consulte. [Etiquetas en AWS KMS](tagging-keys.md)
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "TagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tags": [
{
"tagKey": "Department",
"tagValue": "IT"
}
]
},
"responseElements": null,
"requestID": "b942584a-f77d-4787-9feb-b9c5be6e746d",
"eventID": "0a091b9b-0df5-4cf9-b667-6f2879532b8f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UntagResource
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro de una llamada a la [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operación para eliminar una etiqueta con una clave de etiqueta de`Dept`.
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
Para ver un ejemplo de una entrada de `TagResource` CloudTrail registro, consulte. [TagResource](ct-tagresource.md) Para obtener más información acerca del etiquetado AWS KMS keys, consulte [Etiquetas en AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UntagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tagKeys": [
"Dept"
]
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "cb1d507b-6015-47f4-812b-179713af8068",
"eventID": "0b00f4b0-036e-411d-aa75-87eb4a35a4b3",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateAlias
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operación. El elemento `resources` incluye campos para los recursos de alias y clave KMS. Para obtener información sobre la creación de alias en AWS KMS, consulte[Crear alias](alias-create.md).
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-13T23:18:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9472f40-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f72d3993-864f-48d6-8f16-e26e1ae8dff0",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/my_alias"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateCustomKeyStore
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación para actualizar el ID de clúster de un almacén de claves personalizado. Para obtener información acerca de cómo editar los almacenes de claves personalizadas, consulte [Editar la configuración AWS CloudHSM del almacén de claves](update-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# UpdateKeyDescription
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro generada al llamar a la [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operación.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:22:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateKeyDescription",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"description": "New key description"
},
"responseElements": null,
"requestID": "8c3c1f8b-336d-4896-b034-4eb9916bc9b3",
"eventID": "f5f3d548-2e9e-4658-8427-9dcb5b1ea791",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# UpdatePrimaryRegion
El siguiente ejemplo muestra las entradas de AWS CloudTrail registro que se generan al llamar a la [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operación con una [clave multirregional](multi-region-keys-overview.md).
La `UpdatePrimaryRegion` operación escribe dos entradas de CloudTrail registro: una en la región con la clave principal multirregional que se convierte en una clave de réplica y otra en la región con una clave de réplica multirregional que se convierte en clave principal.
CloudTrail las entradas de registro de esta operación registradas a partir de diciembre de 2022 incluyen la clave ARN de la clave KMS afectada en el `responseElements.keyId` valor, aunque esta operación no devuelva la clave ARN.
El siguiente ejemplo muestra una entrada de CloudTrail registro para la región `UpdatePrimaryRegion` en la que la clave multirregional pasó de ser una clave principal a una clave de réplica (us-west-2). El campo `primaryRegion` muestra la región que ahora aloja la clave principal (ap-northeast-1).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
El siguiente ejemplo representa la entrada de CloudTrail registro de la región `UpdatePrimaryRegion` en la que la clave multirregional pasó de ser una clave de réplica a una clave principal (ap-northeast-1). Esta entrada de registro no identifica la región principal anterior.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"invokedBy": "kms.amazonaws.com"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "091e6be5-737f-43c6-8431-e3679d6d0619",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# VerifyMac
El siguiente ejemplo muestra una entrada de AWS CloudTrail registro para la [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)operación.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-31T19:25:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "VerifyMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_384",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "f35da560-edff-4d6e-9b40-fb306fa9ef1e",
"eventID": "6b464487-6dea-44cd-84ad-225d7450c975",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Verificar
Estos ejemplos muestran las entradas de AWS CloudTrail registro de la operación [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
El siguiente ejemplo muestra una entrada de CloudTrail registro para una operación de [verificación](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) que utiliza una clave RSA KMS asimétrica para verificar una firma digital.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:50:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Verify",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"messageType": "RAW"
},
"responseElements": null,
"requestID": "c73ab82a-af82-4750-ae2c-b6bb790e9c28",
"eventID": "3b4331cd-5b7b-4de5-bf5f-82ec22f0dac0",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# EC2 Ejemplo uno de Amazon
El siguiente ejemplo registra a una entidad principal de IAM que crea un volumen cifrado con la clave de volumen predeterminada de la consola de EC2 administración de Amazon.
