Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Conexión a la criptografía AWS de pagos a través de un punto final de VPC
Puede conectarse directamente a la criptografía de AWS pagos a través de un punto final de interfaz privada en su nube privada virtual (VPC). Cuando utiliza un punto final de VPC de interfaz, la comunicación entre su VPC y la criptografía de AWS pagos se lleva a cabo íntegramente dentro de la red. AWS
AWS La criptografía de pagos es compatible con los puntos de conexión de Amazon Virtual Private Cloud (Amazon VPC) con la tecnología de. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Cada punto final de la VPC está representado por una o más [interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) con direcciones IP privadas en las subredes de la VPC.
El punto final de la interfaz VPC conecta su VPC directamente a la criptografía de AWS pagos sin necesidad de una pasarela de Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con AWS Payment Cryptography.
**Regions**
AWS La criptografía de pagos es compatible con los puntos de enlace de VPC y las políticas de puntos de enlace de VPC Regiones de AWS [AWS en](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html) todos los que se admite la criptografía de pagos.
**Topics**
+ [Consideraciones sobre los puntos AWS finales de VPC de criptografía de pagos](#vpce-considerations)
+ [Creación de un punto final de VPC para AWS criptografía de pagos](#vpce-create-endpoint)
+ [Conexión a un punto final de AWS VPC de criptografía de pagos](#vpce-connect)
+ [Control del acceso a un punto de conexión de VPC](#vpce-policy)
+ [Utilizar un punto de conexión de VPC en una declaración de política](#vpce-policy-condition)
+ [Registro de su punto de conexión de VPC](#vpce-logging)
## Consideraciones sobre los puntos AWS finales de VPC de criptografía de pagos
**nota**
Si bien los puntos de enlace de la VPC le permiten conectarse al servicio en tan solo una zona de disponibilidad (AZ), le recomendamos que se conecte a tres zonas de disponibilidad por motivos de alta disponibilidad y redundancia.
*Antes de configurar un punto final de la VPC de la interfaz para la criptografía de AWS pagos, consulte el tema de [propiedades y limitaciones del punto final de la interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) en la Guía.AWS PrivateLink *
AWS El soporte de criptografía de pagos para un punto final de VPC incluye lo siguiente.
+ Puede usar su punto final de VPC para llamar a todas las operaciones del plano de [control de criptografía de AWS pagos y las operaciones del plano](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html) de [datos de criptografía de AWS pagos desde](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html) una VPC.
+ Puede crear un punto final de VPC de interfaz que se conecte a un punto final de la región de criptografía AWS de pagos.
+ AWS La criptografía de pagos consta de un plano de control y un plano de datos. Puede elegir configurar uno o ambos subservicios, AWS PrivateLink pero cada uno se configura por separado.
+ Puedes usar AWS CloudTrail los registros para auditar tu uso de las claves de criptografía de AWS pago a través del punto final de la VPC. Para obtener más información, consulte [Registro de su punto de conexión de VPC](#vpce-logging).
## Creación de un punto final de VPC para AWS criptografía de pagos
Puede crear un punto de conexión de VPC para la criptografía de AWS pagos mediante la consola de Amazon VPC o la API de Amazon VPC. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) en la *Guía de AWS PrivateLink *.
+ Para crear un punto final de VPC para la criptografía AWS de pagos, utilice los siguientes nombres de servicio:
```
com.amazonaws.region.payment-cryptography.controlplane
```
```
com.amazonaws.region.payment-cryptography.dataplane
```
Por ejemplo, en la región EE.UU. Oeste (Oregón) (`us-west-2`), los nombres de los servicios serían:
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
Para facilitar el uso del punto de conexión de VPC, puede habilitar un [nombre de DNS privado](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) para el punto de conexión de VPC. Si selecciona la opción **Habilitar nombre DNS, el nombre** de host DNS de criptografía de AWS pagos estándar se transfiere a su punto final de VPC. Por ejemplo, `https://controlplane.payment-cryptography.us-west-2.amazonaws.com` se resolvería en un punto de conexión de VPC conectado al nombre del servicio `com.amazonaws.us-west-2.payment-cryptography.controlplane`.
