Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Monitor AWS KMS keys
Il monitoraggio è una parte importante per comprendere la disponibilità, lo stato e l'utilizzo del tuo AWS KMS keys sistema AWS KMS e per mantenere l'affidabilità, la disponibilità e le prestazioni delle tue AWS soluzioni. Raccogliere i dati sul monitoraggio da tutte le parti della soluzione AWS consente un debug più facile di eventuali guasti in più punti. Prima di iniziare il monitoraggio delle chiavi KMS è tuttavia opportuno creare un piano di monitoraggio che includa le risposte alle seguenti domande:
+ Quali sono gli obiettivi del monitoraggio?
+ Di quali risorse si intende eseguire il monitoraggio?
+ Con quale frequenza sarà eseguito il monitoraggio di queste risorse?
+ Quali [strumenti di monitoraggio](#monitoring-tools) utilizzerai?
+ Chi eseguirà i processi di monitoraggio?
+ Chi deve ricevere una notifica quando si verifica un problema?
Il passaggio successivo è quello di monitorare le tue chiavi KMS nel corso del tempo per stabilire una linea di base per l'uso normale di AWS KMS e le aspettative nel proprio ambiente. Quando monitori le chiavi KMS, archivia i dati di monitoraggio storici per poterli confrontare con i dati correnti, identificare i normali modelli di prestazioni e le anomalie e ideare metodi per risolvere i problemi.
Ad esempio, puoi monitorare l'attività e gli eventi delle AWS KMS API che influiscono sulle tue chiavi KMS. Quando i dati sono sopra o sotto il livello stabilito, potrebbe essere necessario indagare o intraprendere azioni correttive.
Per stabilire una baseline per modelli normali, devi monitorare gli elementi seguenti:
+ AWS KMS Attività dell'API per le operazioni sul *piano dati*. Si tratta di [operazioni crittografiche](kms-cryptography.md#cryptographic-operations) che utilizzano una chiave KMS, ad esempio [Decrypt, [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) e. [ReEncrypt[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)
+ AWS KMS Attività delle API per le operazioni *del piano di controllo* che sono importanti per te. Queste operazioni gestiscono una chiave KMS e potresti voler monitorare quelle che modificano la disponibilità di una chiave KMS (ad esempio [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html),, [CancelKeyDeletion[DisableKey[EnableKey[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html), e [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)) o modificano il controllo di accesso di una chiave KMS (come [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)and). [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)
+ Altre AWS KMS metriche (come il tempo che manca alla scadenza del [materiale chiave importato](importing-keys.md)) ed eventi (come la scadenza del materiale chiave importato o l'eliminazione o la rotazione delle chiavi di una chiave KMS).
## Strumenti di monitoraggio
AWS fornisce vari strumenti che puoi utilizzare per monitorare le tue chiavi KMS. Alcuni di questi strumenti possono essere configurati in modo che eseguano automaticamente il monitoraggio, mentre altri richiedono l'intervento manuale. Si consiglia di automatizzare il più possibile i processi di monitoraggio.
### Strumenti di monitoraggio automatici
Per controllare le chiavi KMS e segnalare l'eventuale presenza di problemi, puoi usare gli strumenti di monitoraggio automatici seguenti.
+ **AWS CloudTrail Monitoraggio dei log**: condividi i file di CloudTrail registro tra account, monitora i file di registro in tempo reale inviandoli a CloudWatch Logs, scrivi applicazioni di elaborazione dei log con la [CloudTrail Processing Library](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) e verifica che i file di registro non siano cambiati dopo la consegna da parte di. CloudTrail Per ulteriori informazioni, consulta [Lavorare con i file di CloudTrail registro nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) per l'*AWS CloudTrail utente*.
+ **Amazon CloudWatch Alarms**: monitora una singola metrica in un periodo di tempo specificato ed esegui una o più azioni in base al valore della metrica rispetto a una determinata soglia in diversi periodi di tempo. L'azione è una notifica inviata a un argomento di Amazon Simple Notification Service (Amazon SNS) o a una politica di Amazon Auto EC2 Scaling. CloudWatch gli allarmi non richiamano azioni semplicemente perché si trovano in uno stato particolare; lo stato deve essere cambiato e mantenuto per un determinato numero di periodi. Per ulteriori informazioni, consulta [Monitora le chiavi KMS con Amazon CloudWatch](monitoring-cloudwatch.md).
+ **Amazon EventBridge**: abbina gli eventi e li indirizza a una o più funzioni o flussi di destinazione per acquisire informazioni sullo stato e, se necessario, apportare modifiche o intraprendere azioni correttive. Per ulteriori informazioni, consulta [Monitora le chiavi KMS con Amazon EventBridge](kms-events.md) la [Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ **Amazon CloudWatch Logs**: monitora, archivia e accedi ai tuoi file di registro da AWS CloudTrail o altre fonti. Per ulteriori informazioni, consulta la [Amazon CloudWatch Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
### Strumenti di monitoraggio manuali
Un'altra parte importante del monitoraggio delle chiavi KMS consiste nel monitorare manualmente gli elementi che gli CloudWatch allarmi e gli eventi non coprono. I AWS dashboard AWS KMS CloudWatch, AWS Trusted Advisor, e altri forniscono una at-a-glance panoramica dello stato dell'ambiente. AWS
È possibile [personalizzare](viewing-console-customize.md#console-customize-tables) le pagine **Chiavi gestite da AWS** e **Chiavi gestite dal cliente** della [console AWS KMS](https://console.aws.amazon.com/kms) per visualizzare le seguenti informazioni su ciascuna chiave KMS:
+ ID chiave
+ Status
+ Data di creazione
+ Data di scadenza (per le chiavi KMS con [materiale chiave importato](importing-keys.md))
+ Origin
+ ID dell'archivio delle chiavi personalizzate (per le chiavi KMS negli [archivi delle chiavi personalizzate](key-store-overview.md#custom-key-store-overview))
Il [pannello di controllo della console CloudWatch ](https://console.aws.amazon.com/cloudwatch/home) mostra quanto segue:
+ Stato e allarmi attuali
+ Grafici degli allarmi e delle risorse
+ Stato di integrità dei servizi
Inoltre, è possibile utilizzare CloudWatch per effettuare le seguenti operazioni:
+ Crea [pannelli di controllo personalizzati](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) per monitorare i servizi di interesse.
+ Crea grafici dei dati dei parametri per la risoluzione di problemi e il rilevamento di tendenze.
+ Cerca e sfoglia tutte le metriche AWS delle tue risorse
+ Crea e modifica gli allarmi per ricevere le notifiche dei problemi.
AWS Trusted Advisor può aiutarti a monitorare AWS le tue risorse per migliorare prestazioni, affidabilità, sicurezza ed economicità. Quattro Trusted Advisor controlli sono disponibili per tutti gli utenti; più di 50 controlli sono disponibili per gli utenti con un piano di supporto Business o Enterprise. Per ulteriori informazioni, consulta [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/).
# Registrazione delle chiamate AWS KMS API con AWS CloudTrail
AWS KMS è integrato con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/), un servizio che registra tutte le chiamate effettuate AWS KMS da utenti, ruoli e altri AWS servizi. CloudTrail acquisisce tutte le chiamate API a AWS KMS come eventi, incluse le chiamate dalla AWS KMS console AWS KMS APIs, dai CloudFormation modelli, da AWS Command Line Interface (AWS CLI) e AWS Strumenti per PowerShell.