El siguiente ejemplo muestra una entrada de CloudTrail registro en la que la usuaria Alice crea un volumen cifrado con una clave de volumen predeterminada en la consola EC2 de administración de Amazon. El EC2 registro del archivo de registro incluye un `volumeId` campo con un valor de`"vol-13439757"`. El AWS KMS registro contiene un `encryptionContext` campo con un valor de`"aws:ebs:id": "vol-13439757"`. Del mismo modo, coinciden `principalId` y `accountId` entre los dos registros. Los registros reflejan el hecho de que crear un volumen cifrado genera una clave de datos que se utiliza para cifrar el contenido del volumen.
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:18Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateVolume",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"size": "10",
"zone": "us-east-1a",
"volumeType": "gp2",
"encrypted": true
},
"responseElements": {
"volumeId": "vol-13439757",
"size": "10",
"zone": "us-east-1a",
"status": "creating",
"createTime": 1415220618876,
"volumeType": "gp2",
"iops": 30,
"encrypted": true
},
"requestID": "1565210e-73d0-4912-854c-b15ed349e526",
"eventID": "a3447186-135f-4b00-8424-bc41f1a93b4f",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "&AWS; Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-13439757"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-123456789012-758241111-1415220618",
"eventID": "4bd2a696-d833-48cc-b72c-05e61b608399",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# EC2 Ejemplo dos de Amazon
En el siguiente ejemplo, un principal de IAM que ejecuta una EC2 instancia de Amazon crea y monta un volumen de datos que está cifrado con una clave KMS. Esta acción genera varios CloudTrail registros de registro. Para obtener más información sobre Amazon EBS y el cifrado, consulte [Requisitos del cifrado de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-instance-permissions).
Cuando se crea el volumen, Amazon EC2, actuando en nombre del cliente, obtiene una clave de datos cifrada de AWS KMS (`GenerateDataKeyWithoutPlaintext`). Luego crea una concesión (`CreateGrant`) que le permite descifrar la clave de datos. Cuando se monta el volumen, Amazon EC2 llama AWS KMS para descifrar la clave de datos (`Decrypt`).
El `instanceId` de la EC2 instancia de Amazon,`"i-81e2f56c"`, aparece en el `RunInstances` evento. El mismo ID de instancia califica el `granteePrincipal` de la concesión que se crea (`"111122223333:aws:ec2-infrastructure:i-81e2f56c"`) y el rol asumido que es la entidad principal en la llamada `Decrypt` (`"arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c"`).
El [ARN clave](concepts.md#key-id-key-ARN) de la clave KMS que protege el volumen de datos aparece en las tres AWS KMS llamadas (`CreateGrant``GenerateDataKeyWithoutPlaintext`, y`Decrypt`). `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:27Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "RunInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"imageId": "ami-b66ed3de",
"minCount": 1,
"maxCount": 1
}
]
},
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2"
}
]
},
"instanceType": "m3.medium",
"blockDeviceMapping": {
"items": [
{
"deviceName": "/dev/xvda",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": true,
"volumeType": "gp2"
}
},
{
"deviceName": "/dev/sdb",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": false,
"volumeType": "gp2",
"encrypted": true
}
}
]
},
"monitoring": {
"enabled": false
},
"disableApiTermination": false,
"instanceInitiatedShutdownBehavior": "stop",
"clientToken": "XdKUT141516171819",
"ebsOptimized": false
},
"responseElements": {
"reservationId": "r-5ebc9f74",
"ownerId": "111122223333",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"instancesSet": {
"items": [
{
"instanceId": "i-81e2f56c",
"imageId": "ami-b66ed3de",
"instanceState": {
"code": 0,
"name": "pending"
},
"amiLaunchIndex": 0,
"productCodes": {
},
"instanceType": "m3.medium",
"launchTime": 1415223328000,
"placement": {
"availabilityZone": "us-east-1a",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"stateReason": {
"code": "pending",
"message": "pending"
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
},
"virtualizationType": "hvm",
"hypervisor": "xen",
"clientToken": "XdKUT1415223327917",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"networkInterfaceSet": {
},
"ebsOptimized": false
}
]
}
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "cd75a605-2fee-4fda-b847-9c3d330ebaae",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"granteePrincipal": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "c1ad79e3-0d3f-402a-b119-d5c31d7c6a6c",
"readOnly": false,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-111122223333-758247346-1415223332",
"eventID": "ac3cab10-ce93-4953-9d62-0b6e5cba651d",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c",
"accountId": "111122223333",
"accessKeyId": "",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-05T21:35:38Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-infrastructure",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-infrastructure",
"accountId": "111122223333",
"userName": "aws:ec2-infrastructure"
}
}
},
"eventTime": "2014-11-05T21:35:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"responseElements": null,
"requestID": "b4b27883-6533-11e4-b4d9-751f1761e9e5",
"eventID": "edb65380-0a3e-4123-bbc8-3d1b7cff49b0",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Supervise las claves de KMS con Amazon CloudWatch
Puedes monitorizar tu AWS KMS keys uso de [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), un AWS servicio que recopila y procesa datos sin procesar para AWS KMS convertirlos en métricas legibles y prácticamente en tiempo real. Estos datos se registran durante un periodo de dos semanas para que pueda obtener acceso a información histórica y conocer mejor el uso de sus claves KMS y sus cambios a lo largo del tiempo.
