Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Moniteur AWS KMS keys
La surveillance joue un rôle important dans la compréhension de la disponibilité, de l'état et de l'utilisation de vos solutions, AWS KMS ainsi que AWS KMS keys dans le maintien de la fiabilité, de la disponibilité et des performances de vos AWS solutions. La collecte de données de surveillance à partir de toutes les parties de votre solution AWS vous aidera à résoudre des problèmes de défaillance multipoint, le cas échéant. Toutefois, avant de commencer la surveillance de cos clés KMS, créez un plan de surveillance incluant les réponses aux questions suivantes :
+ Quels sont les objectifs de la surveillance ?
+ Quelles sont les ressources à surveiller ?
+ À quelle fréquence les ressources doivent-elles être surveillées ?
+ Quels [outils de surveillance](#monitoring-tools) utiliser ?
+ Qui exécute les tâches de supervision ?
+ Qui doit être informé en cas de problème ?
L'étape suivante consiste à contrôler vos clés KMS au fil du temps pour établir une référence d'utilisation normale de AWS KMS et une base pour les attentes dans votre environnement. Lorsque vous contrôlez vos clés KMS, conservez les données d'historique de surveillance pour les comparer aux données actuelles afin d'identifier des modèles normaux et des anomalies, et de concevoir des méthodes pour résoudre les problèmes.
Par exemple, vous pouvez surveiller AWS KMS l'activité des API et les événements qui affectent vos clés KMS. Lorsque les données dépassent les normes supérieures ou inférieures que vous avez établies, il peut être nécessaire d'enquêter ou de prendre des mesures correctives.
Pour établir une référence pour les modèles normaux, surveillez les éléments suivants :
+ AWS KMS Activité de l'API pour les opérations du *plan de données*. Il s'agit d'[opérations cryptographiques](kms-cryptography.md#cryptographic-operations) qui utilisent une clé KMS, telles que [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) et [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html). [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ AWS KMS Activité d'API pour les opérations du *plan de contrôle* qui sont importantes pour vous. Ces opérations gèrent une clé KMS, et vous souhaiterez peut-être surveiller celles qui modifient la disponibilité d'une clé KMS (telles que [ScheduleKeyDeletion[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html), [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html), [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), et [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)) ou le contrôle d'accès d'une clé KMS (comme [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)et [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)).
+ Autres AWS KMS indicateurs (tels que le temps restant avant l'expiration du [contenu clé importé](importing-keys.md)) et événements (tels que l'expiration du contenu clé importé ou la suppression ou la rotation des clés d'une clé KMS).
## Outils de surveillance
AWS fournit divers outils que vous pouvez utiliser pour surveiller vos clés KMS. Vous pouvez configurer certains outils pour qu’ils effectuent la supervision automatiquement, tandis que d’autres nécessitent une intervention manuelle. Nous vous recommandons d’automatiser le plus possible les tâches de supervision.
### Outils de surveillance automatique
Vous pouvez utiliser les outils de surveillance automatique ci-dessous pour contrôler vos clés KMS et signaler un changement éventuel.
+ **AWS CloudTrail Surveillance des journaux** : partagez les fichiers journaux entre les comptes, surveillez les fichiers CloudTrail CloudWatch journaux en temps réel en les envoyant à Logs, rédigez des applications de traitement des journaux avec la [bibliothèque de CloudTrail traitement](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) et vérifiez que vos fichiers journaux n'ont pas changé après leur livraison par CloudTrail. Pour plus d'informations, consultez la section [Utilisation des fichiers CloudTrail journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ **Amazon CloudWatch Alarms** — Surveillez une seule métrique sur une période que vous spécifiez et effectuez une ou plusieurs actions en fonction de la valeur de la métrique par rapport à un seuil donné sur un certain nombre de périodes. L'action est une notification envoyée à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une politique Amazon EC2 Auto Scaling. CloudWatch les alarmes n'appellent pas d'actions simplement parce qu'elles sont dans un état particulier ; l'état doit avoir changé et être maintenu pendant un certain nombre de périodes. Pour de plus amples informations, veuillez consulter [Surveillez les clés KMS avec Amazon CloudWatch](monitoring-cloudwatch.md).
+ **Amazon EventBridge** — Associez les événements et acheminez-les vers une ou plusieurs fonctions ou flux cibles afin de capturer des informations d'état et, si nécessaire, d'apporter des modifications ou de prendre des mesures correctives. Pour plus d'informations, consultez [Surveillez les clés KMS avec Amazon EventBridge](kms-events.md) le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ **Amazon CloudWatch Logs** — Surveillez, stockez et accédez à vos fichiers journaux depuis AWS CloudTrail ou d'autres sources. Pour plus d'informations, consultez le [guide de l'utilisateur d'Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
### Outils de surveillance manuelle
Un autre élément important de la surveillance des clés KMS consiste à surveiller manuellement les éléments non couverts par les CloudWatch alarmes et les événements. Le tableau de bord AWS KMS CloudWatch AWS Trusted Advisor,, et les autres AWS tableaux de bord fournissent une at-a-glance vue de l'état de votre AWS environnement.
Vous pouvez [personnaliser](viewing-console-customize.md#console-customize-tables) les pages **Clés gérées par AWS** et les **clés gérées par le client** de la [console AWS KMS](https://console.aws.amazon.com/kms) pour afficher les informations suivantes sur chaque clé KMS :
+ ID de clé
+ Statut
+ Date de création
+ Date d'expiration (pour les clés KMS avec des [éléments de clé importés](importing-keys.md))
+ Origin
+ ID de magasin de clés personnalisé (pour les clés KMS dans des [magasins de clés personnalisés](key-store-overview.md#custom-key-store-overview))
Le [tableau de bord de la console CloudWatch ](https://console.aws.amazon.com/cloudwatch/home) présente les éléments suivants :
+ Alarmes et statuts en cours
+ Graphiques des alarmes et des ressources
+ Statut d’intégrité du service
En outre, vous pouvez utiliser CloudWatch pour effectuer les opérations suivantes :
+ Créer des [tableaux de bord personnalisés](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) pour surveiller les services de votre choix
+ Représenter graphiquement les données de métriques pour résoudre les problèmes et découvrir les tendances
+ Recherchez et parcourez tous les indicateurs de vos AWS ressources
+ Créer et modifier des alarmes pour être informé des problèmes
AWS Trusted Advisor peut vous aider à surveiller vos AWS ressources afin d'améliorer les performances, la fiabilité, la sécurité et la rentabilité. Quatre Trusted Advisor chèques sont disponibles pour tous les utilisateurs ; plus de 50 chèques sont disponibles pour les utilisateurs disposant d'un plan de support Business ou Enterprise. Pour de plus amples informations, veuillez consulter [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/).
# Journalisation des appels d' AWS KMS API avec AWS CloudTrail
AWS KMS est intégré à [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)un service qui enregistre tous les appels AWS KMS adressés par les utilisateurs, les rôles et les autres AWS services. CloudTrail capture tous les appels d'API AWS KMS sous forme d'événements, y compris les appels depuis la AWS KMS console AWS KMS APIs, les CloudFormation modèles, le AWS Command Line Interface (AWS CLI) et Outils AWS pour PowerShell.
CloudTrail [enregistre toutes les AWS KMS opérations, y compris les opérations en lecture seule, telles que [ListAliases](ct-listaliases.md)et [GetKeyRotationStatus](ct-getkeyrotationstatus.md), les opérations qui gèrent les clés KMS, telles que [CreateKey](ct-createkey.md)et, et les [opérations cryptographiques [PutKeyPolicy](ct-put-key-policy.md)](kms-cryptography.md#cryptographic-operations), telles que [GenerateDataKey](ct-generatedatakey.md)et Decrypt.](ct-decrypt.md) Il enregistre également les opérations internes AWS KMS qui vous concernent, telles que [DeleteExpiredKeyMaterial[DeleteKey](ct-delete-key.md)](ct-deleteexpiredkeymaterial.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), et [RotateKey](ct-rotatekey.md).
CloudTrail enregistre toutes les opérations réussies et, dans certains scénarios, les tentatives d'appels qui ont échoué, par exemple lorsque l'accès à une ressource est refusé à l'appelant. Les [opérations intercomptes sur clés KMS](key-policy-modifying-external-accounts.md) sont journalisées à la fois sur le compte appelant et le compte propriétaire de la clé KMS. Toutefois, les AWS KMS demandes entre comptes rejetées parce que l'accès est refusé ne sont enregistrées que dans le compte de l'appelant.
Pour des raisons de sécurité, certains champs sont omis des entrées du AWS KMS journal, tels que le `Plaintext` paramètre d'une demande de [chiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html), la réponse à une opération cryptographique [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)ou toute autre opération cryptographique. Pour faciliter la recherche d'entrées de CloudTrail journal pour des clés KMS spécifiques, AWS KMS ajoute l'[ARN clé](concepts.md#key-id-key-ARN) de la clé KMS affectée au `responseElements` champ des entrées de journal pour certaines opérations de gestion des AWS KMS clés, même si l'opération d'API ne renvoie pas l'ARN de la clé.
Bien que, par défaut, toutes les AWS KMS actions soient enregistrées en tant qu' CloudTrail événements, vous pouvez AWS KMS les exclure d'un CloudTrail suivi. Pour en savoir plus, consultez [Exclure AWS KMS des événements d'un parcours](#filtering-kms-events).
**En savoir plus :**
+ Pour des exemples d' AWS KMS opérations de CloudTrail journalisation pour des plateformes certifiées, voir[Suivi des demandes attestées](ct-attestation.md).
**Topics**
+ [Recherche d'entrées de AWS KMS journal dans CloudTrail](#searching-kms-ct)
+ [Exclure AWS KMS des événements d'un parcours](#filtering-kms-events)
+ [Exemples d'entrées de AWS KMS journal](understanding-kms-entries.md)
## Recherche d'entrées de AWS KMS journal dans CloudTrail
Pour rechercher des entrées de CloudTrail journal, utilisez la [CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) ou l'[CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)opération. CloudTrail prend en charge de nombreuses [valeurs d'attribut](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.
Pour vous aider à rechercher des entrées de AWS KMS journal dans CloudTrail, AWS KMS remplit les champs d'entrée de CloudTrail journal suivants.