Esta opción facilita el uso del punto de conexión de VPC. De forma predeterminada, AWS CLI utilizan el nombre de host DNS de criptografía de AWS pagos estándar, por lo que no es necesario especificar la URL del punto de conexión de la VPC en las aplicaciones y los comandos. AWS SDKs
Para obtener más información, consulte [Acceso a un servicio a través de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) en la *Guía de AWS PrivateLink *.
## Conexión a un punto final de AWS VPC de criptografía de pagos
Puede conectarse a la criptografía AWS de pagos a través del punto final de la VPC mediante AWS un SDK, AWS CLI el o. Herramientas de AWS para PowerShell Para especificar el punto de conexión de VPC, utilice su nombre de DNS.
Por ejemplo, este comando [list-keys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html) utiliza el parámetro `endpoint-url` para especificar el punto de conexión de VPC. Para utilizar un comando de este tipo, sustituya el ID del punto de conexión de VPC del ejemplo por uno de su cuenta.
```
$ aws payment-cryptography list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
Si ha habilitado los nombres de host privados al crear el punto de conexión de VPC, no es necesario que especifique la URL de este en los comandos de la CLI ni en la configuración de la aplicación. El nombre de host DNS AWS de criptografía de pagos estándar se resuelve en el punto final de la VPC. AWS CLI Y SDKs usa este nombre de host de forma predeterminada para que puedas empezar a usar el punto final de la VPC para conectarte a AWS un punto final regional de criptografía de pagos sin cambiar nada en tus scripts y aplicaciones.
Para utilizar nombres de host privados, se deben establecer los atributos `enableDnsHostnames` y `enableDnsSupport` de la VPC en `true`. Para configurar estos atributos, utilice la operación. [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) Para obtener más información, consulte [Ver y actualizar los atributos de DNS de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) en la *Guía del usuario de Amazon VPC*.
## Control del acceso a un punto de conexión de VPC
Para controlar el acceso a su punto final de VPC para la criptografía de AWS pagos, adjunte una *política de punto final de VPC a su punto de enlace de VPC*. La política de puntos finales determina si los principales pueden usar el punto final de la VPC para AWS llamar a las operaciones de criptografía de pagos con recursos de criptografía de pagos AWS específicos.
Puede crear una política de punto de conexión de VPC cuando cree el punto de conexión y puede cambiar la política de punto de conexión de VPC en cualquier momento. Utilice la consola de administración de VPC o las operaciones [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)o [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html). También puede crear y cambiar una política de puntos finales de VPC [mediante una AWS CloudFormation plantilla](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html). Para obtener ayuda sobre el uso de la consola de administración de la VPC, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) y [Modificación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) en la *Guía de AWS PrivateLink *.
Para obtener ayuda sobre cómo escribir y dar formato a un documento de política JSON, consulte la [Referencia de políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Uso de políticas de punto de conexión de VPC](#vpce-policy-about)
+ [Política de puntos de conexión de VPC predeterminada](#vpce-default-policy)
+ [Creación de una política de punto de conexión de VPC](#vpce-policy-create)
+ [Visualización de una política de punto de conexión de VPC](#vpce-policy-get)
### Uso de políticas de punto de conexión de VPC
Para que una solicitud de criptografía de AWS pagos que utilice un punto final de VPC se realice correctamente, el director necesita permisos de dos fuentes:
+ Una [política basada en la identidad](security_iam_id-based-policy-examples.md) debe conceder al principal permiso para realizar la operación en el recurso (claves o alias de criptografía AWS de pagos).
+ Una política de extremo de VPC debe conceder a la entidad principal permiso para utilizar el punto de conexión para realizar la solicitud.