Puedes usar Amazon CloudWatch para avisarte de eventos importantes, como los siguientes.
+ El material clave importado de una clave KMS se acerca a su fecha de vencimiento.
+ Se sigue utilizando una clave KMS pendiente de eliminación.
+ El material clave de una clave KMS se rotó automáticamente.
+ Se ha eliminado una clave KMS.
También puedes crear una CloudWatch alarma de [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que te avise cuando tu porcentaje de solicitudes alcance un porcentaje determinado del valor de la cuota. Para obtener más información, consulta [Gestiona tus tasas de solicitudes de AWS KMS API mediante Service Quotas y Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) en el *blog AWS de seguridad*.
## AWS KMS métricas y dimensiones
AWS KMS predefine CloudWatch las métricas de Amazon para que le resulte más fácil monitorear los datos críticos y crear alarmas. Puedes ver las AWS KMS métricas mediante la API de Amazon Consola de administración de AWS y la CloudWatch API.
En esta sección, se enumeran todas AWS KMS las métricas y las dimensiones de cada una de ellas, y se proporciona una guía básica para crear CloudWatch alarmas en función de estas métricas y dimensiones.
**nota**
**Nombre del grupo de dimensiones**:
Para ver una métrica en la CloudWatch consola de Amazon, en la sección **Métricas**, selecciona el nombre del grupo de dimensiones. Luego, puede filtrar por **Nombre de la métrica**. Este tema incluye el nombre de la métrica y el nombre del grupo de dimensiones de cada métrica de AWS KMS .
Puedes ver AWS KMS las métricas mediante la API de Amazon Consola de administración de AWS y la CloudWatch API. Para obtener más información, consulta [Ver las métricas disponibles](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) en la *Guía del CloudWatch usuario de Amazon*.
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [Nube HSMKey StoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
El número de solicitudes correctas de operaciones criptográficas en una clave de KMS específica. Al usar la `SuccessfulRequest` métrica, puedes aplicar un filtrado a nivel clave al uso de la AWS KMS API en. CloudWatch La estadística `Sum` de esta métrica define el número total de solicitudes satisfactorias durante el periodo.
Utilice esta métrica para identificar qué claves de KMS consumen la mayor parte de su cuota de solicitudes o son las que más contribuyen a los cargos de la API. También puedes crear una CloudWatch alarma basada en la `SuccesfulRequest` métrica para que te notifique los patrones anómalos de uso de la AWS KMS API. Estas alertas pueden ayudar a identificar los flujos de trabajo ineficientes que podrían superar, de manera no intencional, las cuotas de solicitudes o generar cargos inesperados.
**Dimensiones para `SuccessfulRequest`**
| Dimensión | Description (Descripción) |
| --- | --- |
| KeyArn | Valor para cada clave de KMS. |
| Operación | Valor para cada operación AWS KMS de API. Esta métrica se aplica únicamente a operaciones criptográficas. |
En el caso de [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)las operaciones, la `SuccessfulRequest` métrica incluye dimensiones para las claves KMS de origen y destino.
| Dimensión | Description (Descripción) |
| --- | --- |
| SourceKeyArn | Valor de la clave de KMS que descifró el texto cifrado. |
| DestinationKeyArn | Valor de la clave de KMS que volvió a cifrar los datos. |
| Operación | Valor para cada operación de AWS KMS API, en este caso, ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
La cantidad de segundos que restan hasta la primera fecha de caducidad del [material de clave importado](importing-keys.md) de una clave de KMS. Esta métrica es válida solo para las claves de KMS con material de clave importado (un [origen de material de clave](create-keys.md#key-origin) de `EXTERNAL`) y una fecha de caducidad.
