Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Journalisation des appels d' AWS KMS API avec AWS CloudTrail
AWS KMS est intégré à AWS CloudTrailun service qui enregistre tous les appels AWS KMS adressés par les utilisateurs, les rôles et les autres AWS services. CloudTrail capture tous les appels d'API AWS KMS sous forme d'événements, y compris les appels depuis la AWS KMS console, les AWS KMS API, les AWS CloudFormation modèles, le AWS Command Line Interface (AWS CLI) et AWS Tools for PowerShell.
CloudTrail enregistre toutes les AWS KMS opérations, y compris les opérations en lecture seule, telles que ListAliaseset GetKeyRotationStatus, les opérations qui gèrent les clés KMS, telles que CreateKeyet, et les opérations cryptographiques PutKeyPolicy, telles que GenerateDataKeyet Decrypt. Il enregistre également les opérations internes AWS KMS qui vous concernent, telles que DeleteExpiredKeyMaterialDeleteKey, SynchronizeMultiRegionKey, et RotateKey.
CloudTrail enregistre les opérations réussies et les tentatives d'appels qui ont échoué, par exemple lorsque l'accès à une ressource est refusé à l'appelant. Les opérations intercomptes sur clés KMS sont journalisées à la fois sur le compte appelant et le compte propriétaire de la clé KMS. Toutefois, les AWS KMS demandes entre comptes rejetées parce que l'accès est refusé ne sont enregistrées que dans le compte de l'appelant.
Pour des raisons de sécurité, certains champs sont omis des entrées du AWS KMS journal, tels que le Plaintext paramètre d'une demande de chiffrement, la réponse à une opération cryptographique GetKeyPolicyou toute autre opération cryptographique. Pour faciliter la recherche d'entrées de CloudTrail journal pour des clés KMS spécifiques, AWS KMS ajoute l'ARN clé de la clé KMS affectée au responseElements champ des entrées de journal pour certaines opérations de gestion des AWS KMS clés, même si l'opération d'API ne renvoie pas l'ARN de la clé.
Bien que, par défaut, toutes les AWS KMS actions soient enregistrées en tant qu' CloudTrail événements, vous pouvez AWS KMS les exclure d'un CloudTrail suivi. Pour plus de détails, consultez Exclure AWS KMS des événements d'un parcours.
En savoir plus :
-
Pour CloudTrail obtenir des exemples d' AWS KMS opérations enregistrées pour une enclave AWS Nitro, consultezDemandes de surveillance pour les enclaves Nitro.
Rubriques
Enregistrement des événements dans CloudTrail
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité se produit dans AWS KMS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section Affichage des événements à l'aide de l'historique des CloudTrail événements.
Pour un enregistrement continu des événements de votre région Compte AWS, y compris des événements pour AWS KMS, créez un parcours. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions Régions AWS. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez en configurer d'autres Services AWS pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. section withinPour plus d'informations, consultez :
Pour en savoir plus CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur. Pour en savoir plus sur les autres façons de contrôler l'utilisation de vos clés KMS, veuillez consulter Surveillance des AWS KMS keys.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
-
Si la demande a été effectuée avec des informations d'identification racine ou avec les informations d'identification d'un utilisateur IAM.
-
Si la demande a été effectuée avec des informations d'identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.
-
Si la demande a été faite par une autre personne Service AWS.
Pour plus d'informations, consultez l'élément CloudTrail UserIdentity.
Recherche d'événements dans CloudTrail
Pour rechercher des entrées de CloudTrail journal, utilisez la CloudTrail console ou l'CloudTrail LookupEventsopération. CloudTrail prend en charge de nombreuses valeurs d'attribut pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.
Pour vous aider à rechercher des entrées de AWS KMS journal dans CloudTrail, AWS KMS remplit les champs d'entrée de CloudTrail journal suivants.