**Note**
À compter de décembre 2022, AWS KMS remplit les attributs **Type de ressource** et **Nom de ressource** dans toutes les opérations de gestion qui modifient une clé KMS particulière. Ces valeurs d'attribut peuvent être nulles dans les anciennes CloudTrail entrées pour les opérations suivantes : [CreateAlias[CreateGrant[DeleteAlias[DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html), [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html), et [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html).
| Attribut | Value | Entrées de journal |
| --- | --- | --- |
| Source de l'événement (EventSource) | kms.amazonaws.com | Toutes les opérations. |
| Type de ressource (ResourceType) | AWS::KMS::Key | Opérations de gestion qui modifient une clé KMS particulière, telles que CreateKey et EnableKey, mais pas ListKeys. |
| Nom de ressource (ResourceName) | ARN de clé (ou ID de clé et ARN de clé) | Opérations de gestion qui modifient une clé KMS particulière, telles que CreateKey et EnableKey, mais pas ListKeys. |
Pour vous aider à trouver des entrées de journal pour les opérations de gestion sur des clés KMS spécifiques, AWS KMS enregistre l'ARN de la clé KMS affectée dans l'`responseElements.keyId`élément de l'entrée de journal, même si l'opération d' AWS KMS API ne renvoie pas l'ARN de la clé.
Par exemple, un appel réussi à l'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)opération ne renvoie aucune valeur dans la réponse, mais au lieu d'une valeur nulle, la `responseElements.keyId` valeur de l'[entrée du DisableKey journal](ct-disablekey.md) inclut l'ARN de la clé KMS désactivée.
Cette fonctionnalité a été ajoutée en décembre 2022 et concerne les entrées de CloudTrail journal suivantes : [CreateAlias[CreateGrant[DeleteAlias](ct-deletealias.md)](ct-creategrant.md)](ct-createalias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource](ct-untagresource.md), [UpdateAlias](ct-updatealias.md), et [UpdatePrimaryRegion](ct-update-primary-region.md).
## Exclure AWS KMS des événements d'un parcours
Pour fournir un enregistrement de l'utilisation et de la gestion de leurs AWS KMS ressources, la plupart des AWS KMS utilisateurs s'appuient sur les événements d'un CloudTrail sentier. Le journal peut être une source de données précieuse pour l'audit d'événements critiques, tels que la création, la désactivation et la suppression AWS KMS keys, la modification de la politique en matière de clés et l'utilisation de vos clés KMS par les AWS services en votre nom. Dans certains cas, les métadonnées d'une entrée de CloudTrail journal, telles que le [contexte de chiffrement](encrypt_context.md) d'une opération de chiffrement, peuvent vous aider à éviter ou à résoudre les erreurs.
Cependant, comme il AWS KMS peut générer un grand nombre d'événements, vous AWS CloudTrail permet d'exclure AWS KMS des événements d'un suivi. Ce paramètre par parcours exclut tous les AWS KMS événements ; vous ne pouvez pas exclure AWS KMS des événements particuliers.
**Avertissement**
L'exclusion d' AWS KMS événements d'un CloudTrail journal peut masquer les actions qui utilisent vos clés KMS. Soyez prudent lorsque vous accordez aux principaux l’autorisation `cloudtrail:PutEventSelectors` nécessaire pour effectuer cette opération.
Pour exclure AWS KMS des événements d'un parcours :
+ Dans la CloudTrail console, utilisez le paramètre des **événements du service Log Key Management** lorsque vous [créez un journal ou que](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) vous le [mettez à jour](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Pour obtenir des instructions, reportez-vous à la section [Logging Management Events AWS Management Console dans le](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html) guide de AWS CloudTrail l'utilisateur.
+ Dans l' CloudTrail API, utilisez l'[PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)opération. Ajoutez l'attribut `ExcludeManagementEventSources` à vos sélecteurs d'événements avec la valeur `kms.amazonaws.com`. Pour un exemple, voir [Exemple : un journal qui n'enregistre pas les AWS Key Management Service événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms) dans le guide de AWS CloudTrail l'utilisateur.
Vous pouvez désactiver cette exclusion à tout moment en modifiant le paramètres de la console ou les sélecteurs d'événements d'un journal de suivi. Le sentier commencera alors à enregistrer AWS KMS les événements. Cependant, il ne peut pas récupérer les AWS KMS événements survenus pendant que l'exclusion était effective.
Lorsque vous excluez AWS KMS des événements à l'aide de la console ou de l'API, l'opération CloudTrail `PutEventSelectors` d'API qui en résulte est également enregistrée dans vos CloudTrail journaux. Si AWS KMS les événements n'apparaissent pas dans vos CloudTrail journaux, recherchez un `PutEventSelectors` événement dont l'`ExcludeManagementEventSources`attribut est défini sur`kms.amazonaws.com`.
# Exemples d'entrées de AWS KMS journal
AWS KMS écrit des entrées dans votre CloudTrail journal lorsque vous appelez une AWS KMS opération et lorsqu'un AWS service appelle une opération en votre nom. AWS KMS écrit également une entrée lorsqu'il appelle une opération pour vous. Par exemple, il écrit une entrée lorsqu'il [supprime une clé KMS](ct-delete-key.md) dont vous avez programmé la suppression.
Les rubriques suivantes présentent des exemples d'entrées de CloudTrail journal pour les AWS KMS opérations.
Pour des exemples d'entrées dans le CloudTrail journal des demandes AWS KMS provenant de plateformes certifiées, voir[Suivi des demandes attestées](ct-attestation.md).
**Topics**
+ [CancelKeyDeletion](ct-cancel-key-deletion.md)
+ [ConnectCustomKeyStore](ct-connect-keystore.md)
+ [CreateAlias](ct-createalias.md)
+ [CreateCustomKeyStore](ct-create-keystore.md)
+ [CreateGrant](ct-creategrant.md)
+ [CreateKey](ct-createkey.md)
+ [Decrypt](ct-decrypt.md)
+ [DeleteAlias](ct-deletealias.md)
+ [DeleteCustomKeyStore](ct-delete-keystore.md)
+ [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)
+ [DeleteImportedKeyMaterial](ct-deleteimportedkeymaterial.md)
+ [DeleteKey](ct-delete-key.md)
+ [DescribeCustomKeyStores](ct-describe-keystores.md)
+ [DescribeKey](ct-describekey.md)
+ [DisableKey](ct-disablekey.md)
+ [DisableKeyRotation](ct-disable-key-rotation.md)
+ [DisconnectCustomKeyStore](ct-disconnect-keystore.md)
+ [EnableKey](ct-enablekey.md)
+ [EnableKeyRotation](ct-enablekeyrotation.md)
+ [Encrypt](ct-encrypt.md)
+ [GenerateDataKey](ct-generatedatakey.md)
+ [GenerateDataKeyPair](ct-generatedatakeypair.md)
+ [GenerateDataKeyPairWithoutPlaintext](ct-generatedatakeypairwithoutplaintext.md)
+ [GenerateDataKeyWithoutPlaintext](ct-generatedatakeyplaintext.md)
+ [GenerateMac](ct-generatemac.md)
+ [GenerateRandom](ct-generaterandom.md)
+ [GetKeyPolicy](ct-getkeypolicy.md)
+ [GetKeyRotationStatus](ct-getkeyrotationstatus.md)
+ [GetParametersForImport](ct-getparametersforimport.md)
+ [ImportKeyMaterial](ct-importkeymaterial.md)
+ [ListAliases](ct-listaliases.md)
+ [ListGrants](ct-listgrants.md)
+ [ListKeyRotations](ct-listkeyrotations.md)
+ [PutKeyPolicy](ct-put-key-policy.md)
+ [ReEncrypt](ct-reencrypt.md)
+ [ReplicateKey](ct-replicate-key.md)
+ [RetireGrant](ct-retire-grant.md)
+ [RevokeGrant](ct-revoke-grant.md)
+ [RotateKey](ct-rotatekey.md)
+ [RotateKeyOnDemand](ct-rotatekeyondemand.md)
+ [ScheduleKeyDeletion](ct-schedule-key-deletion.md)
+ [Sign (Signer)](ct-sign.md)
+ [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)
+ [TagResource](ct-tagresource.md)
+ [UntagResource](ct-untagresource.md)
+ [UpdateAlias](ct-updatealias.md)
+ [UpdateCustomKeyStore](ct-update-keystore.md)
+ [UpdateKeyDescription](ct-update-key-description.md)
+ [UpdatePrimaryRegion](ct-update-primary-region.md)
+ [VerifyMac](ct-verifymac.md)
+ [Vérification](ct-verify.md)
+ [Premier EC2 exemple d'Amazon](ct-ec2one.md)
+ [EC2 Exemple 2 d'Amazon](ct-ec2two.md)
# CancelKeyDeletion
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)opération. Pour plus d'informations sur la suppression AWS KMS keys, consultez[Supprimer un AWS KMS key](deleting-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T21:53:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CancelKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "e3452e68-d4b0-4ec7-a768-7ae96c23764f",
"eventID": "d818bf03-6655-48e9-8b26-f279a07075fd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ConnectCustomKeyStore
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)opération. Pour plus d'informations sur la connexion d'un magasins de clés personnalisé, veuillez consulter [Déconnecter un magasin de AWS CloudHSM clés](connect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ConnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateAlias
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)opération. L'élément `resources` comprend des champs pour l'alias et les ressources clés KMS. Pour plus d'informations sur la création d'alias dans AWS KMS, consultez[Création d'alias](alias-create.md).
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-14T23:08:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/ExampleAlias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "caec1e0c-ce03-419e-bdab-6ab1f7c57c01",
"eventID": "2dd6e784-8286-46a6-befd-d64e5a02fb28",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# CreateCustomKeyStore
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)opération sur un magasin de AWS CloudHSM clés. Pour plus d'informations sur les magasins de clés personnalisés, veuillez consulter [Création d'un magasin de AWS CloudHSM clés](create-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateGrant
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)opération. Pour plus d'informations sur la création de subventions dans AWS KMS, voir[Subventions en AWS KMS](grants.md).
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:53:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"constraints": {
"encryptionContextSubset": {
"ContextKey1": "Value1"
}
},
"operations": ["Encrypt",
"RetireGrant"],
"granteePrincipal": "EX_PRINCIPAL_ID"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# CreateKey
Ces exemples montrent les entrées du AWS CloudTrail journal de l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
Une entrée de `CreateKey` journal peut résulter d'une `CreateKey` demande ou de l'`CreateKey`opération d'une [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)demande.