Utilice esta métrica para realizar un seguimiento del tiempo que resta hasta la primera fecha de caducidad del material de claves importado. Cuando ese tiempo cae por debajo de un umbral que usted define, debe volver a importar el material de claves con una nueva fecha de caducidad para mantener la clave de KMS en uso. La métrica `SecondsUntilKeyMaterialExpiration` es específica de una clave de KMS. No puede usar esta métrica para supervisar varias claves de KMS o claves de KMS que pueda crear en el futuro. Si necesita ayuda para crear una CloudWatch alarma para supervisar esta métrica, consulte[Cree una CloudWatch alarma de caducidad del material clave importado](imported-key-material-expiration-alarm.md).
La estadística más útil para esta métrica es `Minimum`, que le indica la menor cantidad de tiempo restante para todos los puntos de datos en el período estadístico especificado. La única unidad válida para esta métrica es `Seconds`.
**Nombre del grupo de dimensiones**: **Per-Key Metrics**
**Dimensiones para `SecondsUntilKeyMaterialExpiration`**
| Dimensión | Descripción; relacionada con AWS |
| --- | --- |
| KeyId | Valor para cada clave de KMS. |
Al programar una [eliminación de claves](deleting-keys.md) de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Puede usar el periodo de espera para asegurarse de que no necesita la clave KMS ni ahora ni en el futuro. También puede configurar una CloudWatch alarma para que le avise si una persona o aplicación intenta utilizar la clave KMS en una [operación criptográfica](kms-cryptography.md#cryptographic-operations) durante el período de espera. Si recibe una notificación de una alarma de este tipo, puede cancelar la eliminación de la clave KMS.
Para obtener instrucciones, consulte [Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS](deleting-keys-creating-cloudwatch-alarm.md).
### Nube HSMKey StoreThrottle
El número de solicitudes de operaciones criptográficas en las claves de KMS de cada almacén de AWS CloudHSM claves que se AWS KMS limita (responde con una). `ThrottlingException` Esta métrica solo se aplica a los almacenes de claves AWS CloudHSM .
La `CloudHSMKeyStoreThrottle` métrica se aplica solo a las claves de KMS de un almacén de AWS CloudHSM claves y solo a las solicitudes de [operaciones criptográficas](kms-cryptography.md#cryptographic-operations). AWS KMS [limita estas solicitudes cuando la tasa de solicitudes](throttling.md) supera la [cuota de solicitudes del almacén de claves personalizado de su AWS CloudHSM almacén](requests-per-second.md#rps-key-stores) de claves. Esta métrica también incluye la limitación por clúster. AWS CloudHSM
**Nombre del grupo de dimensiones**: **Keystore Throttle Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de AWS CloudHSM claves. |
| KmsOperation | Valor para cada operación AWS KMS de API. Esta métrica se aplica solo a las operaciones criptográficas en las claves de KMS en un almacén de claves de AWS CloudHSM . |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves es AWS CloudHSM SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
El número de solicitudes de operaciones criptográficas en las claves de KMS en cada almacén de claves externo que se limita (responde con AWS KMS un). `ThrottlingException` Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
[La `ExternalKeyStoreThrottle` métrica solo se aplica a las claves KMS de un almacén de claves externo y solo a las solicitudes de operaciones criptográficas.](kms-cryptography.md#cryptographic-operations) AWS KMS [limita estas solicitudes cuando la tasa de solicitudes](throttling.md) supera la [cuota de solicitudes del almacén de claves personalizado del almacén](requests-per-second.md#rps-key-stores) de claves externo. Esta métrica no incluye la limitación por parte del proxy del almacén de claves externo ni del administrador de claves externo.
Usa esta métrica para revisar y ajustar el valor de la cuota de solicitudes de su almacén de claves personalizado. Si esta métrica indica que las solicitudes de estas claves de KMS AWS KMS se limitan con frecuencia, podría considerar la posibilidad de solicitar un aumento en el valor de la cuota de solicitudes del almacén de claves personalizado. Para conocer más detalles, consulte [Solicitud de un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*.