CloudTrail [registra tutte le AWS KMS operazioni, incluse le operazioni di sola lettura, come [ListAliases](ct-listaliases.md)and [GetKeyRotationStatus](ct-getkeyrotationstatus.md), le operazioni che gestiscono le chiavi KMS, come and, e le [operazioni crittografiche [PutKeyPolicy](ct-put-key-policy.md), come [CreateKey](ct-createkey.md)e Decrypt](kms-cryptography.md#cryptographic-operations). [GenerateDataKey](ct-generatedatakey.md)](ct-decrypt.md) Registra anche le operazioni interne che AWS KMS richiedono l'utente, ad esempio, e. [DeleteExpiredKeyMaterial[DeleteKey[SynchronizeMultiRegionKey[RotateKey](ct-rotatekey.md)](ct-synchronize-multi-region-key.md)](ct-delete-key.md)](ct-deleteexpiredkeymaterial.md)
CloudTrail registra tutte le operazioni riuscite e, in alcuni scenari, i tentativi di chiamata non riusciti, ad esempio quando al chiamante viene negato l'accesso a una risorsa. [Le operazioni tra account sulle chiavi KMS](key-policy-modifying-external-accounts.md) vengono registrate sia nell'account del chiamante che nell'account del proprietario della chiave KMS. Tuttavia, AWS KMS le richieste tra più account che vengono rifiutate perché l'accesso è negato vengono registrate solo nell'account del chiamante.
Per motivi di sicurezza, alcuni campi vengono omessi dalle voci di AWS KMS registro, come il `Plaintext` parametro di una richiesta [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) e la risposta o qualsiasi operazione di [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)crittografia. Per semplificare la ricerca delle voci di CloudTrail registro per particolari chiavi KMS, AWS KMS aggiunge l'[ARN della chiave](concepts.md#key-id-key-ARN) KMS interessata al campo nelle voci di registro per AWS KMS alcune operazioni di gestione delle chiavi, anche quando l'operazione API non restituisce l'ARN della chiave. `responseElements`
Sebbene per impostazione predefinita, tutte le AWS KMS azioni vengano registrate come CloudTrail eventi, è possibile escludere AWS KMS le azioni da una traccia. CloudTrail Per informazioni dettagliate, vedi [Esclusione di AWS KMS eventi da un percorso](#filtering-kms-events).
**Ulteriori informazioni:**
+ Per esempi di CloudTrail log di AWS KMS operazioni per piattaforme certificate, consulta. [Monitoraggio delle richieste attestate](ct-attestation.md)
**Topics**
+ [Ricerca delle voci di AWS KMS registro in CloudTrail](#searching-kms-ct)
+ [Esclusione di AWS KMS eventi da un percorso](#filtering-kms-events)
+ [Esempi di voci di AWS KMS registro](understanding-kms-entries.md)
## Ricerca delle voci di AWS KMS registro in CloudTrail
Per cercare le voci di CloudTrail registro, usa la [CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) o l'[CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)operazione. CloudTrail supporta numerosi [valori di attributo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento.
Per facilitare la ricerca delle voci di AWS KMS registro CloudTrail, AWS KMS compila i seguenti campi di immissione del CloudTrail registro.
**Nota**
A partire da dicembre 2022, AWS KMS compila gli attributi **Tipo di risorsa** e **Nome risorsa** in tutte le operazioni di gestione che modificano una particolare chiave KMS. Questi valori degli attributi potrebbero essere nulli nelle CloudTrail voci precedenti per le seguenti operazioni: [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html),, [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey[RetireGrant[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)e. [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)
| Attributo | Valore | Voci di log |
| --- | --- | --- |
| Origine evento (EventSource) | kms.amazonaws.com | Tutte le operazioni. |
| Tipo di risorsa (ResourceType) | AWS::KMS::Key | Operazioni di gestione che modificano una determinata chiave KMS, ad esempio CreateKey e EnableKey, ma non ListKeys. |
| Nome risorsa (ResourceName) | ARN chiave (o ID chiave e ARN chiave) | Operazioni di gestione che modificano una determinata chiave KMS, ad esempio CreateKey e EnableKey, ma non ListKeys. |
Per aiutarti a trovare le voci di registro per le operazioni di gestione su particolari chiavi KMS, AWS KMS registra l'ARN della chiave KMS interessata nell'elemento `responseElements.keyId` della voce di registro, anche quando l'operazione API non restituisce AWS KMS la chiave ARN.
Ad esempio, una chiamata riuscita all'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operazione non restituisce alcun valore nella risposta, ma invece di un valore nullo, il `responseElements.keyId` valore nella [voce di DisableKey registro](ct-disablekey.md) include la chiave ARN della chiave KMS disattivata.
Questa funzionalità è stata aggiunta a dicembre 2022 e influisce sulle seguenti voci di CloudTrail registro: [CreateAlias[CreateGrant](ct-creategrant.md)](ct-createalias.md), [DeleteAlias](ct-deletealias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md),, [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey[TagResource[UntagResource](ct-untagresource.md)](ct-tagresource.md)](ct-synchronize-multi-region-key.md), [UpdateAlias](ct-updatealias.md)e. [UpdatePrimaryRegion](ct-update-primary-region.md)
## Esclusione di AWS KMS eventi da un percorso
Per registrare l'uso e la gestione delle proprie AWS KMS risorse, la maggior parte AWS KMS degli utenti si affida agli eventi di un CloudTrail percorso. Il percorso può essere una preziosa fonte di dati per il controllo di eventi critici, come la creazione, la disabilitazione e l'eliminazione AWS KMS keys, la modifica delle politiche chiave e l'uso delle chiavi KMS da parte dei AWS servizi che operano per conto dell'utente. In alcuni casi, i metadati contenuti in una voce di CloudTrail registro, ad esempio il [contesto di crittografia](encrypt_context.md) in un'operazione di crittografia, possono aiutare a evitare o risolvere errori.
Tuttavia, poiché AWS KMS può generare un gran numero di eventi, AWS CloudTrail consente di escludere AWS KMS gli eventi da una traccia. Questa impostazione per percorso esclude tutti AWS KMS gli eventi; non è possibile escludere eventi particolari. AWS KMS
**avvertimento**
L'esclusione di AWS KMS eventi da un CloudTrail registro può oscurare le azioni che utilizzano le chiavi KMS. Presta attenzione quando concedi alle entità principali l'autorizzazione `cloudtrail:PutEventSelectors` necessaria per eseguire questa operazione.
Per escludere AWS KMS eventi da un percorso:
+ Nella CloudTrail console, utilizza l'impostazione **degli eventi del servizio Log Key Management** quando [crei un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) o [lo aggiorni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Per istruzioni, consulta [Logging Management Events with the Console di gestione AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html) nella Guida per l' AWS CloudTrail utente.
+ Nell' CloudTrail API, usa l'[PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operazione. Aggiungere l'attributo `ExcludeManagementEventSources` ai selettori di eventi con un valore `kms.amazonaws.com`. Per un esempio, vedi [Esempio: un percorso che non registra AWS Key Management Service gli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms) nella Guida per l' AWS CloudTrail utente.
È possibile disattivare questa esclusione in qualsiasi momento modificando l'impostazione della console o i selettori di eventi per un trail. Il percorso inizierà quindi a registrare AWS KMS gli eventi. Tuttavia, non può recuperare AWS KMS gli eventi che si sono verificati mentre l'esclusione era effettiva.