L'exemple suivant montre une entrée de CloudTrail journal pour une [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération qui crée une [clé KMS de chiffrement symétrique](symm-asymm-choose-key-spec.md#symmetric-cmks). Pour plus d'informations sur la création de clés KMS, veuillez consulter [Création d'une clé KMS](create-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-10T22:38:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"description": "",
"origin": "EXTERNAL",
"bypassPolicyLockoutSafetyCheck": false,
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"keyUsage": "ENCRYPT_DECRYPT"
},
"responseElements": {
"keyMetadata": {
"AWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Aug 10, 2022, 10:38:27 PM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "PendingImport",
"origin": "EXTERNAL",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"requestID": "1aef6713-0223-4ff7-9a6d-781360521930",
"eventID": "36327b37-f4f6-40a9-92ab-48064ec905a2",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
L'exemple suivant montre le CloudTrail journal d'une `CreateKey` opération qui crée une clé KMS de chiffrement symétrique dans un [magasin de AWS CloudHSM clés](keystore-cloudhsm.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-14T17:39:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyUsage": "ENCRYPT_DECRYPT",
"bypassPolicyLockoutSafetyCheck": false,
"origin": "AWS_CLOUDHSM",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"customKeyStoreId": "cks-1234567890abcdef0",
"description": ""
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"creationDate": "Oct 14, 2021, 5:39:50 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "AWS_CLOUDHSM",
"customKeyStoreId": "cks-1234567890abcdef0",
"cloudHsmClusterId": "cluster-1a23b4cdefg",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"additionalEventData": {
"backingKey": "{\"backingKeyId\":\"backing-key-id\"}"
},
"requestID": "4f0b185c-588c-4767-9e90-c618f7e13cad",
"eventID": "c73964b8-703d-49e4-bd9e-f773d0ee1e65",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
L'exemple suivant montre le CloudTrail journal d'une `CreateKey` opération qui crée une clé KMS de chiffrement symétrique dans un [magasin de clés externe](keystore-external.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-07T22:37:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"tags": [],
"keyUsage": "ENCRYPT_DECRYPT",
"description": "",
"origin": "EXTERNAL_KEY_STORE",
"multiRegion": false,
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"bypassPolicyLockoutSafetyCheck": false,
"customKeyStoreId": "cks-1234567890abcdef0",
"xksKeyId": "bb8562717f809024"
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Dec 7, 2022, 10:37:45 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "EXTERNAL_KEY_STORE",
"customKeyStoreId": "cks-1234567890abcdef0",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false,
"xksKeyConfiguration": {
"id": "bb8562717f809024"
}
}
},
"requestID": "ba197c82-3ac7-487a-8ff4-7736bbeb1316",
"eventID": "838ad5f4-5fdd-4044-afd7-4dbd88c6af56",
"readOnly": false,
"resources": [
{
"accountId": "227179770375",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:227179770375:key/39c5eb22-f37c-4956-92ca-89e8f8b57ab2"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Decrypt
Ces exemples montrent les entrées du AWS CloudTrail journal pour l'opération de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
L'entrée du CloudTrail journal d'une `Decrypt` opération inclut toujours le `encryptionAlgorithm` in `requestParameters` même si l'algorithme de chiffrement n'a pas été spécifié dans la demande. Le texte chiffré de la demande et le texte brut de la réponse sont omis.
**Topics**
+ [Déchiffrer avec une clé de chiffrement symétrique standard](#ct-decrypt-default)
+ [Échec lors du déchiffrement avec une clé de chiffrement symétrique standard](#ct-decrypt-fail)
+ [Déchiffrer avec une clé KMS dans un magasin de AWS CloudHSM clés](#ct-decrypt-hsm)
+ [Déchiffrer avec une clé KMS dans un magasin de clés externe](#ct-decrypt-xks)
+ [Échec lors du déchiffrement avec une clé KMS dans un magasin de clés externe](#ct-decrypt-xks-fail)
+ [Déchiffrer avec une clé de chiffrement symétrique standard via une connexion TLS post-quantique](#ct-decrypt-default-pqtls)
## Déchiffrer avec une clé de chiffrement symétrique standard
Voici un exemple d'entrée de CloudTrail journal pour une `Decrypt` opération utilisant une clé de chiffrement symétrique standard.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## Échec lors du déchiffrement avec une clé de chiffrement symétrique standard
L'exemple d'entrée de CloudTrail journal suivant enregistre l'échec d'une `Decrypt` opération avec une clé KMS de chiffrement symétrique standard. L'exception (`errorCode`) et le message d'erreur (`errorMessage`) sont inclus pour vous aider à résoudre l'erreur.
Dans ce cas, la clé KMS de chiffrement symétrique spécifiée dans la requête `Decrypt` n'était pas la clé KMS de chiffrement symétrique utilisée pour chiffrer les données.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## Déchiffrer avec une clé KMS dans un magasin de AWS CloudHSM clés
L'exemple d'entrée de CloudTrail journal suivant enregistre une `Decrypt` opération avec une clé KMS dans un [magasin de AWS CloudHSM clés](keystore-cloudhsm.md). Toutes les entrées de journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de clés personnalisé incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKeyId`. La valeur renvoyée dans le `backingKeyId` champ est l'attribut clé `id` CloudHSM. `additionalEventData` n'est pas spécifié dans la requête.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Déchiffrer avec une clé KMS dans un magasin de clés externe
L'exemple d'entrée de CloudTrail journal suivant enregistre une `Decrypt` opération avec une clé KMS dans un [magasin de clés externe](keystore-external.md). Outre `customKeyStoreId`, le champ `additionalEventData` inclut l'[ID de clé externe](keystore-external.md#concept-external-key) (`XksKeyId`). `additionalEventData` n'est pas spécifié dans la requête.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Échec lors du déchiffrement avec une clé KMS dans un magasin de clés externe
L'exemple d'entrée de CloudTrail journal suivant enregistre l'échec d'une demande d'`Decrypt`opération avec une clé KMS dans un [magasin de clés externe](keystore-external.md). CloudWatch enregistre les demandes qui échouent, en plus des demandes réussies. Lors de l'enregistrement d'un échec, l'entrée du CloudTrail journal inclut l'exception (ErrorCode) et le message d'erreur qui l'accompagne (ErrorMessage).
Si la requête échouée a atteint votre proxy de magasin de clés externe, comme dans cet exemple, vous pouvez utiliser la valeur `requestId` pour associer la requête échouée à une requête correspondante des journaux de votre proxy de magasin de clés externe, si votre proxy les fournit.
Pour obtenir de l'aide concernant les requêtes `Decrypt` provenant de magasins de clés externes, veuillez consulter la rubrique [Erreurs de déchiffrement](xks-troubleshooting.md#fix-xks-decrypt).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Déchiffrer avec une clé de chiffrement symétrique standard via une connexion TLS post-quantique
Voici un exemple d'entrée de CloudTrail journal pour une `Decrypt` opération avec une clé de chiffrement symétrique standard sur une connexion TLS post-quantique. Le champ KeyExchange de la `tlsDetails` section mentionne`X25519MLKEM768`. [Il s'agit d'un algorithme *hybride* qui combine [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH) à [Curve 25519](https://en.wikipedia.org/wiki/Curve25519), un algorithme d'échange de clés classique utilisé aujourd'hui dans le TLS, avec le [mécanisme d'encapsulation de clés basé sur un réseau de modules (), un algorithme de chiffrement à clé publique et d'établissement de clés](https://csrc.nist.gov/pubs/fips/203/final) que le National Institute for Standards and Technology (NISTML-KEM) a désigné comme son premier algorithme standard d'accord de clé post-quantique.](https://csrc.nist.gov/pubs/fips/203/final)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```
# DeleteAlias
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)opération. Pour plus d'informations sur la suppression d'alias, veuillez consulter [Suppression d’un alias](alias-delete.md).
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-04T00:52:27Z"
}
}
},
"eventTime": "2014-11-04T00:52:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteAlias",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9542792-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "12f48554-bb04-4991-9cfc-e7e85f68eda0",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-east-1:111122223333:alias/my_alias",
"accountId": "111122223333"
},
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DeleteCustomKeyStore
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)opération. Pour plus d'informations sur les magasins de clés personnalisés, veuillez consulter [Supprimer un magasin AWS CloudHSM de clés](delete-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DeleteExpiredKeyMaterial
Lorsque vous importez du matériel clé dans une AWS KMS key (clé KMS), vous pouvez définir une date et une heure d'expiration pour ce matériel clé. AWS KMS enregistre une entrée dans votre CloudTrail journal lorsque vous [importez le matériel clé](ct-importkeymaterial.md) (avec les paramètres d'expiration) et lorsque vous AWS KMS supprimez le matériel clé expiré. Pour plus d'informations sur la création de clés KMS avec des éléments de clé importés, veuillez consulter [Importation de matériel clé pour les AWS KMS clés](importing-keys.md).
L'exemple suivant montre une entrée de AWS CloudTrail journal générée lors de la AWS KMS suppression du contenu clé expiré.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-22T19:55:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteExpiredKeyMaterial",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "cfa932fd-0d3a-4a76-a8b8-616863a2b547",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"eventCategory": "Management"
}
```
# DeleteImportedKeyMaterial
Si vous importez du matériel clé dans une clé KMS, vous pouvez supprimer le matériel clé importé à tout moment en utilisant cette [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)opération. Lorsque vous supprimez des éléments de clé importés d'une clé KMS, l'état de la clé KMS passe à `PendingImport` et la clé KMS ne peut être utilisée dans aucune opération cryptographique. Pour en savoir plus, consultez [Supprimer le matériel clé importé](importing-keys-delete-key-material.md).
L'exemple suivant montre une entrée de AWS CloudTrail journal générée pour l'`DeleteImportedKeyMaterial`opération.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteImportedKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "dcf0e82f-dad0-4622-a378-a5b964ad42c1",
"eventID": "2afbb991-c668-4641-8a00-67d62e1fecbd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# DeleteKey
Ces exemples montrent l'entrée de AWS CloudTrail journal qui est générée lorsqu'une clé KMS est supprimée. Pour supprimer une clé KMS, vous devez utiliser l'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)opération. Une fois le délai d'attente spécifié expiré, AWS KMS supprime la clé KMS et enregistre une entrée comme celle-ci dans votre CloudTrail journal pour enregistrer cet événement.
