Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Logging AWS KMS API panggilan dengan AWS CloudTrail
AWS KMS terintegrasi dengan AWS CloudTrail, layanan yang merekam semua panggilan AWS KMS oleh pengguna, peran, dan AWS layanan lainnya. CloudTrail menangkap semua API panggilan ke AWS KMS sebagai event, termasuk panggilan dari AWS KMS konsol AWS KMS APIs, AWS CloudFormation template, AWS Command Line Interface (AWS CLI), dan AWS Tools for PowerShell.
CloudTrail mencatat semua AWS KMS operasi, termasuk operasi hanya-baca, seperti ListAliasesdan GetKeyRotationStatus, operasi yang mengelola KMS kunci, seperti CreateKeydan, dan operasi kriptografi PutKeyPolicy, seperti GenerateDataKeydan Dekripsi. Ini juga mencatat operasi internal yang AWS KMS memanggil Anda, seperti DeleteExpiredKeyMaterial, DeleteKey, SynchronizeMultiRegionKey, dan RotateKey.
CloudTrail mencatat semua operasi yang berhasil dan, dalam beberapa skenario, percobaan panggilan yang gagal, seperti ketika pemanggil ditolak akses ke sumber daya. Operasi lintas akun pada KMS kunci dicatat di akun penelepon dan akun pemilik KMS kunci. Namun, AWS KMS permintaan lintas akun yang ditolak karena akses ditolak hanya dicatat di akun pemanggil.
Untuk alasan keamanan, beberapa bidang dihilangkan dari entri AWS KMS log, seperti Plaintext parameter permintaan Enkripsi, dan respons terhadap GetKeyPolicyatau operasi kriptografi apa pun. Untuk mempermudah pencarian entri CloudTrail log untuk KMS kunci tertentu, AWS KMS tambahkan kunci kunci ARN yang terpengaruh KMS ke responseElements bidang di entri log untuk beberapa operasi manajemen AWS KMS kunci, bahkan ketika API operasi tidak mengembalikan kunci. ARN
Meskipun secara default, semua AWS KMS tindakan dicatat sebagai CloudTrail peristiwa, Anda dapat mengecualikan AWS KMS tindakan dari CloudTrail jejak. Untuk detailnya, lihat Tidak termasuk AWS KMS acara dari jejak.
Pelajari lebih lanjut:
-
Untuk contoh CloudTrail log AWS KMS operasi untuk kantong AWS Nitro, lihat. Memantau permintaan untuk kantong Nitro
Topik
Menemukan entri AWS KMS log di CloudTrail
Untuk mencari entri CloudTrail log, gunakan CloudTrail konsol atau CloudTrail LookupEventsoperasi. CloudTrail mendukung banyak nilai atribut untuk memfilter pencarian Anda, termasuk nama acara, nama pengguna, dan sumber acara.
Untuk membantu Anda mencari entri AWS KMS log di CloudTrail, AWS KMS isi kolom entri CloudTrail log berikut.
catatan
Mulai Desember 2022, AWS KMS mengisi atribut tipe Sumber Daya dan nama Sumber Daya di semua operasi manajemen yang mengubah KMS kunci tertentu. Nilai atribut ini mungkin null dalam CloudTrail entri lama untuk operasi berikut: CreateAlias,, CreateGrant, DeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrantRevokeGrantUpdateAlias, dan. UpdatePrimaryRegion
| Atribut | Nilai | Entri log |
|---|---|---|
Sumber acara (EventSource) |
kms.amazonaws.com |
Semua operasi. |
Jenis sumber daya (ResourceType) |
AWS::KMS::Key |
Operasi manajemen yang mengubah KMS kunci tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys. |
Nama sumber daya (ResourceName) |
Kunci ARN (atau ID kunci dan kunciARN) | Operasi manajemen yang mengubah KMS kunci tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys. |
Untuk membantu Anda menemukan entri log untuk operasi manajemen pada KMS kunci tertentu, AWS KMS
catat kunci ARN KMS kunci yang terpengaruh dalam responseElements.keyId elemen entri log, bahkan ketika AWS KMS API operasi tidak mengembalikan kunciARN.
Misalnya, panggilan yang berhasil ke DisableKeyoperasi tidak mengembalikan nilai apa pun dalam respons, tetapi alih-alih nilai nol, responseElements.keyId nilai dalam entri DisableKey log menyertakan kunci kunci ARN yang dinonaktifkanKMS.
Fitur ini ditambahkan pada Desember 2022 dan memengaruhi entri CloudTrail log berikut: CreateAlias,,,, CreateGrant, DeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, dan UpdatePrimaryRegion.
Tidak termasuk AWS KMS acara dari jejak
Untuk memberikan catatan penggunaan dan pengelolaan AWS KMS sumber daya mereka, sebagian besar AWS KMS pengguna mengandalkan peristiwa dalam CloudTrail jejak. Jejak dapat menjadi sumber data yang berharga untuk mengaudit peristiwa penting, seperti membuat, menonaktifkan, dan menghapus, mengubah kebijakan utama AWS KMS keys, dan penggunaan kunci Anda oleh AWS layanan atas KMS nama Anda. Dalam beberapa kasus, metadata dalam entri CloudTrail log, seperti konteks enkripsi dalam operasi enkripsi, dapat membantu Anda menghindari atau menyelesaikan kesalahan.
Namun, karena AWS KMS dapat menghasilkan sejumlah besar peristiwa, AWS CloudTrail memungkinkan Anda mengecualikan AWS KMS acara dari jejak. Pengaturan per-jejak ini mengecualikan semua AWS KMS peristiwa; Anda tidak dapat mengecualikan acara tertentu. AWS KMS
Awas
Mengecualikan AWS KMS peristiwa dari CloudTrail Log dapat mengaburkan tindakan yang menggunakan kunci Anda. KMS Berhati-hatilah saat memberikan cloudtrail:PutEventSelectors kepada pengguna utama yang diperlukan untuk melakukan operasi ini.
Untuk mengecualikan AWS KMS acara dari jejak:
-
Di CloudTrail konsol, gunakan setelan peristiwa Layanan Manajemen Kunci Log saat Anda membuat jejak atau memperbarui jejak. Untuk petunjuknya, lihat Logging Management Events dengan AWS Management Console di Panduan AWS CloudTrail Pengguna.
-
Dalam CloudTrail API, gunakan PutEventSelectorsoperasi. Tambahkan atribut
ExcludeManagementEventSourcespada pemilih peristiwa Anda dengan nilaikms.amazonaws.com. Sebagai contoh, lihat Contoh: Jejak yang tidak mencatat AWS Key Management Service peristiwa di Panduan AWS CloudTrail Pengguna.
Anda dapat menonaktifkan pengecualian ini kapan saja dengan mengubah pengaturan konsol atau pemilih peristiwa untuk jejak. Jejak kemudian akan mulai merekam AWS KMS acara. Namun, itu tidak dapat memulihkan AWS KMS peristiwa yang terjadi saat pengecualian efektif.
Saat Anda mengecualikan AWS KMS peristiwa dengan menggunakan konsol atauAPI, CloudTrail PutEventSelectors API operasi yang dihasilkan juga dicatat di CloudTrail Log Anda. Jika AWS KMS
peristiwa tidak muncul di CloudTrail Log Anda, cari PutEventSelectors acara dengan ExcludeManagementEventSources atribut yang disetel kekms.amazonaws.com.
