Journalisation AWS KMS des demandes utilisant un VPC point de terminaison - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation AWS KMS des demandes utilisant un VPC point de terminaison

AWS CloudTrail enregistre toutes les opérations qui utilisent le VPC point de terminaison. Lorsqu'une demande AWS KMS utilise un VPC point de terminaison, l'ID du point de VPC terminaison apparaît dans l'entrée du AWS CloudTrail journal qui enregistre la demande. Vous pouvez utiliser l'identifiant du point de terminaison pour vérifier l'utilisation de votre AWS KMS VPC point de terminaison.

Toutefois, vos CloudTrail journaux n'incluent pas les opérations demandées par les principaux sur d'autres comptes ni les demandes d' AWS KMS opérations sur les KMS clés et les alias sur d'autres comptes. De plus, pour vous protégerVPC, les demandes refusées par une politique de point de VPC terminaison, mais qui auraient autrement été autorisées, ne sont pas enregistrées dans AWS CloudTrail.

Par exemple, cet exemple d'entrée de journal enregistre une GenerateDataKeydemande utilisant le point de VPC terminaison. Le champ vpcEndpointId apparaît à la fin de l'entrée de journal.

{
  "eventVersion":"1.05",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "EX_PRINCIPAL_ID",
    "arn": "arn:aws:iam::111122223333:user/Alice",
    "accessKeyId": "EXAMPLE_KEY_ID",
    "accountId": "111122223333",
    "userName": "Alice"
  },
  "eventTime":"2018-01-16T05:46:57Z",
  "eventSource":"kms.amazonaws.com",
  "eventName":"GenerateDataKey",
  "awsRegion":"eu-west-1",
  "sourceIPAddress":"172.01.01.001",
  "userAgent":"aws-cli/1.14.23 Python/2.7.12 Linux/4.9.75-25.55.amzn1.x86_64 botocore/1.8.27",
  "requestParameters":{
    "keyId":"1234abcd-12ab-34cd-56ef-1234567890ab",
    "numberOfBytes":128
  },
  "responseElements":null,
  "requestID":"a9fff0bf-fa80-11e7-a13c-afcabff2f04c",
  "eventID":"77274901-88bc-4e3f-9bb6-acf1c16f6a7c",
  "readOnly":true,
  "resources":[{
    "ARN":"arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId":"111122223333",
    "type":"AWS::KMS::Key"
  }],
  "eventType":"AwsApiCall",
  "recipientAccountId":"111122223333",
  "vpcEndpointId": "vpce-1234abcdf5678c90a"
}