Quando si escludono AWS KMS eventi utilizzando la console o l'API, l'operazione CloudTrail `PutEventSelectors` API risultante viene registrata anche nei log. CloudTrail Se AWS KMS gli eventi non compaiono nei tuoi CloudTrail log, cerca un `PutEventSelectors` evento con l'`ExcludeManagementEventSources`attributo impostato su. `kms.amazonaws.com`
# Esempi di voci di AWS KMS registro
AWS KMS scrive voci nel CloudTrail registro quando si chiama un' AWS KMS operazione e quando un AWS servizio richiama un'operazione per conto dell'utente. AWS KMS scrive anche una voce quando richiama un'operazione per voi. Ad esempio, scrive una voce quando [elimina una chiave KMS](ct-delete-key.md) che hai pianificato per l'eliminazione.
I seguenti argomenti mostrano esempi di voci di CloudTrail registro relative AWS KMS alle operazioni.
Per esempi di voci di CloudTrail registro delle richieste AWS KMS provenienti da piattaforme attestate, vedere[Monitoraggio delle richieste attestate](ct-attestation.md).
**Topics**
+ [CancelKeyDeletion](ct-cancel-key-deletion.md)
+ [ConnectCustomKeyStore](ct-connect-keystore.md)
+ [CreateAlias](ct-createalias.md)
+ [CreateCustomKeyStore](ct-create-keystore.md)
+ [CreateGrant](ct-creategrant.md)
+ [CreateKey](ct-createkey.md)
+ [Decrypt](ct-decrypt.md)
+ [DeleteAlias](ct-deletealias.md)
+ [DeleteCustomKeyStore](ct-delete-keystore.md)
+ [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)
+ [DeleteImportedKeyMaterial](ct-deleteimportedkeymaterial.md)
+ [DeleteKey](ct-delete-key.md)
+ [DescribeCustomKeyStores](ct-describe-keystores.md)
+ [DescribeKey](ct-describekey.md)
+ [DisableKey](ct-disablekey.md)
+ [DisableKeyRotation](ct-disable-key-rotation.md)
+ [DisconnectCustomKeyStore](ct-disconnect-keystore.md)
+ [EnableKey](ct-enablekey.md)
+ [EnableKeyRotation](ct-enablekeyrotation.md)
+ [Crittografa](ct-encrypt.md)
+ [GenerateDataKey](ct-generatedatakey.md)
+ [GenerateDataKeyPair](ct-generatedatakeypair.md)
+ [GenerateDataKeyPairWithoutPlaintext](ct-generatedatakeypairwithoutplaintext.md)
+ [GenerateDataKeyWithoutPlaintext](ct-generatedatakeyplaintext.md)
+ [GenerateMac](ct-generatemac.md)
+ [GenerateRandom](ct-generaterandom.md)
+ [GetKeyPolicy](ct-getkeypolicy.md)
+ [GetKeyRotationStatus](ct-getkeyrotationstatus.md)
+ [GetParametersForImport](ct-getparametersforimport.md)
+ [ImportKeyMaterial](ct-importkeymaterial.md)
+ [ListAliases](ct-listaliases.md)
+ [ListGrants](ct-listgrants.md)
+ [ListKeyRotations](ct-listkeyrotations.md)
+ [PutKeyPolicy](ct-put-key-policy.md)
+ [ReEncrypt](ct-reencrypt.md)
+ [ReplicateKey](ct-replicate-key.md)
+ [RetireGrant](ct-retire-grant.md)
+ [RevokeGrant](ct-revoke-grant.md)
+ [RotateKey](ct-rotatekey.md)
+ [RotateKeyOnDemand](ct-rotatekeyondemand.md)
+ [ScheduleKeyDeletion](ct-schedule-key-deletion.md)
+ [Sign](ct-sign.md)
+ [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)
+ [TagResource](ct-tagresource.md)
+ [UntagResource](ct-untagresource.md)
+ [UpdateAlias](ct-updatealias.md)
+ [UpdateCustomKeyStore](ct-update-keystore.md)
+ [UpdateKeyDescription](ct-update-key-description.md)
+ [UpdatePrimaryRegion](ct-update-primary-region.md)
+ [VerifyMac](ct-verifymac.md)
+ [Verifica](ct-verify.md)
+ [Amazon EC2 , esempio uno](ct-ec2one.md)
+ [Amazon EC2 , secondo esempio](ct-ec2two.md)
# CancelKeyDeletion
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)operazione. Per informazioni sull'eliminazione AWS KMS keys, vedere[Eliminare un AWS KMS key](deleting-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T21:53:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CancelKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "e3452e68-d4b0-4ec7-a768-7ae96c23764f",
"eventID": "d818bf03-6655-48e9-8b26-f279a07075fd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ConnectCustomKeyStore
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione. Per informazioni sulla connessione a un archivio delle chiavi personalizzate, consultare [Disconnetti un archivio AWS CloudHSM chiavi](connect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ConnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateAlias
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operazione. L'elemento `resources` include i campi per l'alias e le risorse della chiave KMS. Per informazioni sulla creazione di alias in AWS KMS, vedere[Creare alias](alias-create.md).
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-14T23:08:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/ExampleAlias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "caec1e0c-ce03-419e-bdab-6ab1f7c57c01",
"eventID": "2dd6e784-8286-46a6-befd-d64e5a02fb28",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# CreateCustomKeyStore
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione su un AWS CloudHSM key store. Per informazioni sulla creazione di archivi delle chiavi personalizzate, consultare [Crea un archivio di AWS CloudHSM chiavi](create-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateGrant
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operazione. Per informazioni sulla creazione di sovvenzioni in AWS KMS, vedere[Sovvenzioni in AWS KMS](grants.md).
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:53:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"constraints": {
"encryptionContextSubset": {
"ContextKey1": "Value1"
}
},
"operations": ["Encrypt",
"RetireGrant"],
"granteePrincipal": "EX_PRINCIPAL_ID"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# CreateKey
Questi esempi mostrano le voci di AWS CloudTrail registro relative all'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.
Una voce di `CreateKey` registro può derivare da una `CreateKey` richiesta o dall'`CreateKey`operazione relativa a una [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)richiesta.
