Rechercher des alias dans les journaux AWS CloudTrail - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rechercher des alias dans les journaux AWS CloudTrail

Vous pouvez utiliser un alias pour représenter un AWS KMS key dans une AWS KMS API opération. Lorsque vous le faites, l'alias et la clé ARN de la KMS clé sont enregistrés dans l'entrée du AWS CloudTrail journal de l'événement. L'alias apparaît dans le champ requestParameters. La clé ARN apparaît dans le resources champ. Cela est vrai même lorsqu'un AWS service utilise un Clé gérée par AWS dans votre compte.

Par exemple, la GenerateDataKeydemande suivante utilise l'project-keyalias pour représenter une KMS clé.

$ aws kms generate-data-key --key-id alias/project-key --key-spec AES_256

Lorsque cette demande est enregistrée dans le CloudTrail journal, l'entrée du journal inclut à la fois l'alias et la clé ARN de la KMS clé réellement utilisée. 

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "ABCDE",
        "arn": "arn:aws:iam::111122223333:role/ProjectDev",
        "accountId": "111122223333",
        "accessKeyId": "FFHIJ",
        "userName": "example-dev"
    },
    "eventTime": "2020-06-29T23:36:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.205.123.000",
    "userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12",
    "requestParameters": {
        "keyId": "alias/project-key",
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363",
    "eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}

Pour plus de détails sur les AWS KMS opérations de journalisation dans CloudTrail les journaux, consultezEnregistrement AWS KMS API des appels avec AWS CloudTrail.