Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Decrypt
Ces exemples montrent AWS CloudTrail entrées de journal pour l'opération de déchiffrement.
L'entrée du CloudTrail journal d'une Decrypt opération inclut toujours le encryptionAlgorithm in requestParameters même si l'algorithme de chiffrement n'a pas été spécifié dans la demande. Le texte chiffré de la demande et le texte brut de la réponse sont omis.
Rubriques
- Déchiffrer avec une clé de chiffrement symétrique standard
- Échec lors du déchiffrement avec une clé de chiffrement symétrique standard
- Déchiffrer avec une KMS clé dans un AWS CloudHSM magasin de clés
- Déchiffrer à l'aide d'une KMS clé dans un magasin de clés externe
- Échec du déchiffrement avec une KMS clé dans un magasin de clés externe
Déchiffrer avec une clé de chiffrement symétrique standard
Voici un exemple d'entrée de CloudTrail journal pour une Decrypt opération utilisant une clé de chiffrement symétrique standard.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2020-07-27T22:58:24Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "encryptionContext": { "Department": "Engineering", "Project": "Alpha" } }, "responseElements": null, "requestID": "12345126-30d5-4b28-98b9-9153da559963", "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
Échec lors du déchiffrement avec une clé de chiffrement symétrique standard
L'exemple d'entrée de CloudTrail journal suivant enregistre l'échec d'une Decrypt opération avec une KMS clé de chiffrement symétrique standard. L'exception (errorCode) et le message d'erreur (errorMessage) sont inclus pour vous aider à résoudre l'erreur.
Dans ce cas, la KMS clé de chiffrement symétrique spécifiée dans la Decrypt demande n'était pas la KMS clé de chiffrement symétrique utilisée pour chiffrer les données.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2022-11-24T18:57:43Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "errorCode": "IncorrectKeyException" "errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "encryptionContext": { "Department": "Engineering", "Project": "Alpha" } }, "responseElements": null, "requestID": "22345126-30d5-4b28-98b9-9153da559963", "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
Déchiffrer avec une KMS clé dans un AWS CloudHSM magasin de clés
L'exemple d'entrée de CloudTrail journal suivant enregistre une Decrypt opération avec une KMS clé dans un AWS CloudHSM magasin de clés. Toutes les entrées de journal relatives aux opérations cryptographiques effectuées avec une KMS clé dans un magasin de clés personnalisé incluent un additionalEventData champ avec le customKeyStoreId etbackingKeyId. La valeur renvoyée dans le backingKeyId champ est l'idattribut Cloud HSM key. additionalEventData n'est pas spécifié dans la requête.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2021-10-26T23:41:27Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "encryptionContext": { "Department": "Development", "Purpose": "Test" } }, "responseElements": null, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0" }, "requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61", "eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Déchiffrer à l'aide d'une KMS clé dans un magasin de clés externe
L'exemple d'entrée de CloudTrail journal suivant enregistre une Decrypt opération avec une KMS clé dans un magasin de clés externe. Outre customKeyStoreId, le champ additionalEventData inclut l'ID de clé externe (XksKeyId). additionalEventData n'est pas spécifié dans la requête.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2022-11-24T00:26:58Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "encryptionContext": { "Department": "Engineering", "Purpose": "Test" } }, "responseElements": null, "additionalEventData": { "customKeyStoreId": "cks-9876543210fedcba9", "xksKeyId": "abc01234567890fe" }, "requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61", "eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Échec du déchiffrement avec une KMS clé dans un magasin de clés externe
L'exemple d'entrée de CloudTrail journal suivant enregistre l'échec d'une demande d'Decryptopération avec une KMS clé dans une banque de clés externe. CloudWatch enregistre les demandes qui échouent, en plus des demandes réussies. Lors de l'enregistrement d'un échec, l'entrée du CloudTrail journal inclut l'exception (errorCode) et le message d'erreur (errorMessage) qui l'accompagne.
Si la requête échouée a atteint votre proxy de magasin de clés externe, comme dans cet exemple, vous pouvez utiliser la valeur requestId pour associer la requête échouée à une requête correspondante des journaux de votre proxy de magasin de clés externe, si votre proxy les fournit.
Pour obtenir de l'aide concernant les requêtes Decrypt provenant de magasins de clés externes, veuillez consulter la rubrique Erreurs de déchiffrement.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2022-11-24T00:26:58Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "errorCode": "KMSInvalidStateException", "errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "encryptionContext": { "Department": "Engineering", "Purpose": "Test" } }, "responseElements": null, "additionalEventData": { "customKeyStoreId": "cks-9876543210fedcba9", "xksKeyId": "abc01234567890fe" }, "requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61", "eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
