Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Registro de llamadas a la API de criptografía de AWS pagos mediante AWS CloudTrail
AWS La criptografía de pagos está integrada con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en criptografía de AWS pagos. CloudTrail captura todas las llamadas a la API para la criptografía AWS de pagos como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de y las llamadas desde el código a las operaciones de la API de . Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de criptografía de AWS pagos. Si no configura un registro, podrá ver los eventos de administración (plano de control) más recientes en la CloudTrail consola, en el **historial** de eventos. Con la información recopilada por usted CloudTrail, puede determinar la solicitud que se realizó a AWS Payment Cryptography, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, consulte la [Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Información sobre criptografía de pagos en CloudTrail](#service-name-info-in-cloudtrail)
+ [Controle los eventos del plano en CloudTrail](#management-events-in-cloud-trail)
+ [Eventos de datos en CloudTrail](#data-events-in-cloud-trail)
+ [Comprensión AWS de las entradas de los archivos de registro del plano de control de criptografía de pagos](#understanding-controlplane-entries)
+ [Descripción de las entradas de los archivos de registro del plano de datos de criptografía de AWS pagos](#understanding-dataplane-entries)
## AWS Información sobre criptografía de pagos en CloudTrail
CloudTrail está habilitada en su AWS cuenta al crear la cuenta. Cuando se produce una actividad en la criptografía de AWS pagos, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial** de eventos. Se puede ver, buscar y descargar los últimos eventos de la cuenta de AWS . Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para tener un registro continuo de los eventos de tu AWS cuenta, incluidos los relacionados con la criptografía de AWS pagos, crea un registro. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de AWS . La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
+ [Recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM).
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el [elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Controle los eventos del plano en CloudTrail
CloudTrail registra las operaciones de criptografía de AWS pagos, como [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html),, [ImportKey[DeleteKey[ListKeys[TagResource](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_TagResource.html)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ListKeys.html)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_DeleteKey.html)](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html), y todas las demás operaciones del plano de control.
## Eventos de datos en CloudTrail
[Los eventos de datos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events.html) proporcionan información sobre las operaciones de recursos que se realizan en un recurso o dentro de él, como el cifrado de una carga útil o la traducción de un PIN. Los eventos de datos son actividades de gran volumen que CloudTrail no se registran de forma predeterminada. Puede habilitar el registro de acciones de la API de eventos de datos para los eventos del plano de datos de criptografía de AWS pagos mediante nuestra consola CloudTrail APIs . Para obtener más información, consulte [Registro de eventos de datos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) en la *Guía del usuario de AWS CloudTrail *.
Con CloudTrail, debe utilizar selectores de eventos avanzados para decidir qué actividades de la API de criptografía de AWS pagos se registran y registran. Para registrar los eventos del plano de datos de criptografía de AWS pagos, debes incluir el tipo de recurso y. `AWS Payment Cryptography key` `AWS Payment Cryptography alias` Una vez establecido esto, puede ajustar aún más las preferencias de registro seleccionando eventos de datos específicos para registrarlos, por ejemplo, mediante el uso del filtro `eventName` para realizar un seguimiento de los eventos de `EncryptData`. Para obtener más información, consulta [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html) en la *AWS CloudTrail Referencia de la API de *.
**nota**
Para suscribirse a los eventos de datos de criptografía de AWS pagos, debe utilizar selectores de eventos avanzados. Recomendamos suscribirse a los eventos clave y de alias para asegurarse de recibir todos los eventos.
**AWS Eventos de datos de criptografía de pagos:**
+ `[DecryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html)`
+ `[EncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_EncryptData.html)`
+ `[GenerateCardValidationData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateCardValidationData.html)`
+ `[GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html)`
+ `[GeneratePinData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GeneratePinData.html)`
+ `[ReEncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_ReEncryptData.html)`
+ `[TranslatePinData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_TranslatePinData.html)`
+ `[VerifyAuthRequestCryptogram](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyAuthRequestCryptogram.html)`
+ `[VerifyCardValidationData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyCardValidationData.html)`
+ `[VerifyMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyMac.html)`
+ `[VerifyPinData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyPinData.html)`
Se aplican cargos adicionales a los eventos de datos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
## Comprensión AWS de las entradas de los archivos de registro del plano de control de criptografía de pagos
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que muestra la `CreateKey` acción AWS de criptografía de pagos.