L'esempio seguente mostra una voce di CloudTrail registro per un'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione che crea una chiave [KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks). Per informazioni sulla creazione di chiavi KMS, consulta [Creare una chiave KMS](create-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-10T22:38:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"description": "",
"origin": "EXTERNAL",
"bypassPolicyLockoutSafetyCheck": false,
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"keyUsage": "ENCRYPT_DECRYPT"
},
"responseElements": {
"keyMetadata": {
"AWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Aug 10, 2022, 10:38:27 PM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "PendingImport",
"origin": "EXTERNAL",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"requestID": "1aef6713-0223-4ff7-9a6d-781360521930",
"eventID": "36327b37-f4f6-40a9-92ab-48064ec905a2",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
[L'esempio seguente mostra il CloudTrail registro di un'`CreateKey`operazione che crea una chiave KMS di crittografia simmetrica in un archivio di chiavi.AWS CloudHSM](keystore-cloudhsm.md)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-14T17:39:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyUsage": "ENCRYPT_DECRYPT",
"bypassPolicyLockoutSafetyCheck": false,
"origin": "AWS_CLOUDHSM",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"customKeyStoreId": "cks-1234567890abcdef0",
"description": ""
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"creationDate": "Oct 14, 2021, 5:39:50 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "AWS_CLOUDHSM",
"customKeyStoreId": "cks-1234567890abcdef0",
"cloudHsmClusterId": "cluster-1a23b4cdefg",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"additionalEventData": {
"backingKey": "{\"backingKeyId\":\"backing-key-id\"}"
},
"requestID": "4f0b185c-588c-4767-9e90-c618f7e13cad",
"eventID": "c73964b8-703d-49e4-bd9e-f773d0ee1e65",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
[L'esempio seguente mostra il CloudTrail registro di un'`CreateKey`operazione che crea una chiave KMS di crittografia simmetrica in un archivio di chiavi esterno.](keystore-external.md)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-07T22:37:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"tags": [],
"keyUsage": "ENCRYPT_DECRYPT",
"description": "",
"origin": "EXTERNAL_KEY_STORE",
"multiRegion": false,
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"bypassPolicyLockoutSafetyCheck": false,
"customKeyStoreId": "cks-1234567890abcdef0",
"xksKeyId": "bb8562717f809024"
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Dec 7, 2022, 10:37:45 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "EXTERNAL_KEY_STORE",
"customKeyStoreId": "cks-1234567890abcdef0",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false,
"xksKeyConfiguration": {
"id": "bb8562717f809024"
}
}
},
"requestID": "ba197c82-3ac7-487a-8ff4-7736bbeb1316",
"eventID": "838ad5f4-5fdd-4044-afd7-4dbd88c6af56",
"readOnly": false,
"resources": [
{
"accountId": "227179770375",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:227179770375:key/39c5eb22-f37c-4956-92ca-89e8f8b57ab2"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Decrypt
Questi esempi mostrano le voci di AWS CloudTrail registro relative all'operazione [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
La voce di CloudTrail registro di un'`Decrypt`operazione include sempre il `encryptionAlgorithm` in, `requestParameters` anche se l'algoritmo di crittografia non è stato specificato nella richiesta. Il testo cifrato nella richiesta e il testo normale nella risposta sono omessi.
**Topics**
+ [Decrittografia con una chiave crittografica simmetrica standard](#ct-decrypt-default)
+ [Errore di decrittografia con una chiave crittografica simmetrica standard](#ct-decrypt-fail)
+ [Decifrare con una chiave KMS in un archivio di chiavi AWS CloudHSM](#ct-decrypt-hsm)
+ [Decrittografia con una chiave KMS in un archivio delle chiavi esterne](#ct-decrypt-xks)
+ [Errore di decrittografia con una chiave KMS in un archivio delle chiavi esterne](#ct-decrypt-xks-fail)
+ [Decrittografa con una chiave di crittografia simmetrica standard su una connessione TLS post-quantistica](#ct-decrypt-default-pqtls)
## Decrittografia con una chiave crittografica simmetrica standard
Di seguito è riportato un esempio di voce di CloudTrail registro per un'`Decrypt`operazione con una chiave di crittografia simmetrica standard.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## Errore di decrittografia con una chiave crittografica simmetrica standard
L'esempio seguente di voce di CloudTrail registro registra un'`Decrypt`operazione non riuscita con una chiave KMS di crittografia simmetrica standard. L'eccezione (`errorCode`) e il messaggio di errore (`errorMessage`) sono inclusi per aiutarti a risolvere l'errore.
In questo caso, la chiave KMS di crittografia simmetrica specificata nella richiesta `Decrypt` non corrispondeva alla chiave KMS utilizzata per crittografare i dati.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## Decifrare con una chiave KMS in un archivio di chiavi AWS CloudHSM
[L'esempio seguente di voce di CloudTrail registro registra un'`Decrypt`operazione con una chiave KMS in un archivio di chiavi.AWS CloudHSM](keystore-cloudhsm.md) Tutte le voci di registro per le operazioni crittografiche con una chiave KMS in un archivio di chiavi personalizzato includono un `additionalEventData` campo con la e. `customKeyStoreId` `backingKeyId` Il valore restituito nel `backingKeyId` campo è l'attributo chiave `id` CloudHSM. `additionalEventData` non è specificato nella richiesta.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Decrittografia con una chiave KMS in un archivio delle chiavi esterne
L'esempio seguente di voce di CloudTrail registro registra un'`Decrypt`operazione con una chiave KMS in un archivio di chiavi [esterno](keystore-external.md). Oltre a `customKeyStoreId`, il campo `additionalEventData` include l'[ID della chiave esterna](keystore-external.md#concept-external-key) (`XksKeyId`). `additionalEventData` non è specificato nella richiesta.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Errore di decrittografia con una chiave KMS in un archivio delle chiavi esterne
L'esempio seguente di voce di CloudTrail registro registra una richiesta non riuscita per un'`Decrypt`operazione con una chiave KMS in un archivio di [chiavi esterno](keystore-external.md). CloudWatch registra le richieste che hanno esito negativo, oltre a quelle riuscite. Quando si registra un errore, la voce di CloudTrail registro include l'eccezione (ErrorCode) e il relativo messaggio di errore (ErrorMessage).
Se la richiesta non riuscita ha raggiunto il proxy dell'archivio delle chiavi esterne, come in questo esempio, puoi utilizzare il valore `requestId` per associare la richiesta non riuscita a una richiesta corrispondente registrata dal proxy, se l'operazione è consentita.
Per informazioni sulle richieste `Decrypt` negli archivi delle chiavi esterne, consulta [Errori di decrittografia](xks-troubleshooting.md#fix-xks-decrypt).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Decrittografa con una chiave di crittografia simmetrica standard su una connessione TLS post-quantistica
Di seguito è riportato un esempio di CloudTrail registrazione per un'`Decrypt`operazione con una chiave di crittografia simmetrica standard su una connessione TLS post-quantistica. Il campo KeyExchange nella sezione menziona. `tlsDetails` `X25519MLKEM768` [Si tratta di un algoritmo *ibrido* che combina [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH) su [Curve 25519](https://en.wikipedia.org/wiki/Curve25519), un classico algoritmo di scambio di chiavi utilizzato oggi in TLS, con il [Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM), un algoritmo di crittografia e definizione delle chiavi](https://csrc.nist.gov/pubs/fips/203/final) a chiave pubblica che il National Institute for Standards and Technology (NIST) ha designato come primo algoritmo standard di accordo di chiavi post-quantistiche.](https://csrc.nist.gov/pubs/fips/203/final)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```
# DeleteAlias
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)operazione. Per informazioni sull'eliminazione di archivi, consulta [Eliminare un alias](alias-delete.md).
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-04T00:52:27Z"
}
}
},
"eventTime": "2014-11-04T00:52:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteAlias",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9542792-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "12f48554-bb04-4991-9cfc-e7e85f68eda0",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-east-1:111122223333:alias/my_alias",
"accountId": "111122223333"
},
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DeleteCustomKeyStore
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione. Per informazioni sulla creazione di archivi delle chiavi personalizzate, consultare [Eliminare un archivio AWS CloudHSM chiavi](delete-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DeleteExpiredKeyMaterial
Quando importi materiale chiave in una AWS KMS key (chiave KMS), puoi impostare una data e un'ora di scadenza per quel materiale chiave. AWS KMS registra una voce nel CloudTrail registro quando [importi il materiale chiave](ct-importkeymaterial.md) (con le impostazioni di scadenza) e quando AWS KMS elimini il materiale chiave scaduto. Per ulteriori informazioni sulla creazione di chiavi KMS con materiale chiave importato, consulta [Importazione di materiale chiave per le AWS KMS chiavi](importing-keys.md).