Si con frecuencia recibe errores `KMSInvalidStateException` con un mensaje que explica que la solicitud fue rechazada “debido a una tasa de solicitudes muy alta” o “debido a que el proxy del almacén de claves externo no respondió a tiempo”, podría indicar que su administrador de claves externo o el proxy de almacén de claves externo no puede seguir el ritmo de la tasa de solicitudes actual. Si es posible, reduzca el porcentaje de solicitudes. También podría considerar solicitar una disminución en el valor de la cuota de solicitudes del almacén de claves personalizado. Reducir este valor de cuota puede aumentar la limitación (y el valor de la `ExternalKeyStoreThrottle` métrica), pero indica que AWS KMS se está rechazando el exceso de solicitudes rápidamente antes de enviarlas al proxy del almacén de claves externo o al administrador de claves externo. Para solicitar una reducción de la cuota, visite el [Centro de AWS Support](https://console.aws.amazon.com/support/home) y crea un caso.
**Nombre del grupo de dimensiones**: **Keystore Throttle Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de API AWS KMS . Esta métrica se aplica solo a las operaciones criptográficas en las claves de KMS en un almacén de claves externo. |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación de clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
El número de días que faltan para que venza el certificado TLS del [punto de conexión del proxy del almacén de claves externo](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`). Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Usa esta métrica para crear una CloudWatch alarma que te notifique la próxima caducidad de tu certificado TLS. Cuando el certificado caduque, AWS KMS no podrá comunicarse con el proxy del almacén de claves externo. No se podrá acceder a todos los datos protegidos por las claves de KMS en su almacén de claves externo hasta que renueve el certificado.
Una alarma previene que caduque la certificación que le puede impedir a usted acceder a sus recursos encriptados. Configure la alarma para que su organización tenga tiempo de renovar el certificado antes de que venza.
**Nombre del grupo de dimensiones**: **XKS Proxy Certificate Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| CertificateName | Nombre del sujeto (CN) en el certificado TLS. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksProxyCredentialAge
La cantidad de días que transcurrieron desde que la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) del almacén de claves externo actual (`XksProxyAuthenticationCredential`) se asoció con el almacén de claves externo. Este recuento comienza cuando introduce la credencial de autenticación como parte para crear o actualizar su almacén de claves externo. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Este valor está diseñado para recordarle la antigüedad de su credencial de autenticación. Sin embargo, dado que empezamos el recuento cuando asocia la credencial a su almacén de claves externo, no cuando crea su credencial de autenticación en el proxy del almacén de claves externo, es posible que este no sea un indicador preciso de la antigüedad de las credenciales en el proxy.
Utilice esta métrica para crear una CloudWatch alarma que le recuerde que debe cambiar la credencial de autenticación del proxy del almacén de claves externo.
**Nombre del grupo de dimensiones**: **Per-Keystore Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksProxyErrors
El número de excepciones relacionadas con AWS KMS las solicitudes a su [proxy de almacén de claves externo](keystore-external.md#concept-xks-proxy). Este recuento incluye las excepciones a las que vuelve el proxy del almacén de claves externo AWS KMS y los errores de tiempo de espera que se producen cuando el proxy del almacén de claves externo no responde AWS KMS dentro del intervalo de tiempo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Puede utilizar esta métrica para realizar un seguimiento del porcentaje de errores de claves de KMS en su almacén de claves externo. Revela los errores más frecuentes, para que pueda priorizar sus esfuerzos de ingeniería. Por ejemplo, las claves de KMS que generan altas tasas de errores no reintentables pueden indicar un problema con la configuración de su almacén de claves externo. Para ver la configuración de su almacén de claves externo, consulte [Visualización de almacenes de claves externos](view-xks-keystore.md). Para editar la configuración de su almacén de claves externo, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
**Nombre del grupo de dimensiones**: **XKS Proxy Error Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de AWS KMS API que generó una solicitud al proxy XKS. |
| XksOperation | Valor para cada [operación de la API del proxy del almacén de claves externo](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación de clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC\$1DEFAULT. |
| ErrorType | Valores:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Valores: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/monitoring-cloudwatch.html) |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksExternalKeyManagerStates
Un recuento de la cantidad de [instancias de un administrador de claves externo](keystore-external.md#concept-ekm) en cada uno de los siguientes estados de condición: `Active`, `Degraded` y `Unavailable`. La información de esta métrica proviene del proxy del almacén de claves externo asociado a cada almacén de claves externo. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Los siguientes son los estados de condición para las instancias del administrador de claves externo asociadas a un almacén de claves externo. Cada proxy de almacén de claves externo puede utilizar diferentes indicadores para medir el estado de su administrador de claves externo. Para obtener más información, consulte la documentación del proxy del almacén de claves externo.