```
{
CloudTrailEvent: {
tlsDetails= {
TlsDetails: {
cipherSuite=TLS_AES_128_GCM_SHA256,
tlsVersion=TLSv1.3,
clientProvidedHostHeader=controlplane.paymentcryptography.us-west-2.amazonaws.com
}
},
requestParameters=CreateKeyInput (
keyAttributes=KeyAttributes(
KeyUsage=TR31_B0_BASE_DERIVATION_KEY,
keyClass=SYMMETRIC_KEY,
keyAlgorithm=AES_128,
keyModesOfUse=KeyModesOfUse(
encrypt=false,
decrypt=false,
wrap=false
unwrap=false,
generate=false,
sign=false,
verify=false,
deriveKey=true,
noRestrictions=false)
),
keyCheckValueAlgorithm=null,
exportable=true,
enabled=true,
tags=null),
eventName=CreateKey,
userAgent=Coral/Apache-HttpClient5,
responseElements=CreateKeyOutput(
key=Key(
keyArn=arn:aws:payment-cryptography:us-east-2:111122223333:key/5rplquuwozodpwsp,
keyAttributes=KeyAttributes(
KeyUsage=TR31_B0_BASE_DERIVATION_KEY,
keyClass=SYMMETRIC_KEY,
keyAlgorithm=AES_128,
keyModesOfUse=KeyModesOfUse(
encrypt=false,
decrypt=false,
wrap=false,
unwrap=false,
generate=false,
sign=false,
verify=false,
deriveKey=true,
noRestrictions=false)
),
keyCheckValue=FE23D3,
keyCheckValueAlgorithm=ANSI_X9_24,
enabled=true,
exportable=true,
keyState=CREATE_COMPLETE,
keyOrigin=AWS_PAYMENT_CRYPTOGRAPHY,
createTimestamp=Sun May 21 18:58:32 UTC 2023,
usageStartTimestamp=Sun May 21 18:58:32 UTC 2023,
usageStopTimestamp=null,
deletePendingTimestamp=null,
deleteTimestamp=null)
),
sourceIPAddress=192.158.1.38,
userIdentity={
UserIdentity: {
arn=arn:aws:sts::111122223333:assumed-role/TestAssumeRole-us-west-2/ControlPlane-IntegTest-68211a2a-3e9d-42b7-86ac-c682520e0410,
invokedBy=null,
accessKeyId=TESTXECZ5U2ZULLHHMJG,
type=AssumedRole,
sessionContext={
SessionContext: {
sessionIssuer={
SessionIssuer: {arn=arn:aws:iam::111122223333:role/TestAssumeRole-us-west-2,
type=Role,
accountId=111122223333,
userName=TestAssumeRole-us-west-2,
principalId=TESTXECZ5U9M4LGF2N6Y5}
},
attributes={
SessionContextAttributes: {
creationDate=Sun May 21 18:58:31 UTC 2023,
mfaAuthenticated=false
}
},
webIdFederationData=null
}
},
username=null,
principalId=TESTXECZ5U9M4LGF2N6Y5:ControlPlane-User,
accountId=111122223333,
identityProvider=null
}
},
eventTime=Sun May 21 18:58:32 UTC 2023,
managementEvent=true,
recipientAccountId=111122223333,
awsRegion=us-west-2,
requestID=151cdd67-4321-1234-9999-dce10d45c92e,
eventVersion=1.08, eventType=AwsApiCall,
readOnly=false,
eventID=c69e3101-eac2-1b4d-b942-019919ad2faf,
eventSource=payment-cryptography.amazonaws.com,
eventCategory=Management,
additionalEventData={
}
}
}
```
El siguiente ejemplo muestra una entrada de CloudTrail registro que demuestra que la criptografía de AWS pagos permite la replicación de claves multirregionales.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"eventTime": "2025-08-15T17:50:41Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "payment-cryptography.amazonaws.com",
"userAgent": "payment-cryptography.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "55c0fcbc-5b2e-4bd2-a976-99305be6e6fc",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/key-id",
"replicationRegion": "us-east-2"
},
"eventCategory": "Management"
}
```
## Descripción de las entradas de los archivos de registro del plano de datos de criptografía de AWS pagos
Los eventos del plano de datos se pueden configurar opcionalmente y funcionan de manera similar a los registros del plano de control, pero suelen tener volúmenes mucho más altos. Dado el carácter confidencial de algunas entradas y salidas de las operaciones del plano de datos de criptografía de AWS pagos, es posible que en algunos campos aparezca el mensaje «\$1\$1\$1 Datos confidenciales redactados \$1\$1\$1». Esto no se puede configurar y su objetivo es evitar que los datos confidenciales aparezcan en los registros o registros.
El siguiente ejemplo muestra una entrada de CloudTrail registro que muestra la `EncryptData` acción de criptografía de AWS pagos.
```
{
"Records": [
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTXECZ5U2ZULLHHMJG:DataPlane-User",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/DataPlane-User",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"userName": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-07-09T14:23:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-07-09T14:24:02Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "GenerateCardValidationData",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.158.1.38",
"userAgent": "aws-cli/2.17.6 md/awscrt#0.20.11 ua/2.0 os/macos#23.4.0 md/arch#x86_64 lang/python#3.11.8 md/pyimpl#CPython cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#payment-cryptography-data.generate-card-validation-data",
"requestParameters": {
"key_identifier": "arn:aws:payment-cryptography:us-east-2:111122223333:key/5rplquuwozodpwsp",
"primary_account_number": "*** Sensitive Data Redacted ***",
"generation_attributes": {
"CardVerificationValue2": {
"card_expiry_date": "*** Sensitive Data Redacted ***"
}
}
},
"responseElements": null,
"requestID": "f2a99da8-91e2-47a9-b9d2-1706e733991e",
"eventID": "e4eb3785-ac6a-4589-97a1-babdd3d4dd95",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::PaymentCryptography::Key",
"ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/5rplquuwozodpwsp"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "dataplane.payment-cryptography.us-east-2.amazonaws.com"
}
}
]
}
```