L'esempio seguente mostra una voce di AWS CloudTrail registro generata quando si AWS KMS elimina il materiale chiave scaduto.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-22T19:55:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteExpiredKeyMaterial",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "cfa932fd-0d3a-4a76-a8b8-616863a2b547",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"eventCategory": "Management"
}
```
# DeleteImportedKeyMaterial
Se importi materiale chiave in una chiave KMS, puoi eliminare il materiale chiave importato in qualsiasi momento utilizzando l'[DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)operazione. Quando elimini il materiale della chiave importato, lo stato della chiave KMS cambia in `PendingImport` e la chiave KMS non potrà essere utilizzata in alcuna operazione di crittografia. Per informazioni dettagliate, vedi [Eliminare il materiale chiave importato](importing-keys-delete-key-material.md).
L'esempio seguente mostra una voce di AWS CloudTrail registro generata per l'`DeleteImportedKeyMaterial`operazione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteImportedKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "dcf0e82f-dad0-4622-a378-a5b964ad42c1",
"eventID": "2afbb991-c668-4641-8a00-67d62e1fecbd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# DeleteKey
Questi esempi mostrano la voce di AWS CloudTrail registro generata quando viene eliminata una chiave KMS. Per eliminare una chiave KMS, si utilizza l'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operazione. Dopo la scadenza del periodo di attesa specificato, AWS KMS elimina la chiave KMS e registra una voce come la seguente nel CloudTrail registro per registrare l'evento.
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
Per un esempio della voce di CloudTrail registro relativa all'`ScheduleKeyDeletion`operazione, vedere. [ScheduleKeyDeletion](ct-schedule-key-deletion.md) Per informazioni sull'eliminazione delle chiavi KMS, consulta [Eliminare un AWS KMS key](deleting-keys.md).
L'esempio seguente di voce di CloudTrail registro registra `DeleteKey` l'operazione di una chiave KMS contenente materiale chiave. AWS KMS
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-07-31T00:07:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "b25f9cda-74e1-4458-847b-4972a0bf9668",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
La seguente voce di CloudTrail registro registra `DeleteKey` l'operazione di una chiave KMS in un archivio di [chiavi AWS CloudHSM personalizzato](key-store-overview.md#custom-key-store-overview).
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"SUCCESS\"}]"
},
"eventID": "1234585c-4b0c-4340-ab11-662414b79239",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
# DescribeCustomKeyStores
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per informazioni sulla visualizzazione degli archivi delle chiavi personalizzate, consultare [Visualizza un archivio di AWS CloudHSM chiavi](view-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeCustomKeyStores",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "2ea1735f-628d-43e3-b2ee-486d02913a78",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DescribeKey
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione. AWS KMS registra una voce come la seguente quando si richiama l'`DescribeKey`operazione o si [visualizzano le chiavi KMS](viewing-keys.md) nella AWS KMS console. Questa chiamata è il risultato della visualizzazione di una chiave nella console di AWS KMS gestione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-26T18:01:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKey
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operazione. Per informazioni sull'attivazione e la disabilitazione di AWS KMS keys in AWS KMS, vedere[Attivazione e disattivazione delle chiavi](enabling-keys.md).
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKeyRotation
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)operazione. Per ulteriori informazioni sulla rotazione automatica delle chiavi, consulta [Ruotare AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:31:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "d6a9351a-ed6e-4581-88d1-2a9a8a538497",
"eventID": "6313164c-83aa-4cc3-9e1a-b7c426f7a5b1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# DisconnectCustomKeyStore
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione. Per informazioni sulla disconnessione di un archivio delle chiavi personalizzate, consultare [Disconnetti un archivio AWS CloudHSM chiavi](disconnect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisconnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# EnableKey
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)operazione. Per informazioni sull'attivazione e la disabilitazione di AWS KMS keys in AWS KMS, vedere.. [Attivazione e disattivazione delle chiavi](enabling-keys.md)
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:20Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d528a6fb-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "be393928-3629-4370-9634-567f9274d52e",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# EnableKeyRotation
L'esempio seguente mostra una voce di AWS CloudTrail registro di una chiamata all'[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operazione. Per un esempio della voce di CloudTrail registro che viene scritta quando la chiave viene ruotata, vedete[RotateKey](ct-rotatekey.md). Per informazioni sulla rotazione di AWS KMS keys, consulta [Ruotare AWS KMS keys](rotate-keys.md).
**Nota**
[rotation-period](rotate-keys.md#rotation-period)È un parametro di richiesta opzionale. Se non specificate un periodo di rotazione quando abilitate la rotazione automatica delle chiavi, il valore predefinito è 365 giorni.
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:41:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"rotationPeriodInDays": 180
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "81f5b794-452b-4d6a-932b-68c188165273",
"eventID": "fefc43a7-8e06-419f-bcab-b3bf18d6a401",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Crittografa
L'esempio seguente mostra una voce di AWS CloudTrail registro per l'operazione [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html).
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"Department": "Engineering"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "f3423043-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "91235988-eb87-476a-ac2c-0cdc244e6dca",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKey
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKeyPair
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)operazione. In questo esempio viene registrata un'operazione che genera una coppia di chiavi RSA crittografate con una AWS KMS key di crittografia simmetrica.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyPairWithoutPlaintext
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)operazione. In questo esempio viene registrata un'operazione che genera una coppia di chiavi RSA crittografata con una AWS KMS key di crittografia simmetrica.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPairWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_4096",
"encryptionContext": {
"Index": "5"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyWithoutPlaintext
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operazione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "d6b8e411-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f7734272-9ec5-4c80-9f36-528ebbe35e4a",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateMac
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)operazione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-12-23T19:26:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_512",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# GenerateRandom
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)operazione. Poiché questa operazione non utilizza un AWS KMS key, il `resources` campo è vuoto.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyPolicy
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operazione. Per informazioni sulla visualizzazione della policy delle chiavi per una chiave KMS, consulta [Visualizza una politica chiave](key-policy-viewing.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:50:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default"
},
"responseElements": null,
"requestID": "93746dd6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "4aa7e4d5-d047-452a-a5a6-2cce282a7e82",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyRotationStatus
L'esempio seguente mostra una voce di AWS CloudTrail registro per l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operazione. Per informazioni sulla rotazione automatica e su richiesta del materiale chiave per una chiave KMS, vedere. [Ruotare AWS KMS keys](rotate-keys.md)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T19:16:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyRotationStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12f9b7e8-49b9-4c1c-a7e3-34ac0cdf0467",
"eventID": "3d082126-9e7d-4167-8372-a6cfcbed4be6",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GetParametersForImport
L'esempio seguente mostra una voce di AWS CloudTrail registro generata quando si utilizza l'[GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)operazione. Questa operazione restituisce la chiave pubblica e il token di importazione utilizzati durante l'importazione del materiale della chiave in una chiave KMS. La stessa CloudTrail voce viene registrata quando si utilizza l'`GetParametersForImport`operazione o si utilizza la AWS KMS console per [scaricare la chiave pubblica e importare il token](importing-keys-get-public-key-and-token.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:58:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetParametersForImport",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"wrappingAlgorithm": "RSAES_OAEP_SHA_256",
"wrappingKeySpec": "RSA_2048"
},
"responseElements": null,
"requestID": "b5786406-e3c7-43d6-8d3c-6d5ef96e2278",
"eventID": "4023e622-0c3e-4324-bdef-7f58193bba87",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ImportKeyMaterial
L'esempio seguente mostra una voce di AWS CloudTrail registro generata quando si utilizza l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operazione. La stessa CloudTrail voce viene registrata quando si utilizza l'`ImportKeyMaterial`operazione o si utilizza la AWS KMS console per [importare materiale chiave](importing-keys-import-key-material.md) in un AWS KMS key.