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
Pour un exemple de l'entrée du CloudTrail journal de l'`ScheduleKeyDeletion`opération, consultez[ScheduleKeyDeletion](ct-schedule-key-deletion.md). Pour plus d'informations sur la suppression de clés KMS, veuillez consulter [Supprimer un AWS KMS key](deleting-keys.md).
L'exemple d'entrée de CloudTrail journal suivant enregistre une `DeleteKey` opération sur une clé KMS contenant du contenu clé AWS KMS.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-07-31T00:07:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "b25f9cda-74e1-4458-847b-4972a0bf9668",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
L'entrée de CloudTrail journal suivante enregistre `DeleteKey` l'opération d'une clé KMS dans un [magasin de clés AWS CloudHSM personnalisé](key-store-overview.md#custom-key-store-overview).
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"SUCCESS\"}]"
},
"eventID": "1234585c-4b0c-4340-ab11-662414b79239",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
# DescribeCustomKeyStores
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)opération. Pour plus d'informations sur les magasins de clés personnalisés, veuillez consulter [Afficher un magasin AWS CloudHSM de clés](view-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeCustomKeyStores",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "2ea1735f-628d-43e3-b2ee-486d02913a78",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DescribeKey
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opération. AWS KMS enregistre une entrée similaire à la suivante lorsque vous appelez l'`DescribeKey`opération ou que vous [affichez les clés KMS](viewing-keys.md) dans la AWS KMS console. Cet appel est le résultat de l'affichage d'une clé dans la console AWS KMS de gestion.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-26T18:01:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKey
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)opération. Pour plus d'informations sur l'activation et la désactivation AWS KMS keys dans AWS KMS, consultez[Activer et désactiver les touches](enabling-keys.md).
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKeyRotation
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)opération. Pour plus d'informations sur la rotation automatique des clés, consultez [Rotation AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:31:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "d6a9351a-ed6e-4581-88d1-2a9a8a538497",
"eventID": "6313164c-83aa-4cc3-9e1a-b7c426f7a5b1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# DisconnectCustomKeyStore
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)opération. Pour plus d'informations sur les magasins de clés personnalisés, veuillez consulter [Déconnecter un magasin de AWS CloudHSM clés](disconnect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisconnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# EnableKey
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)opération. Pour plus d'informations sur l'activation et la désactivation AWS KMS keys dans AWS KMS, voir[Activer et désactiver les touches](enabling-keys.md).
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:20Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d528a6fb-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "be393928-3629-4370-9634-567f9274d52e",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# EnableKeyRotation
L'exemple suivant montre une entrée dans le AWS CloudTrail journal d'un appel à l'[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)opération. Pour un exemple d'entrée de CloudTrail journal écrite lors de la rotation de la clé, consultez[RotateKey](ct-rotatekey.md). Pour plus d'informations sur la rotation de AWS KMS keys, veuillez consulter [Rotation AWS KMS keys](rotate-keys.md).
**Note**
[rotation-period](rotate-keys.md#rotation-period)Il s'agit d'un paramètre de demande facultatif. Si vous ne spécifiez pas de période de rotation lorsque vous activez la rotation automatique des clés, la valeur par défaut est de 365 jours.
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:41:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"rotationPeriodInDays": 180
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "81f5b794-452b-4d6a-932b-68c188165273",
"eventID": "fefc43a7-8e06-419f-bcab-b3bf18d6a401",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Encrypt
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'opération [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html).
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"Department": "Engineering"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "f3423043-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "91235988-eb87-476a-ac2c-0cdc244e6dca",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKey
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)opération.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKeyPair
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)opération. Cet exemple enregistre une opération qui génère une paire de clés RSA chiffrée sous une AWS KMS key de chiffrement symétrique.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyPairWithoutPlaintext
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)opération. Cet exemple enregistre une opération qui génère une paire de clés RSA qui est chiffrée sous une AWS KMS key de chiffrement symétrique.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPairWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_4096",
"encryptionContext": {
"Index": "5"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyWithoutPlaintext
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)opération.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "d6b8e411-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f7734272-9ec5-4c80-9f36-528ebbe35e4a",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateMac
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)opération.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-12-23T19:26:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_512",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# GenerateRandom
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)opération. Comme cette opération n'utilise pas un AWS KMS key, le `resources` champ est vide.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyPolicy
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)opération. Pour plus d'informations sur l'affichage de la politique de clé pour une clé KMS, veuillez consulter [Afficher une politique clé](key-policy-viewing.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:50:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default"
},
"responseElements": null,
"requestID": "93746dd6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "4aa7e4d5-d047-452a-a5a6-2cce282a7e82",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyRotationStatus
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)opération. Pour plus d'informations sur la rotation automatique et à la demande des éléments clés d'une clé KMS, consultez[Rotation AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T19:16:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyRotationStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12f9b7e8-49b9-4c1c-a7e3-34ac0cdf0467",
"eventID": "3d082126-9e7d-4167-8372-a6cfcbed4be6",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GetParametersForImport
L'exemple suivant montre une entrée de AWS CloudTrail journal générée lorsque vous utilisez l'[GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)opération. Cette opération renvoie la clé publique et le jeton d'importation que vous utilisez lorsque vous importez des éléments de clé dans une clé KMS. La même CloudTrail entrée est enregistrée lorsque vous utilisez l'`GetParametersForImport`opération ou que vous utilisez la AWS KMS console pour [télécharger la clé publique et le jeton d'importation](importing-keys-get-public-key-and-token.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:58:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetParametersForImport",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"wrappingAlgorithm": "RSAES_OAEP_SHA_256",
"wrappingKeySpec": "RSA_2048"
},
"responseElements": null,
"requestID": "b5786406-e3c7-43d6-8d3c-6d5ef96e2278",
"eventID": "4023e622-0c3e-4324-bdef-7f58193bba87",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ImportKeyMaterial
L'exemple suivant montre une entrée de AWS CloudTrail journal générée lorsque vous utilisez l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)opération. La même CloudTrail entrée est enregistrée lorsque vous utilisez l'`ImportKeyMaterial`opération ou que vous utilisez la AWS KMS console pour [importer du matériel clé](importing-keys-import-key-material.md) dans un AWS KMS key.
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ImportKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"validTo": "May 21, 2025, 5:47:45 AM",
"expirationModel": "KEY_MATERIAL_EXPIRES",
"importType": "NEW_KEY_MATERIAL",
"keyMaterialDescription": "ExampleKeyMaterialA"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "89e10ee7-a612-414d-95a2-a128346969fd",
"eventID": "c7abd205-a5a2-4430-bbfa-fc10f3e2d79f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ListAliases
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)opération. Comme cette opération n'utilise aucun alias en particulier ou AWS KMS key que le `resources` champ est vide. Pour plus d'informations sur l'affichage des alias dans AWS KMS, consultez[Trouvez le nom d'alias et l'ARN de l'alias pour une clé KMS](alias-view.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:51:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListAliases",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"limit": 5,
"marker": "eyJiIjoiYWxpYXMvZTU0Y2MxOTMtYTMwNC00YzEwLTliZWItYTJjZjA3NjA2OTJhIiwiYSI6ImFsaWFzL2U1NGNjMTkzLWEzMDQtNGMxMC05YmViLWEyY2YwNzYwNjkyYSJ9"
},
"responseElements": null,
"requestID": "bfe6c190-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a27dda7b-76f1-4ac3-8b40-42dfba77bcd6",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListGrants
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[ListGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)opération. Pour plus d'informations sur les subventions accordées AWS KMS, voir[Subventions en AWS KMS](grants.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListGrants",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"marker": "eyJncmFudElkIjoiMWY4M2U2ZmM0YTY2NDgxYjQ2Yzc4MTdhM2Y4YmQwMDFkZDNiYmQ1MGVlYTMyY2RmOWFiNWY1Nzc1NDNjYmNmMyIsImtleUFybiI6ImFybjphd3M6dHJlbnQtc2FuZGJveDp1cy1lYXN0LTE6NTc4Nzg3Njk2NTMwOmtleS9lYTIyYTc1MS1lNzA3LTQwZDAtOTJhYy0xM2EyOGZhOWViMTEifQ\u003d\u003d",
"limit": 10
},
"responseElements": null,
"requestID": "e5c23960-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "d24380f5-1b20-4253-8e92-dd0492b3bd3d",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListKeyRotations
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)opération. Pour plus d'informations sur la rotation automatique et à la demande des éléments clés d'une clé KMS, consultez[Rotation AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeyRotations",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"includeKeyMaterial": "ALL_KEY_MATERIAL"
},
"responseElements": null,
"requestID": "99c88d32-f2db-455e-8a9a-23855258a452",
"eventID": "8ce0e74b-b9c7-45a2-96ef-83136d38068e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# PutKeyPolicy
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)opération. Pour plus d'informations sur la mise à jour d'une stratégie de clé, consultez [Modification d’une stratégie de clé](key-policy-modifying.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T20:06:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "PutKeyPolicy",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default",
"policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",\n \"Statement\" : [ {\n \"Sid\" : \"Enable IAM User Permissions\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::111122223333:root\"\n },\n \"Action\" : \"kms:*\",\n \"Resource\" : \"*\"\n } ]\n}",
"bypassPolicyLockoutSafetyCheck": false
},
"responseElements": null,
"requestID": "7bb906fa-dc21-4350-b65c-808ff0f72f55",
"eventID": "c217db1f-903f-4a2f-8f88-9580182d6313",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# ReEncrypt
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)opération. Le `resources` champ de cette entrée de journal en spécifie deux AWS KMS keys, la clé KMS source et la clé KMS de destination, dans cet ordre.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-22T19:34:55Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceEncryptionContext": {
"Project": "Alpha",
"Department": "Engineering"
},
"destinationKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"destinationEncryptionContext": {
"Level": "3A"
}
},
"responseElements": null,
"additionalEventData": {
"destinationKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"sourceKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "03769fd4-acf9-4b33-adf3-2ab8ca73aadf",
"eventID": "542d9e04-0e8d-4e05-bf4b-4bdeb032e6ec",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ReplicateKey
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)opération. Une `ReplicateKey` demande entraîne une `ReplicateKey` opération et une [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
Pour plus d'informations sur la réplication de clés multi-région, veuillez consulter [Création de répliques de clés multirégionales](multi-region-keys-replicate.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-18T01:29:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReplicateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"replicaRegion": "us-west-2",
"bypassPolicyLockoutSafetyCheck": false,
"description": ""
},
"responseElements": {
"replicaKeyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Nov 18, 2020, 1:29:18 AM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Creating",
"origin": "AWS_KMS",
"keyManager": "CUSTOMER",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": true,
"multiRegionConfiguration": {
"multiRegionKeyType": "REPLICA",
"primaryKey": {
"arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-east-1"
},
"replicaKeys": [
{
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-west-2"
}
]
}
},
"replicaPolicy": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":[{\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:user/Alice\"},\n \"Action\":\"kms:*\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Bob\"},\n \"Action\":\"kms:CreateGrant\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Charlie\"},\n \"Action\":\"kms:Encrypt\",\n \"Resource\":\"*\"\n}]\n}",
},
"requestID": "abcdef68-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "fedcba44-6773-4f96-8763-1993aec9ae6a",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RetireGrant
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)opération. Pour plus d'informations concernant le retrait d'octrois, veuillez consulter [Retrait et révocation d'octrois](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:39:33Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "1d274d57-5697-462c-a004-f25fcc29fa26",
"eventID": "0771bcfb-3e24-4332-9ac8-e1c06563eecf",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RevokeGrant
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)opération. Pour plus d'informations sur la révocation d'octrois, veuillez consulter [Retrait et révocation d'octrois](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:35:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RevokeGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"responseElements": null,
"requestID": "59d94c03-c5b7-428d-ae6e-f2c4b47d2917",
"eventID": "07a23a39-6526-4ae2-b31e-d35fbe9e24ee",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RotateKey
Ces exemples montrent les entrées du AWS CloudTrail journal pour les opérations qui font l'objet d'une rotation AWS KMS keys. Pour plus d'informations sur la rotation des clés KMS, veuillez consulter [Rotation AWS KMS keys](rotate-keys.md).