Por ejemplo, una política clave puede conceder a un director permiso para llamar a [Decrypt](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) en una determinada AWS clave de criptografía de pago. Sin embargo, es posible que la política de puntos finales de la VPC no permita que el principal invoque `Decrypt` esas claves de criptografía de AWS pagos mediante el punto final.
O bien, una política de puntos finales de VPC podría permitir que un principal utilice el punto final para solicitar determinadas claves [StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html)de criptografía AWS de pagos. Sin embargo, si el principal no tiene esos permisos de una política de IAM, la solicitud no se realizará correctamente.
### Política de puntos de conexión de VPC predeterminada
Cada punto de conexión de VPC tiene una política de punto de conexión de VPC, pero no es necesario que especifique la política. Si no especifica una política, la política de punto de conexión predeterminada permite todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión.
Sin embargo, en el caso de los recursos de criptografía de AWS pagos, el director también debe tener permiso para llamar a la operación desde una política de [IAM](security_iam_id-based-policy-examples.md). Por lo tanto, en la práctica, la política predeterminada dice que si una entidad principal tiene permiso para llamar a una operación en un recurso, también puede llamarla mediante el punto de conexión.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Para permitir que las entidades principales utilicen el punto de conexión de VPC solo para un subconjunto de sus operaciones permitidas, [cree o modifique la política de puntos de conexión de VPC](#vpce-policy-create).
### Creación de una política de punto de conexión de VPC
Una política de punto de conexión de VPC determina si una entidad principal tiene permiso para utilizar el punto de conexión de VPC para realizar operaciones en un recurso. [En el AWS caso de los recursos de criptografía de pagos, el principal también debe tener permiso para realizar las operaciones en virtud de una política de IAM.](security_iam_id-based-policy-examples.md)
Cada declaración de política de puntos de conexión de VPC requiere los siguientes elementos:
+ La entidad principal que puede realizar acciones
+ Las acciones que se pueden realizar
+ Los recursos en los que se pueden llevar a cabo las acciones
La declaración de política no especifica el punto de conexión de VPC. En cambio, se aplica a cualquier punto de conexión de VPC al que esté asociada dicha política. Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *guía del usuario de Amazon VPC*.
El siguiente es un ejemplo de una política de punto final de VPC para criptografía de AWS pagos. Cuando se conecta a un punto final de la VPC, esta política permite usar el punto final de la VPC `ExampleUser` para llamar a las operaciones especificadas en las claves de criptografía de pago especificadas AWS . Antes de usar una política como esta, sustituya el [identificador principal y clave](concepts.md#concepts.key-identifer) del ejemplo por valores válidos de su cuenta.
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
}
]
}
```
AWS CloudTrail registra todas las operaciones que utilizan el punto final de la VPC. Sin embargo, tus CloudTrail registros no incluyen las operaciones solicitadas por los responsables de otras cuentas ni las operaciones relacionadas con las claves de criptografía de AWS pagos de otras cuentas.
Por lo tanto, es posible que desee crear una política de punto final de la VPC que impida que los directores de las cuentas externas utilicen el punto de enlace de la VPC para realizar cualquier operación de criptografía de AWS pagos en cualquier clave de la cuenta local.
En el siguiente ejemplo, se utiliza la clave de condición [aws: PrincipalAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) global para denegar el acceso a todos los principales para todas las operaciones con todas las claves de criptografía de AWS pagos, a menos que el principal esté en la cuenta local. Antes de utilizar una política como esta, sustituya el ID de la cuenta de ejemplo por uno válido.
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
### Visualización de una política de punto de conexión de VPC
Para ver la política de puntos finales de la VPC de un punto final, utilice la [consola de administración de VPC](https://console.aws.amazon.com/vpc/) o la operación. [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)
El siguiente AWS CLI comando obtiene la política del punto final con el ID de punto final de VPC especificado.