Note
À compter de décembre 2022, AWS KMS remplit les attributs Type de ressource et Nom de ressource dans toutes les opérations de gestion qui modifient une clé KMS particulière. Ces valeurs d'attribut peuvent être nulles dans les anciennes CloudTrail entrées pour les opérations suivantes : CreateAliasCreateGrantDeleteAliasDeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias, et UpdatePrimaryRegion.
| Attribut | Valeur | Entrées de journal |
|---|---|---|
Source de l'événement (EventSource) |
kms.amazonaws.com |
Toutes les opérations. |
Type de ressource (ResourceType) |
AWS::KMS::Key |
Opérations de gestion qui modifient une clé KMS particulière, telles que CreateKey et EnableKey, mais pas ListKeys. |
Nom de ressource (ResourceName) |
ARN de clé (ou ID de clé et ARN de clé) | Opérations de gestion qui modifient une clé KMS particulière, telles que CreateKey et EnableKey, mais pas ListKeys. |
Pour vous aider à trouver des entrées de journal pour les opérations de gestion sur des clés KMS spécifiques, AWS KMS
enregistre l'ARN de la clé KMS affectée dans l'responseElements.keyIdélément de l'entrée de journal, même si l'opération d' AWS KMS API ne renvoie pas l'ARN de la clé.
Par exemple, un appel réussi à l'DisableKeyopération ne renvoie aucune valeur dans la réponse, mais au lieu d'une valeur nulle, la responseElements.keyId valeur de l'entrée du DisableKey journal inclut l'ARN de la clé KMS désactivée.
Cette fonctionnalité a été ajoutée en décembre 2022 et concerne les entrées de CloudTrail journal suivantes : CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias, et UpdatePrimaryRegion.
Exclure AWS KMS des événements d'un parcours
Pour fournir un enregistrement de l'utilisation et de la gestion de leurs AWS KMS ressources, la plupart des AWS KMS utilisateurs s'appuient sur les événements d'un CloudTrail sentier. Le journal peut être une source de données précieuse pour l'audit d'événements critiques, tels que la création, la désactivation et la suppression AWS KMS keys, la modification de la politique en matière de clés et l'utilisation de vos clés KMS par les AWS services en votre nom. Dans certains cas, les métadonnées d'une entrée de CloudTrail journal, telles que le contexte de chiffrement d'une opération de chiffrement, peuvent vous aider à éviter ou à résoudre les erreurs.
Cependant, comme il AWS KMS peut générer un grand nombre d'événements, vous AWS CloudTrail permet d'exclure AWS KMS des événements d'un suivi. Ce paramètre par parcours exclut tous les AWS KMS événements ; vous ne pouvez pas exclure AWS KMS des événements particuliers.
Avertissement
L'exclusion d' AWS KMS événements d'un CloudTrail journal peut masquer les actions qui utilisent vos clés KMS. Soyez prudent lorsque vous accordez aux principaux l'autorisation cloudtrail:PutEventSelectors nécessaire pour effectuer cette opération.
Pour exclure AWS KMS des événements d'un parcours :
-
Dans la CloudTrail console, utilisez le paramètre des événements du service Log Key Management lorsque vous créez un journal ou que vous le mettez à jour. Pour obtenir des instructions, reportez-vous à la section Logging Management Events AWS Management Console dans le guide de AWS CloudTrail l'utilisateur.
-
Dans l' CloudTrail API, utilisez l'PutEventSelectorsopération. Ajoutez l'attribut
ExcludeManagementEventSourcesà vos sélecteurs d'événements avec la valeurkms.amazonaws.com. Pour un exemple, voir Exemple : un journal qui n'enregistre pas les AWS Key Management Service événements dans le guide de AWS CloudTrail l'utilisateur.
Vous pouvez désactiver cette exclusion à tout moment en modifiant le paramètres de la console ou les sélecteurs d'événements d'un journal de suivi. Le sentier commencera alors à enregistrer AWS KMS les événements. Cependant, il ne peut pas récupérer les AWS KMS événements survenus pendant que l'exclusion était effective.
Lorsque vous excluez AWS KMS des événements à l'aide de la console ou de l'API, l'opération CloudTrail PutEventSelectors d'API qui en résulte est également enregistrée dans vos CloudTrail journaux. Si AWS KMS
les événements n'apparaissent pas dans vos CloudTrail journaux, recherchez un PutEventSelectors événement dont l'ExcludeManagementEventSourcesattribut est défini surkms.amazonaws.com.