L'exemple suivant montre une entrée de CloudTrail journal pour l'opération qui fait pivoter une clé KMS de chiffrement symétrique sur laquelle la rotation automatique des clés est activée. Pour plus d'informations sur l'activation de la rotation automatique, consultez[Rotation AWS KMS keys](rotate-keys.md).
Pour un exemple de l'entrée du CloudTrail journal qui enregistre l'`EnableKeyRotation`opération, consultez[EnableKeyRotation](ct-enablekeyrotation.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyOrigin": "AWS_KMS",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
L'exemple suivant montre une entrée de CloudTrail journal pour une rotation à la demande initiée par l'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)opération. Pour plus d'informations sur la rotation des clés KMS de chiffrement symétrique à la demande, consultez[Effectuez une rotation des touches à la demande](rotating-keys-on-demand.md).
Pour un exemple de l'entrée du CloudTrail journal qui enregistre l'`RotateKeyOnDemand`opération, consultez[RotateKeyOnDemand](ct-rotatekeyondemand.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "ON_DEMAND",
"keyOrigin": "EXTERNAL",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# RotateKeyOnDemand
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)opération. Pour un exemple d'entrée de CloudTrail journal écrite lors de la rotation de la clé, consultez[RotateKey](ct-rotatekey.md). Pour plus d'informations sur la rotation à la demande du contenu clé d'une clé KMS, consultez[Effectuez une rotation des touches à la demande](rotating-keys-on-demand.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T17:41:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKeyOnDemand",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "9e1dee86-eb84-42fd-8f25-e3fc7dbb32c8",
"eventID": "00a09fbc-20d6-4a58-9b92-7da85984ab77",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# ScheduleKeyDeletion
Ces exemples montrent les entrées du AWS CloudTrail journal de l'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)opération.
Pour un exemple d'entrée de CloudTrail journal écrite lorsque la clé est supprimée, consultez[DeleteKey](ct-delete-key.md). Pour plus d'informations sur la suppression de AWS KMS keys, veuillez consulter [Supprimer un AWS KMS key](deleting-keys.md).
L'exemple suivant enregistre une demande `ScheduleKeyDeletion` de clé KMS à région unique.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-23T18:58:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 20,
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyState": "PendingDeletion",
"deletionDate": "Apr 12, 2021 18:58:30 PM"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
L'exemple suivant enregistre une demande `ScheduleKeyDeletion` de clé KMS multi-région avec des clés de réplica.
Parce qu'une clé multirégionale AWS KMS ne sera pas supprimée tant que toutes ses répliques ne seront pas supprimées, dans le `responseElements` champ, la valeur `keyState` est `PendingReplicaDeletion` et le `deletionDate` champ est omis.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-28T17:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 30,
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"keyState": "PendingReplicaDeletion",
"pendingWindowInDays": 30
},
"requestID": "12341411-d846-42a6-a476-b1cbe3011f89",
"eventID": "abcda5f-396d-494c-9380-0c47860df5f1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
L'exemple suivant enregistre une `ScheduleKeyDeletion` demande de clé KMS dans un [magasin de clés AWS CloudHSM personnalisé](key-store-overview.md#custom-key-store-overview).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:25:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"pendingWindowInDays": 30
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"deletionDate": "Nov 2, 2021, 11:25:25 PM",
"keyState": "PendingDeletion",
"pendingWindowInDays": 30
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]"
},
"requestID": "abcd9f60-2c9c-4a0b-a456-d5d998f7f321",
"eventID": "ca01996a-01b0-4edd-bbbb-25d7b6d1a6fa",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Sign (Signer)
Ces exemples montrent les entrées du AWS CloudTrail journal pour l'opération de [signature](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html).
L'exemple suivant montre une entrée de CloudTrail journal pour une opération de [signature](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) qui utilise une clé RSA KMS asymétrique pour générer une signature numérique pour un fichier.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:36:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Sign",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"messageType": "RAW",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256"
},
"responseElements": null,
"requestID": "8d0b35e0-46cf-48b9-be99-bf2ebc9ab9fb",
"eventID": "107b3cac-b125-4556-9702-12a2b9afcff7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# SynchronizeMultiRegionKey
L'exemple suivant montre une entrée de AWS CloudTrail journal générée lors de AWS KMS la synchronisation d'une clé [multirégionale.](multi-region-keys-overview.md) La synchronisation implique des appels interrégionaux pour copier les [propriétés partagées](multi-region-keys-overview.md#mrk-sync-properties) d'une clé primaire multirégionale dans ses clés de réplique. AWS KMS synchronise périodiquement les clés multirégionales pour s'assurer que toutes les clés multirégionales associées ont le même contenu clé.
L'`resources`élément de l'entrée du CloudTrail journal inclut l'ARN de la clé primaire multirégionale, y compris son Région AWS. Les clés de réplica multi-région associées et leurs régions ne sont pas répertoriées dans cette entrée de journal.
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-11-18T02:04:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345681-de97-42e9-bed0-b02ae1abd8dc",
"eventID": "abcdec99-2b5c-4670-9521-ddb8f031e146",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# TagResource
L'exemple suivant montre une entrée de AWS CloudTrail journal d'un appel à l'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)opération visant à ajouter une balise avec une clé de balise `Department` et une valeur de balise de`IT`.
Pour un exemple d'entrée de `UntagResource` CloudTrail journal écrite lors de la rotation de la clé, consultez[UntagResource](ct-untagresource.md). Pour plus d'informations sur le balisage AWS KMS keys, consultez[Tags dans AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "TagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tags": [
{
"tagKey": "Department",
"tagValue": "IT"
}
]
},
"responseElements": null,
"requestID": "b942584a-f77d-4787-9feb-b9c5be6e746d",
"eventID": "0a091b9b-0df5-4cf9-b667-6f2879532b8f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UntagResource
L'exemple suivant montre une entrée de AWS CloudTrail journal d'un appel à l'[UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)opération de suppression d'une balise dont la clé de balise est égale à`Dept`.
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
Pour un exemple d'entrée de `TagResource` CloudTrail journal, voir[TagResource](ct-tagresource.md). Pour plus d'informations sur l'étiquetage AWS KMS keys, veuillez consulter [Tags dans AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UntagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tagKeys": [
"Dept"
]
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "cb1d507b-6015-47f4-812b-179713af8068",
"eventID": "0b00f4b0-036e-411d-aa75-87eb4a35a4b3",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateAlias
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)opération. L'élément `resources` comprend des champs pour l'alias et les ressources clés KMS. Pour plus d'informations sur la création d'alias dans AWS KMS, consultez[Création d'alias](alias-create.md).
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-13T23:18:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9472f40-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f72d3993-864f-48d6-8f16-e26e1ae8dff0",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/my_alias"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateCustomKeyStore
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)opération de mise à jour de l'ID de cluster pour un magasin de clés personnalisé. Pour plus d'informations sur les magasins de clés personnalisés, veuillez consulter [Modifier les paramètres du magasin AWS CloudHSM clé](update-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# UpdateKeyDescription
L'exemple suivant montre une entrée de AWS CloudTrail journal générée en appelant l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)opération.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:22:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateKeyDescription",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"description": "New key description"
},
"responseElements": null,
"requestID": "8c3c1f8b-336d-4896-b034-4eb9916bc9b3",
"eventID": "f5f3d548-2e9e-4658-8427-9dcb5b1ea791",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# UpdatePrimaryRegion
L'exemple suivant montre les entrées de AWS CloudTrail journal générées en appelant l'[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)opération sur une [clé multirégionale](multi-region-keys-overview.md).
L'`UpdatePrimaryRegion`opération écrit deux entrées de CloudTrail journal : l'une dans la région avec la clé primaire multirégionale qui est convertie en clé de réplique, et l'autre dans la région avec une clé de réplique multirégion convertie en clé primaire.
CloudTrail les entrées du journal pour cette opération enregistrées en décembre 2022 ou après cette date incluent l'ARN de la clé KMS affectée dans la `responseElements.keyId` valeur, même si cette opération ne renvoie pas l'ARN de la clé.