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ImportKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"validTo": "May 21, 2025, 5:47:45 AM",
"expirationModel": "KEY_MATERIAL_EXPIRES",
"importType": "NEW_KEY_MATERIAL",
"keyMaterialDescription": "ExampleKeyMaterialA"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "89e10ee7-a612-414d-95a2-a128346969fd",
"eventID": "c7abd205-a5a2-4430-bbfa-fc10f3e2d79f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ListAliases
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operazione. Poiché questa operazione non utilizza alcun alias particolare oppure AWS KMS key il `resources` campo è vuoto. Per informazioni sulla visualizzazione degli alias in AWS KMS, vedere. [Trova il nome dell'alias e l'alias ARN per una chiave KMS](alias-view.md)
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:51:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListAliases",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"limit": 5,
"marker": "eyJiIjoiYWxpYXMvZTU0Y2MxOTMtYTMwNC00YzEwLTliZWItYTJjZjA3NjA2OTJhIiwiYSI6ImFsaWFzL2U1NGNjMTkzLWEzMDQtNGMxMC05YmViLWEyY2YwNzYwNjkyYSJ9"
},
"responseElements": null,
"requestID": "bfe6c190-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a27dda7b-76f1-4ac3-8b40-42dfba77bcd6",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListGrants
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[ListGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operazione. Per informazioni sulle sovvenzioni in AWS KMS, vedere[Sovvenzioni in AWS KMS](grants.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListGrants",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"marker": "eyJncmFudElkIjoiMWY4M2U2ZmM0YTY2NDgxYjQ2Yzc4MTdhM2Y4YmQwMDFkZDNiYmQ1MGVlYTMyY2RmOWFiNWY1Nzc1NDNjYmNmMyIsImtleUFybiI6ImFybjphd3M6dHJlbnQtc2FuZGJveDp1cy1lYXN0LTE6NTc4Nzg3Njk2NTMwOmtleS9lYTIyYTc1MS1lNzA3LTQwZDAtOTJhYy0xM2EyOGZhOWViMTEifQ\u003d\u003d",
"limit": 10
},
"responseElements": null,
"requestID": "e5c23960-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "d24380f5-1b20-4253-8e92-dd0492b3bd3d",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListKeyRotations
L'esempio seguente mostra una voce di AWS CloudTrail registro per l'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operazione. Per informazioni sulla rotazione automatica e su richiesta del materiale chiave per una chiave KMS, vedere. [Ruotare AWS KMS keys](rotate-keys.md)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeyRotations",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"includeKeyMaterial": "ALL_KEY_MATERIAL"
},
"responseElements": null,
"requestID": "99c88d32-f2db-455e-8a9a-23855258a452",
"eventID": "8ce0e74b-b9c7-45a2-96ef-83136d38068e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# PutKeyPolicy
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operazione. Per informazioni sull'aggiornamento di una policy delle chiavi, consulta [Modificare una policy della chiave](key-policy-modifying.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T20:06:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "PutKeyPolicy",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default",
"policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",\n \"Statement\" : [ {\n \"Sid\" : \"Enable IAM User Permissions\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::111122223333:root\"\n },\n \"Action\" : \"kms:*\",\n \"Resource\" : \"*\"\n } ]\n}",
"bypassPolicyLockoutSafetyCheck": false
},
"responseElements": null,
"requestID": "7bb906fa-dc21-4350-b65c-808ff0f72f55",
"eventID": "c217db1f-903f-4a2f-8f88-9580182d6313",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# ReEncrypt
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)operazione. Il `resources` campo di questa voce di registro ne specifica due AWS KMS keys, la chiave KMS di origine e la chiave KMS di destinazione, in quest'ordine.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-22T19:34:55Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceEncryptionContext": {
"Project": "Alpha",
"Department": "Engineering"
},
"destinationKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"destinationEncryptionContext": {
"Level": "3A"
}
},
"responseElements": null,
"additionalEventData": {
"destinationKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"sourceKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "03769fd4-acf9-4b33-adf3-2ab8ca73aadf",
"eventID": "542d9e04-0e8d-4e05-bf4b-4bdeb032e6ec",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ReplicateKey
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'operazione. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) Una `ReplicateKey` richiesta genera un'`ReplicateKey`operazione e un'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.
Per informazioni sulla replica di chiavi in più Regioni, consulta [Creazione di chiavi di replica multiregionali](multi-region-keys-replicate.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-18T01:29:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReplicateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"replicaRegion": "us-west-2",
"bypassPolicyLockoutSafetyCheck": false,
"description": ""
},
"responseElements": {
"replicaKeyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Nov 18, 2020, 1:29:18 AM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Creating",
"origin": "AWS_KMS",
"keyManager": "CUSTOMER",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": true,
"multiRegionConfiguration": {
"multiRegionKeyType": "REPLICA",
"primaryKey": {
"arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-east-1"
},
"replicaKeys": [
{
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-west-2"
}
]
}
},
"replicaPolicy": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":[{\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:user/Alice\"},\n \"Action\":\"kms:*\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Bob\"},\n \"Action\":\"kms:CreateGrant\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Charlie\"},\n \"Action\":\"kms:Encrypt\",\n \"Resource\":\"*\"\n}]\n}",
},
"requestID": "abcdef68-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "fedcba44-6773-4f96-8763-1993aec9ae6a",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RetireGrant
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operazione. Per informazioni su come ritirare le concessioni, consulta [Ritirare e revocare le concessioni](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:39:33Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "1d274d57-5697-462c-a004-f25fcc29fa26",
"eventID": "0771bcfb-3e24-4332-9ac8-e1c06563eecf",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RevokeGrant
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)operazione. Per informazioni su come revocare le concessioni, consulta [Ritirare e revocare le concessioni](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:35:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RevokeGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"responseElements": null,
"requestID": "59d94c03-c5b7-428d-ae6e-f2c4b47d2917",
"eventID": "07a23a39-6526-4ae2-b31e-d35fbe9e24ee",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RotateKey
Questi esempi mostrano le voci di AWS CloudTrail registro per le operazioni che ruotano. AWS KMS keys Per informazioni sulla rotazione delle chiavi KMS, consulta [Ruotare AWS KMS keys](rotate-keys.md).
L'esempio seguente mostra una voce di CloudTrail registro per l'operazione che ruota una chiave KMS di crittografia simmetrica su cui è abilitata la rotazione automatica delle chiavi. Per informazioni sull'attivazione della rotazione automatica, vedere. [Ruotare AWS KMS keys](rotate-keys.md)
Per un esempio della voce di CloudTrail registro che registra l'`EnableKeyRotation`operazione, vedere[EnableKeyRotation](ct-enablekeyrotation.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyOrigin": "AWS_KMS",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
L'esempio seguente mostra una voce di CloudTrail registro per una rotazione su richiesta avviata dall'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operazione. Per informazioni sulla rotazione delle chiavi KMS di crittografia simmetrica su richiesta, vedere. [Esegui la rotazione dei tasti su richiesta](rotating-keys-on-demand.md)
Per un esempio della voce di CloudTrail registro che registra l'`RotateKeyOnDemand`operazione, vedere. [RotateKeyOnDemand](ct-rotatekeyondemand.md)
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "ON_DEMAND",
"keyOrigin": "EXTERNAL",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# RotateKeyOnDemand
L'esempio seguente mostra una voce di AWS CloudTrail registro per l'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operazione. Per un esempio della voce di CloudTrail registro che viene scritta quando la chiave viene ruotata, vedere[RotateKey](ct-rotatekey.md). Per ulteriori informazioni sulla rotazione su richiesta del materiale chiave per una chiave KMS, consulta. [Esegui la rotazione dei tasti su richiesta](rotating-keys-on-demand.md)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T17:41:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKeyOnDemand",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "9e1dee86-eb84-42fd-8f25-e3fc7dbb32c8",
"eventID": "00a09fbc-20d6-4a58-9b92-7da85984ab77",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# ScheduleKeyDeletion
Questi esempi mostrano le voci di AWS CloudTrail registro relative all'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operazione.