Antes de ejecutar este comando, reemplace el ID de punto de conexión de ejemplo por uno válido de su cuenta.
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpce-1234abcdf5678c90a`].[PolicyDocument]'
--output text
```
## Utilizar un punto de conexión de VPC en una declaración de política
Puede controlar el acceso a los recursos y las operaciones de criptografía de AWS pagos cuando la solicitud proviene de la VPC o utiliza un punto final de la VPC. [Para ello, utilice una política de IAM](security_iam_id-based-policy-examples.md)
+ Utilice la clave de condición `aws:sourceVpce` para conceder o restringir el acceso en función del punto de conexión de VPC.
+ Utilice la clave de condición `aws:sourceVpc` para conceder o restringir el acceso en función de la VPC que aloja el punto de conexión privado.
**nota**
La clave de `aws:sourceIP` condición no entra en vigor cuando la solicitud proviene de un punto de conexión de [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html). Para restringir las solicitudes a un punto de conexión de VPC, utilice las claves de condición `aws:sourceVpce` o `aws:sourceVpc`. Para obtener más información, consulte [Administración de identidades y accesos para puntos de conexión de VPC y servicios de puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) en la *Guía de AWS PrivateLink *.
Puede utilizar estas claves de condición globales para controlar el acceso a las claves de criptografía de AWS pagos, a los alias y a operaciones de [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)este tipo que no dependen de ningún recurso en particular.
Por ejemplo, el siguiente ejemplo de política de claves permite a un usuario realizar determinadas operaciones criptográficas con claves de criptografía de AWS pago solo cuando la solicitud utiliza el punto final de VPC especificado, lo que bloquea el acceso tanto desde Internet como desde las AWS PrivateLink conexiones (si está configurado). Cuando un usuario realiza una solicitud a AWS Payment Cryptography, el ID del punto final de la VPC de la solicitud se compara con el valor de `aws:sourceVpce` la clave de condición de la política. Si no coinciden, la solicitud se deniega.
Para usar una política como esta, reemplaza el Cuenta de AWS ID del marcador de posición y el IDs punto de enlace de VPC por valores válidos para tu cuenta.
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
También puede usar la clave de `aws:sourceVpc` condición para restringir el acceso a sus claves de criptografía de AWS pagos en función de la VPC en la que reside el punto final de la VPC.
El siguiente ejemplo de política de claves permite que los comandos gestionen las claves de criptografía de AWS pagos solo cuando proceden de ellas. `vpc-12345678` Además, permite ejecutar comandos que utilicen las claves de criptografía de AWS pagos para operaciones criptográficas únicamente cuando procedan de. `vpc-2b2b2b2b` Podría utilizar una política como esta en caso de que una aplicación se ejecute en una VPC, pero utiliza una segunda VPC aislada para funciones de administración.
Para usar una política como esta, reemplaza el Cuenta de AWS ID del marcador de posición y el IDs punto de enlace de VPC por valores válidos para tu cuenta.
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFromVPC12345678",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## Registro de su punto de conexión de VPC
AWS CloudTrail registra todas las operaciones que utilizan el punto final de la VPC. Cuando una solicitud a AWS Payment Cryptography utiliza un punto de enlace de VPC, el ID del punto de enlace de VPC aparece en [AWS CloudTrail la entrada de registro que registra la](monitoring-cloudtrail.md) solicitud. Puede usar el ID del punto final para auditar el uso de su punto final de VPC de criptografía de AWS pagos.
Para proteger su VPC, no se registran las solicitudes denegadas por una [política de puntos finales de la VPC](#vpce-policy), pero que de otro modo se habrían permitido. [AWS CloudTrail](monitoring-cloudtrail.md)
Por ejemplo, esta entrada de log de ejemplo registra una solicitud [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html) que ha utilizado el punto de enlace de la VPC. El campo `vpcEndpointId` aparece al final de la entrada de log.
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```