L'exemple suivant montre une entrée de CloudTrail journal pour la `UpdatePrimaryRegion` région où la clé multirégionale est passée d'une clé primaire à une clé de réplique (us-west-2). Le champ `primaryRegion` montre la région qui héberge désormais la clé primaire (ap-northeast-1).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
L'exemple suivant représente l'entrée de CloudTrail journal pour `UpdatePrimaryRegion` la région où la clé multirégionale est passée d'une clé de réplique à une clé primaire (ap-northeast-1). Cette entrée de journal n'identifie pas la région principale précédente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"invokedBy": "kms.amazonaws.com"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "091e6be5-737f-43c6-8431-e3679d6d0619",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# VerifyMac
L'exemple suivant montre une entrée de AWS CloudTrail journal pour l'[VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)opération.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-31T19:25:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "VerifyMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_384",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "f35da560-edff-4d6e-9b40-fb306fa9ef1e",
"eventID": "6b464487-6dea-44cd-84ad-225d7450c975",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Vérification
Ces exemples montrent les entrées du AWS CloudTrail journal pour l'opération [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
L'exemple suivant montre une entrée de CloudTrail journal pour une opération [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) qui utilise une clé RSA KMS asymétrique pour vérifier une signature numérique.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:50:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Verify",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"messageType": "RAW"
},
"responseElements": null,
"requestID": "c73ab82a-af82-4750-ae2c-b6bb790e9c28",
"eventID": "3b4331cd-5b7b-4de5-bf5f-82ec22f0dac0",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Premier EC2 exemple d'Amazon
L'exemple suivant enregistre la création par un principal IAM d'un volume chiffré à l'aide de la clé de volume par défaut dans la console EC2 de gestion Amazon.
L'exemple suivant montre une entrée de CloudTrail journal dans laquelle l'utilisateur Alice crée un volume chiffré avec une clé de volume par défaut dans la console EC2 de gestion Amazon. L'enregistrement du fichier EC2 journal inclut un `volumeId` champ dont la valeur est de`"vol-13439757"`. L' AWS KMS enregistrement contient un `encryptionContext` champ dont la valeur est de`"aws:ebs:id": "vol-13439757"`. De même, les identificateurs `principalId` et `accountId` entre les deux enregistrements correspondent. Les enregistrements reflètent le fait que la création d'un volume chiffré génère une clé de données qui est utilisée pour chiffrer le contenu du volume.
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:18Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateVolume",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"size": "10",
"zone": "us-east-1a",
"volumeType": "gp2",
"encrypted": true
},
"responseElements": {
"volumeId": "vol-13439757",
"size": "10",
"zone": "us-east-1a",
"status": "creating",
"createTime": 1415220618876,
"volumeType": "gp2",
"iops": 30,
"encrypted": true
},
"requestID": "1565210e-73d0-4912-854c-b15ed349e526",
"eventID": "a3447186-135f-4b00-8424-bc41f1a93b4f",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "&AWS; Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-13439757"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-123456789012-758241111-1415220618",
"eventID": "4bd2a696-d833-48cc-b72c-05e61b608399",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# EC2 Exemple 2 d'Amazon
Dans l'exemple suivant, un directeur IAM exécutant une EC2 instance Amazon crée et monte un volume de données chiffré sous une clé KMS. Cette action génère plusieurs enregistrements de CloudTrail journal. Pour plus d'informations sur Amazon EBS et le chiffrement, consultez la section [Exigences relatives au chiffrement Amazon EBS.](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-instance-permissions)
Lorsque le volume est créé, Amazon EC2, agissant pour le compte du client, obtient une clé de données cryptée auprès de AWS KMS (`GenerateDataKeyWithoutPlaintext`). Ensuite, il crée un octroi (`CreateGrant`) qui lui permet de déchiffrer la clé de données. Lorsque le volume est monté, Amazon EC2 appelle AWS KMS pour déchiffrer la clé de données (`Decrypt`).
Le `instanceId` de l' EC2 instance Amazon apparaît dans l'`RunInstances`événement. `"i-81e2f56c"` Le même ID d'instance qualifie le `granteePrincipal` de l'octroi créé (`"111122223333:aws:ec2-infrastructure:i-81e2f56c"`) et le rôle supposé qui est le principal dans l'appel `Decrypt` (`"arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c"`).
La [clé ARN](concepts.md#key-id-key-ARN) de la clé KMS qui protège le volume de données apparaît dans les trois AWS KMS appels (`CreateGrant``GenerateDataKeyWithoutPlaintext`, et`Decrypt`). `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:27Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "RunInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"imageId": "ami-b66ed3de",
"minCount": 1,
"maxCount": 1
}
]
},
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2"
}
]
},
"instanceType": "m3.medium",
"blockDeviceMapping": {
"items": [
{
"deviceName": "/dev/xvda",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": true,
"volumeType": "gp2"
}
},
{
"deviceName": "/dev/sdb",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": false,
"volumeType": "gp2",
"encrypted": true
}
}
]
},
"monitoring": {
"enabled": false
},
"disableApiTermination": false,
"instanceInitiatedShutdownBehavior": "stop",
"clientToken": "XdKUT141516171819",
"ebsOptimized": false
},
"responseElements": {
"reservationId": "r-5ebc9f74",
"ownerId": "111122223333",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"instancesSet": {
"items": [
{
"instanceId": "i-81e2f56c",
"imageId": "ami-b66ed3de",
"instanceState": {
"code": 0,
"name": "pending"
},
"amiLaunchIndex": 0,
"productCodes": {
},
"instanceType": "m3.medium",
"launchTime": 1415223328000,
"placement": {
"availabilityZone": "us-east-1a",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"stateReason": {
"code": "pending",
"message": "pending"
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
},
"virtualizationType": "hvm",
"hypervisor": "xen",
"clientToken": "XdKUT1415223327917",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"networkInterfaceSet": {
},
"ebsOptimized": false
}
]
}
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "cd75a605-2fee-4fda-b847-9c3d330ebaae",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"granteePrincipal": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "c1ad79e3-0d3f-402a-b119-d5c31d7c6a6c",
"readOnly": false,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-111122223333-758247346-1415223332",
"eventID": "ac3cab10-ce93-4953-9d62-0b6e5cba651d",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c",
"accountId": "111122223333",
"accessKeyId": "",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-05T21:35:38Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-infrastructure",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-infrastructure",
"accountId": "111122223333",
"userName": "aws:ec2-infrastructure"
}
}
},
"eventTime": "2014-11-05T21:35:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"responseElements": null,
"requestID": "b4b27883-6533-11e4-b4d9-751f1761e9e5",
"eventID": "edb65380-0a3e-4123-bbc8-3d1b7cff49b0",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Surveillez les clés KMS avec Amazon CloudWatch
Vous pouvez suivre votre AWS KMS keys utilisation d'[Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), un AWS service qui collecte et traite les données brutes pour AWS KMS en faire des indicateurs lisibles en temps quasi réel. Ces données sont enregistrées pour une durée de deux semaines pour que vous puissiez accéder aux informations historiques, et mieux comprendre l'utilisation de vos clés KMS et leur évolution au fil du temps.
Vous pouvez utiliser Amazon CloudWatch pour vous avertir d'événements importants, tels que les suivants.
+ Les éléments de clé importés dans une clé KMS approchent de leur date d'expiration.
+ Une clé KMS en attente de suppression est toujours utilisée.
+ Les éléments de clé dans une clé KMS ont effectué automatiquement une rotation.
+ Une clé KMS a été supprimée.
Vous pouvez également créer une CloudWatch alarme [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez [Gérer vos taux de demandes AWS KMS d'API à l'aide de Service Quotas et d'Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) dans le *blog sur la AWS sécurité*.
## AWS KMS métriques et dimensions
AWS KMS prédéfinit CloudWatch les métriques Amazon pour vous permettre de surveiller plus facilement les données critiques et de créer des alarmes. Vous pouvez consulter les AWS KMS statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon.
Cette section répertorie chaque AWS KMS métrique et les dimensions de chaque métrique, et fournit des conseils de base pour créer des CloudWatch alarmes basées sur ces métriques et dimensions.
**Note**
**Nom du groupe de dimensions** :
Pour afficher une métrique dans la CloudWatch console Amazon, dans la section **Metrics**, sélectionnez le nom du groupe de dimensions. Vous pouvez ensuite filtrer en fonction du **Metric name** (Nom de la métrique). Cette rubrique inclut le nom de la métrique et le nom du groupe de dimensions pour chaque métrique AWS KMS .
Vous pouvez consulter AWS KMS les statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon. Pour plus d'informations, consultez la section [Afficher les statistiques disponibles](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [Nuage HSMKey StoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
Nombre de demandes d'opérations cryptographiques réussies sur une clé KMS spécifique. En utilisant cette `SuccessfulRequest` métrique, vous pouvez appliquer un filtrage au niveau des clés à l'utilisation de AWS KMS l'API dans. CloudWatch La `Sum` statistique de cette métrique définit le nombre total de demandes réussies au cours de la période.
Utilisez cette métrique pour identifier les clés KMS qui consomment la plus grande partie de votre quota de demandes ou qui contribuent le plus aux frais d'API. Vous pouvez également créer une CloudWatch alarme basée sur la `SuccesfulRequest` métrique pour vous avertir des modèles d'utilisation anormaux de l' AWS KMS API. Ces alertes peuvent aider à identifier les flux de travail inefficaces susceptibles de dépasser involontairement vos quotas de demandes ou d'entraîner des frais imprévus.
**Dimensions pour `SuccessfulRequest`**
| Dimension | Description |
| --- | --- |
| KeyArn | Valeur pour chaque clé KMS. |
| Opération | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques. |
Pour les [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)opérations, la `SuccessfulRequest` métrique inclut des dimensions pour les clés KMS source et de destination.
| Dimension | Description |
| --- | --- |
| SourceKeyArn | Valeur de la clé KMS qui a déchiffré le texte chiffré. |
| DestinationKeyArn | Valeur de la clé KMS qui a rechiffré les données. |
| Opération | Valeur pour chaque opération AWS KMS d'API, dans ce cas, ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
Nombre de secondes restant avant l'expiration du [contenu clé importé d'une clé](importing-keys.md) KMS dont la date d'expiration est la plus proche. Cette métrique n'est valide que pour les clés KMS avec des éléments de clé importés (dont l'[origine des éléments de clé](create-keys.md#key-origin) est `EXTERNAL`) et une date d'expiration.
