Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Monitoraggio delle richieste attestate
Puoi utilizzare i tuoi AWS CloudTrail log per monitorare [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt),, [DeriveSharedSecret[GenerateDataKey[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret), e [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom)le operazioni che utilizzano l'attestazione. In queste voci di registro, il `additionalEventData` campo contiene un `recipient` campo con le informazioni del documento di attestazione contenuto nella richiesta. Questi campi sono inclusi solo quando il `Recipient` parametro nella richiesta specifica un documento di attestazione firmato.
Le informazioni specifiche incluse nel CloudTrail registro dipendono dal metodo di attestazione utilizzato.
# Richieste di monitoraggio per enclavi Nitro
Per l'attestazione dell'enclave di Nitro, il CloudTrail registro include l'ID del modulo (`attestationDocumentModuleId`), l'image digest () e i registri di configurazione della piattaforma (`attestationDocumentEnclaveImageDigest`) contenuti nel documento di attestazione. PCRs
L'ID del modulo è l'[ID enclave](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-enclaveid) dell'enclave Nitro. L'image digest è l'hash dell'immagine dell'enclave. SHA384 Puoi possibile utilizzare il digest dell'immagine e i valori PCR in [condizioni per le policy delle chiavi e le policy IAM](conditions-attestation.md). *Per informazioni su PCRs, consulta [Dove reperire le misure di un'enclave nella Guida per l'utente di Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/set-up-attestation.html#where).AWS *
Questa sezione mostra un esempio di voce di CloudTrail registro per ciascuna delle richieste di enclave Nitro supportate a. AWS KMS
## Decrypt (per un'enclave)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'operazione [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) per un'enclave Nitro. AWS
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T22:58:24Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-enc123456789abcde12",
"attestationDocumentEnclaveImageDigest": "",
"attestationDocumentEnclavePCR1": "",
"attestationDocumentEnclavePCR2": "",
"attestationDocumentEnclavePCR3": "",
"attestationDocumentEnclavePCR4": "",
"attestationDocumentEnclavePCR8": ""
}
},
"requestID": "b4a65126-30d5-4b28-98b9-9153da559963",
"eventID": "e5a2f202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## GenerateDataKey (per un'enclave)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione per un' AWS enclave Nitro.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"numberOfBytes": 32
},
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-enc123456789abcde12",
"attestationDocumentEnclaveImageDigest": "",
"attestationDocumentEnclavePCR1": "",
"attestationDocumentEnclavePCR2": "",
"attestationDocumentEnclavePCR3": "",
"attestationDocumentEnclavePCR4": "",
"attestationDocumentEnclavePCR8": ""
}
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## GenerateDataKeyPair (per un'enclave)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)operazione per un' AWS enclave Nitro.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T18:57:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-enc123456789abcde12",
"attestationDocumentEnclaveImageDigest": "",
"attestationDocumentEnclavePCR1": "",
"attestationDocumentEnclavePCR2": "",
"attestationDocumentEnclavePCR3": "",
"attestationDocumentEnclavePCR4": "",
"attestationDocumentEnclavePCR8": ""
}
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## GenerateRandom (per un'enclave)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)operazione per un'enclave AWS Nitro.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-enc123456789abcde12",
"attestationDocumentEnclaveImageDigest": "",
"attestationDocumentEnclavePCR1": "",
"attestationDocumentEnclavePCR2": "",
"attestationDocumentEnclavePCR3": "",
"attestationDocumentEnclavePCR4": "",
"attestationDocumentEnclavePCR8": ""
}
},
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Richieste di monitoraggio per NitroTPM
Per l'attestazione NitroTPM, il CloudTrail registro include l'ID del modulo (`attestationDocumentModuleId`) e i registri di configurazione della piattaforma () contenuti nel documento di attestazione. PCRs
L'ID del modulo è l'ID dell'istanza EC2 con NitroTPM con un identificatore TPM. È possibile utilizzare i valori PCR in [condizioni per le](conditions-attestation.md) politiche chiave e le politiche IAM.
Questa sezione mostra un esempio di voce di CloudTrail registro per ciascuna delle richieste NitroTPM supportate a. AWS KMS
## Decrittografa (per un NitroTPM)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'operazione [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) per un NitroTPM.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T22:58:24Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-tpm0000000000000000",
"attestationDocumentNitroTPMPCR4": "",
"attestationDocumentNitroTPMPCR7": "",
"attestationDocumentNitroTPMPCR8": "",
"attestationDocumentNitroTPMPCR9": "",
"attestationDocumentNitroTPMPCR16": "",
"attestationDocumentNitroTPMPCR23": ""
}
},
"requestID": "b4a65126-30d5-4b28-98b9-9153da559963",
"eventID": "e5a2f202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## GenerateDataKey (per un NitroTPM)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione per un NitroTPM.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"numberOfBytes": 32
},
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-tpm0000000000000000",
"attestationDocumentNitroTPMPCR4": "",
"attestationDocumentNitroTPMPCR7": "",
"attestationDocumentNitroTPMPCR8": "",
"attestationDocumentNitroTPMPCR9": "",
"attestationDocumentNitroTPMPCR16": "",
"attestationDocumentNitroTPMPCR23": ""
}
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## GenerateDataKeyPair (per un NitroTPM)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)operazione per un NitroTPM.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T18:57:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-tpm0000000000000000",
"attestationDocumentNitroTPMPCR4": "",
"attestationDocumentNitroTPMPCR7": "",
"attestationDocumentNitroTPMPCR8": "",
"attestationDocumentNitroTPMPCR9": "",
"attestationDocumentNitroTPMPCR16": "",
"attestationDocumentNitroTPMPCR23": ""
}
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## GenerateRandom (per un NitroTPM)
L'esempio seguente mostra una voce di AWS CloudTrail registro di un'[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)operazione per un NitroTPM.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"recipient": {
"attestationDocumentModuleId": "i-123456789abcde123-tpm0000000000000000",
"attestationDocumentNitroTPMPCR4": "",
"attestationDocumentNitroTPMPCR7": "",
"attestationDocumentNitroTPMPCR8": "",
"attestationDocumentNitroTPMPCR9": "",
"attestationDocumentNitroTPMPCR16": "",
"attestationDocumentNitroTPMPCR23": ""
}
},
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```