+ `Active`: el administrador de claves externo está en buen estado.
+ `Degraded`: el administrador de claves externo no está en buen estado, pero aún puede atender el tráfico.
+ `Unavailable`: el administrador de claves externo no puede atender el tráfico.
Utilice esta métrica para crear una CloudWatch alarma que le avise de las instancias del administrador de claves externo degradadas y no disponibles. Para determinar en qué estado se encuentra cada instancia del administrador de claves externo, consulte sus registros de proxy del almacén de claves externo.
**Nombre del grupo de dimensiones**: **XKS External Key Manager Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| XksExternalKeyManagerState | Valor para cada estado de condición. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksProxyLatency
La cantidad de milisegundos que tarda un proxy del almacén de claves externo en responder a una solicitud de AWS KMS . Si se agotó el tiempo de espera de la solicitud, el valor registrado es un límite de tiempo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Utilice esta métrica para evaluar el rendimiento de su proxy de almacén de claves externo y de su administrador de claves externo. Por ejemplo, si el tiempo del proxy se agota con frecuencia en las operaciones de cifrado y descifrado, consulte a su administrador de proxy externo.
Las respuestas lentas también pueden indicar que tu administrador de claves externo no puede gestionar el tráfico de solicitudes actual. AWS KMS recomienda que su administrador de claves externo pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si su administrador de claves externo no puede gestionar la tasa de 1800 solicitudes por segundo, considere solicitar una reducción de su [cuota de solicitudes de claves de KMS en un almacén de claves personalizado](requests-per-second.md#rps-key-stores). Las solicitudes de operaciones criptográficas que utilizan las claves de KMS en su almacén de claves externo van a responder rápido a los errores con una [excepción de limitación](throttling.md), en lugar de ser procesadas y luego rechazadas por su proxy del almacén de claves externo o administrador de claves externo.
**Nombre del grupo de dimensiones**: **XKS Proxy Latency Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de AWS KMS API que generó una solicitud al proxy XKS. |
| XksOperation | Valor para cada [operación de la API del proxy del almacén de claves externo](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación de clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC\$1DEFAULT. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
# Cree una CloudWatch alarma de caducidad del material clave importado
Puede crear una CloudWatch alarma que le notifique cuando el material clave importado en una clave de KMS se acerca a su fecha de caducidad. Por ejemplo, la alarma puede avisarle cuando el plazo de caducidad esté a menos de 30 días.
Al [importar material de claves en una clave KMS](importing-keys.md), también puede especificar de manera opcional una fecha y una hora en la que vence el material de claves. Cuando el material clave caduca, lo AWS KMS elimina y la clave KMS queda inutilizable. Para volver a usar la clave KMS, debe [volver a importar el material de claves](importing-keys-import-key-material.md#reimport-key-material). Sin embargo, si vuelve a importar el material de claves antes de que caduque, puede evitar interrumpir los procesos que utilizan esa clave de KMS.
Esta alarma utiliza la [`SecondsUntilKeyMaterialExpires`métrica](monitoring-cloudwatch.md#key-material-expiration-metric) que se AWS KMS publica en el caso de las claves CloudWatch de KMS cuyo material clave importado caduque. Cada alarma usa esta métrica para supervisar el material de claves importado para una clave de KMS en particular. No puede crear una sola alarma para todas las claves de KMS con material de claves que caduque ni una alarma para las claves de KMS que pueda crear en el futuro.
**Requisitos**
Se necesitan los siguientes recursos para una CloudWatch alarma que supervise la caducidad del material clave importado.
+ Una clave KMS con material de claves importado que caduca.