Utilisez cette métrique pour savoir combien de temps il reste avant l'expiration de vos documents clés importés dont la date d'expiration est la plus proche. Lorsque ce délai tombe en dessous d'un seuil que vous définissez, vous devez réimporter le matériel clé avec une nouvelle date d'expiration pour que la clé KMS reste utilisable. La métrique `SecondsUntilKeyMaterialExpiration` est spécifique à une clé KMS. Vous ne pouvez pas utiliser cette métrique pour surveiller plusieurs clés KMS ou les clés KMS que vous pourriez créer ultérieurement. Pour obtenir de l'aide sur la création CloudWatch d'une alarme pour surveiller cette métrique, consultez[Créer une CloudWatch alarme en cas d'expiration du matériel clé importé](imported-key-material-expiration-alarm.md).
`Minimum` est la statistique la plus utile pour cette métrique. Elle indique le plus petit temps restant pour tous les points de données de la période statistique spécifiée. La seule unité valide pour cette métrique est `Seconds`.
**Nom du groupe de dimensions** : **Per-Key Metrics** (Métriques par clé)
**Dimensions pour `SecondsUntilKeyMaterialExpiration`**
| Dimension | Description ; en rapport avec AWS |
| --- | --- |
| KeyId | Valeur pour chaque clé KMS. |
Lorsque vous [planifiez la suppression](deleting-keys.md) d'une clé KMS, AWS KMS applique une période d'attente avant de supprimer la clé KMS. Vous pouvez utiliser la période d'attente pour vous assurer de ne pas avoir besoin de la clé KMS maintenant ni par la suite. Vous pouvez également configurer une CloudWatch alarme pour vous avertir si une personne ou une application tente d'utiliser la clé KMS lors d'une [opération cryptographique](kms-cryptography.md#cryptographic-operations) pendant la période d'attente. Si vous recevez une notification de ce type d'alarme, vous pouvez annuler la suppression de la clé KMS.
Pour obtenir des instructions, veuillez consulter [Créez une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression](deleting-keys-creating-cloudwatch-alarm.md).
### Nuage HSMKey StoreThrottle
Nombre de demandes d'opérations cryptographiques sur des clés KMS dans chaque magasin de AWS CloudHSM clés qui AWS KMS limite (répond par un). `ThrottlingException` Cette métrique s'applique uniquement aux magasins AWS CloudHSM clés.
La `CloudHSMKeyStoreThrottle` métrique s'applique uniquement aux clés KMS d'un magasin de AWS CloudHSM clés et uniquement aux demandes d'[opérations cryptographiques](kms-cryptography.md#cryptographic-operations). AWS KMS [limite ces demandes lorsque le taux de demandes](throttling.md) dépasse le [quota de demandes de stockage de clés personnalisé pour votre magasin](requests-per-second.md#rps-key-stores) de AWS CloudHSM clés. Cette métrique inclut également la régulation par le AWS CloudHSM cluster.
**Nom du groupe de dimensions** : **Keystore Throttle Metrics** (Métriques de limitation du magasin de clés)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Valeur pour chaque magasin de AWS CloudHSM clés. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques sur les clés KMS dans un magasin de AWS CloudHSM clés. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés est AWS CloudHSM SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
Nombre de demandes d'opérations cryptographiques sur des clés KMS dans chaque magasin de clés externe qui AWS KMS limite (répond par un). `ThrottlingException` Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).
La `ExternalKeyStoreThrottle` métrique s'applique uniquement aux clés KMS dans un magasin de clés externe et uniquement aux demandes d'[opérations cryptographiques](kms-cryptography.md#cryptographic-operations). AWS KMS [limite ces demandes lorsque le taux de demandes](throttling.md) dépasse le [quota de demandes de stockage de clés personnalisé pour votre magasin](requests-per-second.md#rps-key-stores) de clés externe. Cette métrique n'inclut pas la limitation par votre proxy de magasin de clés externe ou votre gestionnaire de clés externe.
Utilisez cette métrique pour revoir et ajuster la valeur de votre quota de demandes personnalisé en magasin de clés. Si cette métrique indique que AWS KMS vos demandes pour ces clés KMS sont fréquemment limitées, vous pouvez envisager de demander une augmentation de la valeur du quota de demandes de stockage de clés personnalisé. Si vous avez besoin d'aide, consultez [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Demande d'augmentation de quota) dans le *Guide de l'utilisateur Service Quotas*.
Si vous obtenez très fréquemment des erreurs `KMSInvalidStateException` avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé » ou que la requête a été rejetée « car le proxy de magasin de clés externe n'a pas répondu à temps », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peut pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. La diminution de cette valeur de quota peut augmenter la régulation (et la valeur `ExternalKeyStoreThrottle` métrique), mais cela indique que les demandes excédentaires AWS KMS sont rejetées rapidement avant qu'elles ne soient envoyées à votre proxy de stockage de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au [Centre AWS Support](https://console.aws.amazon.com/support/home) et créez une demande.
**Nom du groupe de dimensions** : **Keystore Throttle Metrics** (Métriques de limitation du magasin de clés)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques sur les clés KMS dans un magasin de clés externe. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
Nombre de jours avant l'expiration du certificat TLS de votre [point de terminaison du proxy de magasin de clés externe](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`). Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit de l'expiration prochaine de votre certificat TLS. Lorsque le certificat expire, AWS KMS impossible de communiquer avec le proxy de stockage de clés externe. Toutes les données protégées par des clés KMS dans votre magasin de clés externe deviennent inaccessibles jusqu'à ce que vous renouveliez le certificat.
Une alerte de certificat informe de l'expiration d'un certificat qui pourrait vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire.
**Nom du groupe de dimensions** : **XKS Proxy Certificate Metrics** (Métriques du certificat du proxy XKS)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| CertificateName | Nom du sujet (CN) dans le certificat TLS. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).
### XksProxyCredentialAge
Nombre de jours écoulés depuis que les [informations d'identification pour l'authentification de proxy](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) du magasin de clés externe actuel ont été associées au magasin de clés externe. Ce décompte commence lorsque vous saisissez les informations d'identification pour l'authentification dans le cadre de la création ou de la mise à jour de votre magasin de clés externe. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).
Cette valeur est conçue pour vous rappeler l'âge de vos informations d'identification pour l'authentification. Toutefois, étant donné que nous commençons le décompte lorsque vous associez les informations d'identification à votre magasin de clés externe, et non lorsque vous créez vos informations d'identification pour l'authentification sur le proxy de votre magasin de clés externe, cela peut ne pas être un indicateur précis de l'âge des informations d'identification sur le proxy.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous rappelle de changer vos informations d'identification d'authentification du proxy de stockage de clés externe.
**Nom du groupe de dimensions** : **Per-Keystore Metrics** (Métriques par magasin de clés)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).
### XksProxyErrors
Le nombre d'exceptions liées aux AWS KMS demandes adressées à votre [proxy de stockage de clés externe](keystore-external.md#concept-xks-proxy). Ce décompte inclut les exceptions auxquelles le proxy de stockage de clés externe revient AWS KMS et les erreurs de délai d'expiration qui se produisent lorsque le proxy de stockage de clés externe ne répond pas AWS KMS dans l'intervalle de 250 millisecondes. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).
Utilisez cette métrique pour effectuer le suivi du taux d'erreurs des clés KMS dans votre magasin de clés externe. Elle révèle les erreurs les plus fréquentes, ce qui vous permet de hiérarchiser vos efforts d'ingénierie. Par exemple, les clés KMS qui génèrent des taux élevés d'erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique [Afficher les magasins de clés externes](view-xks-keystore.md). Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).
**Nom du groupe de dimensions** : **XKS Proxy Error Metrics** (Métriques d'erreurs du proxy XKS)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API qui a généré une demande au proxy XKS. |
| XksOperation | Valeur pour chaque [opération de l'API du proxy de magasin de clés externe](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC\$1DEFAULT. |
| ErrorType | Valeurs :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Valeurs : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/monitoring-cloudwatch.html) |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).
### XksExternalKeyManagerStates
Décompte du nombre d'[instances de gestionnaire de clés externe](keystore-external.md#concept-ekm) dans chacun des états suivants : `Active`, `Degraded` et `Unavailable`. Les informations relatives à cette métrique proviennent du proxy de magasin de clés externe associé à chaque magasin de clés externe. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).
Les états des instances de gestionnaire de clés externe associées à un magasin de clés externe sont les suivants. Chaque proxy de magasin de clés externe peut utiliser des indicateurs différents pour mesurer l'état de votre gestionnaire de clés externe. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe.
+ `Active` : le gestionnaire de clés externe est sain.
+ `Degraded` : le gestionnaire de clés externe est défectueux, mais il peut toujours traiter le trafic.
+ `Unavailable` : le gestionnaire de clés externe ne peut pas traiter le trafic.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit en cas de dégradation ou d'indisponibilité d'instances de gestionnaire de clés externes. Pour déterminer quelles instances de gestionnaire de clés externe se trouvent dans chaque état, consultez les journaux du proxy de votre magasin de clés externe.
**Nom du groupe de dimensions** : **XKS External Key Manager Metrics** (Métriques du gestionnaire de clés externe XKS)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| XksExternalKeyManagerState | Valeur pour chaque état. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).
### XksProxyLatency
Nombre de millisecondes nécessaires à un proxy de magasin de clés externe pour répondre à une requête AWS KMS . Si le délai de la requête a expiré, la valeur enregistrée est la limite de délai d'expiration de 250 millisecondes. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).
Utilisez cette métrique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Par exemple, si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur de proxy externe.
Les réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de demandes actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 requêtes par seconde, pensez à demander une diminution de votre [quota de requêtes de clés KMS dans un magasin de clés personnalisé](requests-per-second.md#rps-key-stores). Les requêtes d'opérations cryptographiques utilisant les clés KMS de votre magasin de clés externe échoueront rapidement, avec une [exception de limitation](throttling.md), au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou le gestionnaire de clés externe.
**Nom du groupe de dimensions** : **XKS Proxy Latency Metrics** (Métriques de latence de proxy XKS)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API qui a généré une demande au proxy XKS. |
| XksOperation | Valeur pour chaque [opération de l'API du proxy de magasin de clés externe](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC\$1DEFAULT. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).