Per un esempio della voce di CloudTrail registro che viene scritta quando la chiave viene eliminata, vedere[DeleteKey](ct-delete-key.md). Per informazioni sull'eliminazione delle AWS KMS keys, consulta [Eliminare un AWS KMS key](deleting-keys.md).
Nell'esempio seguente viene registrata una richiesta `ScheduleKeyDeletion` di una chiave KMS a Regione singola.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-23T18:58:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 20,
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyState": "PendingDeletion",
"deletionDate": "Apr 12, 2021 18:58:30 PM"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Nell'esempio seguente viene registrata una richiesta `ScheduleKeyDeletion` di una chiave KMS multi-Regione con chiavi di replica.
Poiché AWS KMS non eliminerà una chiave multiregionale finché non verranno eliminate tutte le relative chiavi di replica, nel `responseElements` campo, l'`keyState`is `PendingReplicaDeletion` e il `deletionDate` campo vengono omessi.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-28T17:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 30,
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"keyState": "PendingReplicaDeletion",
"pendingWindowInDays": 30
},
"requestID": "12341411-d846-42a6-a476-b1cbe3011f89",
"eventID": "abcda5f-396d-494c-9380-0c47860df5f1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
[L'esempio seguente registra una `ScheduleKeyDeletion` richiesta per una chiave KMS in un AWS CloudHSM archivio di chiavi personalizzato.](key-store-overview.md#custom-key-store-overview)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:25:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"pendingWindowInDays": 30
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"deletionDate": "Nov 2, 2021, 11:25:25 PM",
"keyState": "PendingDeletion",
"pendingWindowInDays": 30
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]"
},
"requestID": "abcd9f60-2c9c-4a0b-a456-d5d998f7f321",
"eventID": "ca01996a-01b0-4edd-bbbb-25d7b6d1a6fa",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Sign
Questi esempi mostrano le voci di AWS CloudTrail registro per l'operazione [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html).
L'esempio seguente mostra una voce di CloudTrail registro per un'operazione [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) che utilizza una chiave RSA KMS asimmetrica per generare una firma digitale per un file.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:36:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Sign",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"messageType": "RAW",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256"
},
"responseElements": null,
"requestID": "8d0b35e0-46cf-48b9-be99-bf2ebc9ab9fb",
"eventID": "107b3cac-b125-4556-9702-12a2b9afcff7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# SynchronizeMultiRegionKey
L'esempio seguente mostra una voce di AWS CloudTrail registro generata durante AWS KMS la sincronizzazione di una chiave [multiregionale](multi-region-keys-overview.md). La sincronizzazione prevede chiamate interregionali per copiare le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) di una chiave primaria multiregionale nelle relative chiavi di replica. AWS KMS sincronizza periodicamente le chiavi multiregionali per assicurare che tutte le chiavi multiregione correlate abbiano lo stesso materiale chiave.
L'`resources`elemento della voce di CloudTrail registro include la chiave ARN della chiave primaria multiregionale, inclusa la sua. Regione AWS Le chiavi di replica in più Regioni correlate e le relative Regioni non sono elencate in questa voce di log.
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-11-18T02:04:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345681-de97-42e9-bed0-b02ae1abd8dc",
"eventID": "abcdec99-2b5c-4670-9521-ddb8f031e146",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# TagResource
L'esempio seguente mostra una voce di AWS CloudTrail registro di una chiamata all'[TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operazione per aggiungere un tag con una chiave di tag `Department` e un valore di tag pari a. `IT`
Per un esempio di una voce di `UntagResource` CloudTrail registro che viene scritta quando la chiave viene ruotata, vedete[UntagResource](ct-untagresource.md). Per informazioni sull'etichettatura AWS KMS keys, vedere. [Tag in AWS KMS](tagging-keys.md)
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "TagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tags": [
{
"tagKey": "Department",
"tagValue": "IT"
}
]
},
"responseElements": null,
"requestID": "b942584a-f77d-4787-9feb-b9c5be6e746d",
"eventID": "0a091b9b-0df5-4cf9-b667-6f2879532b8f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UntagResource
L'esempio seguente mostra una voce di AWS CloudTrail registro di una chiamata all'[UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operazione di eliminazione di un tag con una chiave di tag di`Dept`.
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
Per un esempio di voce di `TagResource` CloudTrail registro, vedere. [TagResource](ct-tagresource.md) Per informazioni sull'assegnazione di tag per AWS KMS keys, consulta [Tag in AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UntagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tagKeys": [
"Dept"
]
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "cb1d507b-6015-47f4-812b-179713af8068",
"eventID": "0b00f4b0-036e-411d-aa75-87eb4a35a4b3",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateAlias
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operazione. L'elemento `resources` include i campi per l'alias e le risorse della chiave KMS. Per informazioni sulla creazione di alias in AWS KMS, vedere[Creare alias](alias-create.md).
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-13T23:18:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9472f40-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f72d3993-864f-48d6-8f16-e26e1ae8dff0",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/my_alias"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateCustomKeyStore
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione per aggiornare l'ID del cluster per un archivio di chiavi personalizzato. Per informazioni sulla modifica degli archivi delle chiavi personalizzate, consultare [Modifica le impostazioni del AWS CloudHSM key store](update-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# UpdateKeyDescription
L'esempio seguente mostra una voce di AWS CloudTrail registro generata chiamando l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operazione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:22:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateKeyDescription",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"description": "New key description"
},
"responseElements": null,
"requestID": "8c3c1f8b-336d-4896-b034-4eb9916bc9b3",
"eventID": "f5f3d548-2e9e-4658-8427-9dcb5b1ea791",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# UpdatePrimaryRegion
L'esempio seguente mostra le voci di AWS CloudTrail registro generate richiamando l'[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operazione su una [chiave multiregionale](multi-region-keys-overview.md).
L'`UpdatePrimaryRegion`operazione scrive due voci di CloudTrail registro: una nella regione con la chiave primaria multiregionale convertita in una chiave di replica e una nella regione con una chiave di replica multiarea convertita in una chiave primaria.
CloudTrail le voci di registro per questa operazione registrate a partire da dicembre 2022 includono l'ARN della chiave KMS interessata nel `responseElements.keyId` valore, anche se questa operazione non restituisce l'ARN della chiave.