+ Un tema de Amazon SNS. Para obtener más información, consulte el [tema Creación de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) en la Guía * CloudWatch del usuario de Amazon*.
**Crear la alarma**
Siga las instrucciones de Cómo [crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija **KMS** y, a continuación, seleccione **Per-Key Metrics** (Métricas por clave). Seleccione la fila con la clave de KMS y la métrica `SecondsUntilKeyMaterialExpires`. A continuación, elija **Select metric (Seleccionar métrica)**. La lista **Metrics** (Métricas) muestra la métrica `SecondsUntilKeyMaterialExpires` solo para claves KMS con material de claves importado que caduca. Si no tiene claves de KMS con estas propiedades en la cuenta y la región, esta lista está vacía. |
| Estadística | Mínimo |
| Periodo | 1 minuto |
| Tipo de umbral | Estático |
| Whenever… | Siempre que metric-name sea mayor que 1 |
# Cree CloudWatch alarmas para almacenes de claves externos
Puedes crear CloudWatch alarmas de Amazon basadas en métricas externas del almacén de claves para que te notifiquen cuando el valor de una métrica supere un umbral que hayas especificado. La alarma puede enviar el mensaje a un [tema de Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) o a una [política de Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work). Para obtener información detallada sobre CloudWatch las alarmas, consulta [Uso de CloudWatch las alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.
Antes de crear una CloudWatch alarma de Amazon, necesitas un tema de Amazon SNS. Para obtener más información, consulte el [tema Creación de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) en la Guía * CloudWatch del usuario de Amazon*.
**Topics**
+ [Creación de una alarma para el vencimiento del certificado](#cert-expire-alarm)
+ [Creación de una alarma para el tiempo de espera de respuesta](#latency-alarm)
+ [Creación de una alarma para los errores reintentables](#retryable-errors-alarm)
+ [Creación de una alarma para los errores no reintentables](#nonretryable-errors-alarm)
## Creación de una alarma para el vencimiento del certificado
Esta alarma utiliza la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) métrica que se AWS KMS publica CloudWatch para registrar la caducidad prevista del certificado TLS asociado al punto de conexión proxy del almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
Le recomendamos configurar la alarma para que le avise 10 días antes de que venza su certificado, pero debe establecer el umbral que mejor se adapte a sus necesidades.
**Crear la alarma**
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija **KMS** y, a continuación, elija **XKS Proxy Certificate Metrics** (Métricas del certificado de proxy XKS). Seleccione la casilla de verificación junto al `XksProxyCertificateName` que desea monitorear. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Estadística | Mínimo |
| Periodo | 5 minutos |
| Tipo de umbral | Estático |
| Whenever… | Siempre que XksProxyCertificateDaysToExpiresea Lower que10. |
## Creación de una alarma para el tiempo de espera de respuesta
Esta alarma utiliza la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrica en la que se AWS KMS publica CloudWatch para registrar el número de milisegundos que tarda un proxy de almacén de claves externo en responder a una AWS KMS solicitud. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
AWS KMS espera que el proxy del almacén de claves externo responda a cada solicitud en un plazo de 250 milisegundos. Recomendamos configurar una alarma para que le avise cuando su proxy del almacén de claves externo tarde más de 200 milisegundos en responder, pero debe establecer el umbral que mejor se adapte a sus necesidades.
**Crear la alarma**
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija **KMS** y, a continuación, elija **XKS Proxy Latency Metrics** (Métricas del certificado de proxy XKS). Seleccione la casilla de verificación junto al `KmsOperation` que desea monitorear. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Estadística | Media |
| Periodo | 5 minutos |
| Tipo de umbral | Estático |
| Whenever… | Siempre que XksProxyLatencysea Greater que200. |
## Creación de una alarma para los errores reintentables
Esta alarma utiliza la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica en la que se AWS KMS publica CloudWatch para registrar el número de excepciones relacionadas con AWS KMS las solicitudes al proxy del almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
Los errores reintentables reducirán el porcentaje de fiabilidad y pueden indicar errores de red. Le recomendamos configurar una alarma para que le avise cuando se registren más de cinco errores reintentables en un periodo de un minuto, pero debe establecer el umbral que mejor se adapte a sus necesidades.