# Créer une CloudWatch alarme en cas d'expiration du matériel clé importé
Vous pouvez créer une CloudWatch alarme qui vous avertit lorsque le contenu clé importé d'une clé KMS approche de son expiration. Par exemple, l'alarme peut vous notifier lorsque le délai d'expiration est inférieur à 30 jours.
Lorsque vous [importez des éléments de clé dans une clé KMS](importing-keys.md), vous pouvez éventuellement spécifier une date et heure à laquelle les éléments de clé doivent expirer. Lorsque le contenu clé expire, il est AWS KMS supprimé et la clé KMS devient inutilisable. Pour utiliser la clé KMS à nouveau, vous devez [réimporter les éléments de clé](importing-keys-import-key-material.md#reimport-key-material). Toutefois, si vous réimportez les éléments de clé avant qu'ils n'expirent, vous pouvez éviter de perturber les processus qui utilisent cette clé KMS.
Cette alarme utilise la [`SecondsUntilKeyMaterialExpires`métrique](monitoring-cloudwatch.md#key-material-expiration-metric) AWS KMS publiée sur CloudWatch pour les clés KMS dont le contenu clé importé expire. Chaque alarme utilise cette métrique pour surveiller les éléments de clé importés pour une clé KMS particulière. Vous ne pouvez pas créer une alarme unique pour toutes les clés KMS dont les éléments de clé expire ou une alarme pour les clés KMS que vous pourriez créer ultérieurement.
**Exigences**
Les ressources suivantes sont requises pour une CloudWatch alarme qui surveille l'expiration du matériel clé importé.
+ Une clé KMS dont les éléments de clé importés expirent.
+ Une rubrique Amazon SNS Pour plus de détails, consultez [la rubrique Création d'un Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) dans le guide de * CloudWatch l'utilisateur Amazon*.
**Créez l'alarme**
Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
| Champ | Value |
| --- | --- |
| Sélectionner une métrique | Choisissez **KMS**, puis choisissez **Per-Key Metrics**. Choisissez la ligne contenant la clé KMS et la métrique `SecondsUntilKeyMaterialExpires`. Ensuite, choisissez **Select metric** (Sélectionner une métrique). La liste **Métriques** affiche les métriques `SecondsUntilKeyMaterialExpires` uniquement pour les clés KMS dont les éléments de clé importés expirent. Si vous ne disposez pas de clés KMS avec ces propriétés dans le compte et la région, cette liste est vide. |
| Statistique | Minimum |
| Period | 1 minute |
| Type de seuil | Statique |
| Chaque fois que … | Chaque fois que metric-name c'est supérieur à 1 |
# Créez des CloudWatch alarmes pour les magasins de clés externes
Vous pouvez créer des CloudWatch alarmes Amazon en fonction des statistiques externes du magasin clé pour vous avertir lorsqu'une valeur métrique dépasse le seuil que vous avez spécifié. L'alerte peut envoyer le message à une [rubrique Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) ou à une [politique Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work). Pour obtenir des informations détaillées sur les CloudWatch alarmes, consultez la section [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *dans le guide de CloudWatch l'utilisateur Amazon*.
Avant de créer une CloudWatch alarme Amazon, vous avez besoin d'une rubrique Amazon SNS. Pour plus de détails, consultez [la rubrique Création d'un Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) dans le guide de * CloudWatch l'utilisateur Amazon*.
**Topics**
+ [Créer une alarme pour l'expiration du certificat](#cert-expire-alarm)
+ [Création d'une alarme pour l'expiration du délai de réponse](#latency-alarm)
+ [Créez une alarme pour les erreurs réessayables](#retryable-errors-alarm)
+ [Créez une alarme pour les erreurs non réessayables](#nonretryable-errors-alarm)
## Créer une alarme pour l'expiration du certificat
Cette alarme utilise la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) métrique AWS KMS publiée sur CloudWatch pour enregistrer l'expiration prévue du certificat TLS associé à votre point de terminaison proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.
Nous vous recommandons de régler l'alerte pour qu'elle vous avertisse 10 jours avant l'expiration de votre certificat, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.
**Créez l'alarme**
Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
| Champ | Value |
| --- | --- |
| Sélectionner une métrique | Choisissez **KMS**, puis choisissez **XKS Proxy Certificate Metrics** (Métriques de certificat de proxy XKS). Cochez la case à côté du `XksProxyCertificateName` que vous souhaitez surveiller. Ensuite, choisissez **Select metric** (Sélectionner une métrique). |
| Statistique | Minimum |
| Period | 5 minutes |
| Type de seuil | Statique |
| Chaque fois que … | Chaque fois Lower que XksProxyCertificateDaysToExpirec'est le cas10. |
## Création d'une alarme pour l'expiration du délai de réponse
Cette alarme utilise la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre de millisecondes nécessaires à un proxy de stockage de clés externe pour répondre à une demande. AWS KMS Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.
AWS KMS attend du proxy de stockage de clés externe qu'il réponde à chaque demande dans un délai de 250 millisecondes. Nous vous recommandons de configurer une alerte pour vous avertir lorsque le proxy de votre magasin de clés externe met plus de 200 millisecondes à répondre, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.
**Créez l'alarme**
Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
| Champ | Value |
| --- | --- |
| Sélectionner une métrique | Choisissez **KMS**, puis choisissez **XKS Proxy Latency Metrics** (Métriques de latence de proxy XKS). Cochez la case à côté du `KmsOperation` que vous souhaitez surveiller. Ensuite, choisissez **Select metric** (Sélectionner une métrique). |
| Statistique | Moyenne |
| Period | 5 minutes |
| Type de seuil | Statique |
| Chaque fois que … | Chaque fois Greater que XksProxyLatencyc'est le cas200. |
## Créez une alarme pour les erreurs réessayables
Cette alarme utilise la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.
Les erreurs récupérables réduisent votre pourcentage de fiabilité et peuvent indiquer des erreurs réseau. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.
Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
| Champ | Value |
| --- | --- |
| Sélectionner une métrique | Choisissez l'onglet **Query** (Requête). Choisissez `AWS/KMS` comme **Namespace** (Espace de noms). Saisissez `SUM(XksProxyErrors)` comme **Metric name** (Nom de la métrique). Saisissez `ErrorType = Retryable` pour **Filter by** (Filtrer par). Cliquez sur **Exécuter**. Ensuite, choisissez **Select metric** (Sélectionner une métrique). |
| Étiquette | Retryable errors |
| Period | 1 minute |
| Type de seuil | Statique |
| Chaque fois que … | Chaque fois que q1 est Greater que 5. |
## Créez une alarme pour les erreurs non réessayables
Cette alarme utilise la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.
Les erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs non récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.
Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
| Champ | Value |
| --- | --- |
| Sélectionner une métrique | Choisissez l'onglet **Query** (Requête). Choisissez `AWS/KMS` comme **Namespace** (Espace de noms). Saisissez `SUM(XksProxyErrors)` comme **Metric name** (Nom de la métrique). Saisissez `ErrorType = Non-retryable` pour **Filter by** (Filtrer par). Cliquez sur **Exécuter**. Ensuite, choisissez **Select metric** (Sélectionner une métrique). |
| Étiquette | Non-retryable errors |
| Period | 1 minute |
| Type de seuil | Statique |
| Chaque fois que … | Chaque fois que q1 est Greater que 5. |
# Surveillez les clés KMS avec Amazon EventBridge
Vous pouvez utiliser Amazon EventBridge (anciennement Amazon CloudWatch Events) pour vous avertir des événements importants suivants survenus dans le cycle de vie de vos clés KMS.
+ Le contenu clé d'une clé KMS a fait l'objet d'une rotation automatique ou à la demande.
+ Le matériel clé importé dans la clé KMS expirée
+ Une clé KMS dont la suppression avait été planifiée a été supprimée.
AWS KMS s'intègre EventBridge à Amazon pour vous informer des événements importants qui affectent vos clés KMS. Chaque événement est représenté au [format JSON (JavaScriptObject Notation)](http://json.org) et inclut le nom de l'événement, la date et l'heure auxquelles l'événement s'est produit, ainsi que les événements concernés. Vous pouvez collecter ces événements et établir des règles qui les acheminent vers une ou plusieurs *cibles*, telles que les AWS Lambda fonctions, les rubriques Amazon SNS, les files d'attente Amazon SQS, les flux dans Amazon Kinesis Data Streams ou les cibles intégrées.
Pour plus d'informations sur l'utilisation EventBridge avec d'autres types d'événements, notamment ceux émis AWS CloudTrail lors de l'enregistrement d'une demande d' read/write API, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
Les rubriques suivantes décrivent les EventBridge événements AWS KMS générés.
## Rotation de clé CMK dans KMS
AWS KMS prend en charge [la rotation automatique et à la demande](rotate-keys.md) du contenu clé dans les clés KMS de chiffrement symétriques.
Chaque fois qu'il AWS KMS fait pivoter un matériau clé, il envoie un `KMS CMK Rotation` événement à EventBridge. AWS KMS génère cet événement dans la mesure du possible.
Voici un exemple de cet événement.
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "KMS CMK Rotation",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-origin": "AWS_KMS",
"rotation-type": "ON_DEMAND",
"previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
}
}
```
## Expiration d'éléments de clé importés KMS
Lorsque vous [importez des éléments de clé dans une clé KMS](importing-keys.md), vous pouvez éventuellement spécifier une heure à laquelle les éléments de clé doivent expirer. Lorsque le contenu clé expire, le AWS KMS supprime et envoie un `KMS Imported Key Material Expiration` événement correspondant à EventBridge. AWS KMS génère cet événement dans la mesure du possible.
Voici un exemple de cet événement.
```
{
"version": "0",
"id": "9da9af57-9253-4406-87cb-7cc400e43465",
"detail-type": "KMS Imported Key Material Expiration",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
## Suppression d'une clé CMK dans KMS
Lorsque vous [planifiez la suppression](deleting-keys.md) d'une clé KMS, AWS KMS applique une période d'attente avant de supprimer la clé KMS. Une fois la période d'attente terminée, AWS KMS supprime la clé KMS et envoie un `KMS CMK Deletion` événement à EventBridge. AWS KMS garantit cet EventBridge événement. En raison de nouvelles tentatives, il peut générer plusieurs événements en quelques secondes qui suppriment la même clé KMS.
Voici un exemple de cet événement.
```
{
"version": "0",
"id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
"detail-type": "KMS CMK Deletion",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
```