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija la pestaña **Queries** (Consultas). Elija `AWS/KMS` para **Namespace** (Espacio de nombres). Ingrese `SUM(XksProxyErrors)` para **Metric name** (Nombre de la métrica). Ingrese `ErrorType = Retryable` para **Filter by** (Filtrar por). Seleccione **Ejecutar**. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Etiqueta | Retryable errors |
| Periodo | 1 minuto |
| Tipo de umbral | Estático |
| Whenever… | Siempre que q1 sea Greater que 5. |
## Creación de una alarma para los errores no reintentables
Esta alarma utiliza la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica que se AWS KMS publica CloudWatch para registrar el número de excepciones relacionadas con AWS KMS las solicitudes al proxy del almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
Los errores no reintentables pueden indicar un problema con la configuración del almacén de claves externo. Le recomendamos configurar una alarma para que le avise cuando se registren más de cinco errores no reintentables en un periodo de un minuto, pero debe establecer el umbral que mejor se adapte a sus necesidades.
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija la pestaña **Queries** (Consultas). Elija `AWS/KMS` para **Namespace** (Espacio de nombres). Ingrese `SUM(XksProxyErrors)` para **Metric name** (Nombre de la métrica). Ingrese `ErrorType = Non-retryable` para **Filter by** (Filtrar por). Seleccione **Ejecutar**. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Etiqueta | Non-retryable errors |
| Periodo | 1 minuto |
| Tipo de umbral | Estático |
| Whenever… | Siempre que q1 sea Greater que 5. |
# Supervise las claves de KMS con Amazon EventBridge
Puede usar Amazon EventBridge (anteriormente Amazon CloudWatch Events) para que le avise de los siguientes eventos importantes en el ciclo de vida de sus claves de KMS.
+ El material clave de una clave de KMS tuvo rotación automática o a pedido.
+ El material de clave importado en una clave KMS se ha vencido.
+ Se eliminó una clave KMS cuya eliminación estaba programada.
AWS KMS se integra con Amazon EventBridge para notificarle los eventos importantes que afectan a sus claves de KMS. Cada evento se representa en [JSON (notación de JavaScript objetos)](http://json.org) e incluye el nombre del evento, la fecha y hora en que se produjo el evento y las personas afectadas. Puede recopilar estos eventos y establecer reglas que los dirijan a uno o más *destinos*, como AWS Lambda funciones, temas de Amazon SNS, colas de Amazon SQS, transmisiones en Amazon Kinesis Data Streams o destinos integrados.
Para obtener más información sobre su uso EventBridge con otros tipos de eventos, incluidos los que se emiten AWS CloudTrail cuando se registra una solicitud de read/write API, consulta la [Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
En los temas siguientes se describen los EventBridge eventos que se AWS KMS generan.
## Rotación de CMK de KMS
AWS KMS admite la [rotación automática y bajo demanda](rotate-keys.md) del material clave en las claves KMS de cifrado simétrico.
Cada vez que AWS KMS rota el material clave, envía un `KMS CMK Rotation` evento a. EventBridge AWS KMS genera este evento haciendo el mejor esfuerzo posible.
A continuación se muestra un ejemplo de este evento.
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "KMS CMK Rotation",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-origin": "AWS_KMS",
"rotation-type": "ON_DEMAND",
"previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
}
}
```
## Vencimiento del material de claves importado de KMS
Al [importar material de claves en una clave KMS](importing-keys.md), también puede especificar una hora en la que vence el material de claves. Cuando el material clave caduque, lo AWS KMS elimina y envía el `KMS Imported Key Material Expiration` evento correspondiente a. EventBridge AWS KMS genera este evento haciendo el mejor esfuerzo posible.
A continuación se muestra un ejemplo de este evento.
```
{
"version": "0",
"id": "9da9af57-9253-4406-87cb-7cc400e43465",
"detail-type": "KMS Imported Key Material Expiration",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
## Eliminación de CMK de KMS
Al programar una [eliminación de claves](deleting-keys.md) de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Una vez finalizado el período de espera, AWS KMS elimina la clave KMS y envía un `KMS CMK Deletion` evento a. EventBridge AWS KMS garantiza este EventBridge evento. Debido a los reintentos, puede generar varios eventos en unos segundos que eliminan la misma clave KMS.
A continuación se muestra un ejemplo de este evento.
```
{
"version": "0",
"id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
"detail-type": "KMS CMK Deletion",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
```