L'esempio seguente mostra una voce di CloudTrail registro relativa alla regione `UpdatePrimaryRegion` in cui la chiave multiregionale è passata da una chiave primaria a una chiave di replica (us-west-2). Il campo `primaryRegion` mostra la Regione che ora ospita la chiave primaria (ap-northeast-1).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
L'esempio seguente rappresenta la voce di CloudTrail registro relativa alla regione `UpdatePrimaryRegion` in cui la chiave Multi-region è passata da una chiave di replica a una chiave primaria (ap-northeast-1). Questa voce di log non identifica la Regione principale precedente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"invokedBy": "kms.amazonaws.com"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "091e6be5-737f-43c6-8431-e3679d6d0619",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# VerifyMac
L'esempio seguente mostra una voce di AWS CloudTrail registro relativa all'[VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)operazione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-31T19:25:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "VerifyMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_384",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "f35da560-edff-4d6e-9b40-fb306fa9ef1e",
"eventID": "6b464487-6dea-44cd-84ad-225d7450c975",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Verifica
Questi esempi mostrano le voci di AWS CloudTrail registro per l'operazione [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
L'esempio seguente mostra una voce di CloudTrail registro per un'operazione [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) che utilizza una chiave RSA KMS asimmetrica per verificare una firma digitale.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:50:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Verify",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"messageType": "RAW"
},
"responseElements": null,
"requestID": "c73ab82a-af82-4750-ae2c-b6bb790e9c28",
"eventID": "3b4331cd-5b7b-4de5-bf5f-82ec22f0dac0",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Amazon EC2 , esempio uno
L'esempio seguente registra un principale IAM che crea un volume crittografato utilizzando la chiave di volume predefinita nella console di EC2 gestione Amazon.
L'esempio seguente mostra una voce di CloudTrail registro in cui l'utente Alice crea un volume crittografato con una chiave di volume predefinita nella console di EC2 gestione Amazon. Il record del file di EC2 registro include un `volumeId` campo con un valore di`"vol-13439757"`. Il AWS KMS record contiene un `encryptionContext` campo con un valore di`"aws:ebs:id": "vol-13439757"`. Analogamente, il `principalId` e l'`accountId` tra i due record corrispondono. I record riflettono il fatto che la creazione di un volume crittografato genera una chiave di dati utilizzata per crittografare il contenuto del volume.
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:18Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateVolume",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"size": "10",
"zone": "us-east-1a",
"volumeType": "gp2",
"encrypted": true
},
"responseElements": {
"volumeId": "vol-13439757",
"size": "10",
"zone": "us-east-1a",
"status": "creating",
"createTime": 1415220618876,
"volumeType": "gp2",
"iops": 30,
"encrypted": true
},
"requestID": "1565210e-73d0-4912-854c-b15ed349e526",
"eventID": "a3447186-135f-4b00-8424-bc41f1a93b4f",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "&AWS; Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-13439757"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-123456789012-758241111-1415220618",
"eventID": "4bd2a696-d833-48cc-b72c-05e61b608399",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Amazon EC2 , secondo esempio
Nell'esempio seguente, un principale IAM che esegue un' EC2 istanza Amazon crea e monta un volume di dati crittografato con una chiave KMS. Questa azione genera più record di CloudTrail log. Per ulteriori informazioni su Amazon EBS e la crittografia, consulta [Requisiti per la crittografia Amazon EBS.](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-instance-permissions)
Quando il volume viene creato, Amazon EC2, agendo per conto del cliente, ottiene una chiave dati crittografata da AWS KMS (`GenerateDataKeyWithoutPlaintext`). Quindi crea un’autorizzazione (`CreateGrant`) che gli consente di decrittografare la chiave dati. Quando il volume è montato, Amazon EC2 chiama AWS KMS per decrittografare la chiave dati ()`Decrypt`.
L'`instanceId` EC2 istanza Amazon,`"i-81e2f56c"`, viene visualizzata nell'`RunInstances`evento. Lo stesso ID dell’istanza qualifica l’elemento `granteePrincipal` dell’autorizzazione creato (`"111122223333:aws:ec2-infrastructure:i-81e2f56c"`) e il ruolo assunto che è l'entità nella chiamata `Decrypt` (`"arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c"`).
L'[ARN della chiave](concepts.md#key-id-key-ARN) KMS che protegge il volume di dati appare in tutte e tre le AWS KMS chiamate (`CreateGrant``GenerateDataKeyWithoutPlaintext`, e). `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` `Decrypt`
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:27Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "RunInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"imageId": "ami-b66ed3de",
"minCount": 1,
"maxCount": 1
}
]
},
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2"
}
]
},
"instanceType": "m3.medium",
"blockDeviceMapping": {
"items": [
{
"deviceName": "/dev/xvda",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": true,
"volumeType": "gp2"
}
},
{
"deviceName": "/dev/sdb",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": false,
"volumeType": "gp2",
"encrypted": true
}
}
]
},
"monitoring": {
"enabled": false
},
"disableApiTermination": false,
"instanceInitiatedShutdownBehavior": "stop",
"clientToken": "XdKUT141516171819",
"ebsOptimized": false
},
"responseElements": {
"reservationId": "r-5ebc9f74",
"ownerId": "111122223333",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"instancesSet": {
"items": [
{
"instanceId": "i-81e2f56c",
"imageId": "ami-b66ed3de",
"instanceState": {
"code": 0,
"name": "pending"
},
"amiLaunchIndex": 0,
"productCodes": {
},
"instanceType": "m3.medium",
"launchTime": 1415223328000,
"placement": {
"availabilityZone": "us-east-1a",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"stateReason": {
"code": "pending",
"message": "pending"
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
},
"virtualizationType": "hvm",
"hypervisor": "xen",
"clientToken": "XdKUT1415223327917",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"networkInterfaceSet": {
},
"ebsOptimized": false
}
]
}
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "cd75a605-2fee-4fda-b847-9c3d330ebaae",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"granteePrincipal": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "c1ad79e3-0d3f-402a-b119-d5c31d7c6a6c",
"readOnly": false,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-111122223333-758247346-1415223332",
"eventID": "ac3cab10-ce93-4953-9d62-0b6e5cba651d",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c",
"accountId": "111122223333",
"accessKeyId": "",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-05T21:35:38Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-infrastructure",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-infrastructure",
"accountId": "111122223333",
"userName": "aws:ec2-infrastructure"
}
}
},
"eventTime": "2014-11-05T21:35:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"responseElements": null,
"requestID": "b4b27883-6533-11e4-b4d9-751f1761e9e5",
"eventID": "edb65380-0a3e-4123-bbc8-3d1b7cff49b0",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Monitora le chiavi KMS con Amazon CloudWatch
Puoi monitorare i tuoi dati AWS KMS keys utilizzando [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), un AWS servizio che raccoglie ed elabora dati grezzi AWS KMS trasformandoli in metriche leggibili quasi in tempo reale. Questi dati sono registrati per un periodo di due settimane, in modo da accedere a informazioni cronologiche e comprendere meglio l'utilizzo delle chiavi KMS e le loro modifiche nel corso del tempo.
Puoi usare Amazon CloudWatch per avvisarti di eventi importanti, come i seguenti.
+ Il materiale chiave importato in una chiave KMS si avvicina alla data di scadenza.
+ Viene ancora utilizzata una chiave KMS in attesa di eliminazione.
+ Il materiale chiave di una chiave KMS è stato ruotato automaticamente.
+ È stata eliminata una chiave KMS.
Puoi anche creare un CloudWatch allarme [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) che ti avvisi quando la frequenza delle richieste raggiunge una determinata percentuale del valore di quota. Per i dettagli, consulta [Gestisci le tariffe di richiesta AWS KMS API utilizzando Service Quotas e Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) nel blog sulla *AWS sicurezza*.
## AWS KMS metriche e dimensioni
AWS KMS predefinisce i CloudWatch parametri di Amazon per semplificare il monitoraggio dei dati critici e la creazione di allarmi. Puoi visualizzare le AWS KMS metriche utilizzando l' CloudWatch API Console di gestione AWS e Amazon.
Questa sezione elenca ogni AWS KMS metrica e le relative dimensioni e fornisce alcune linee guida di base per la creazione di CloudWatch allarmi basati su tali metriche e dimensioni.
**Nota**
**Nome del gruppo di dimensioni**:
Per visualizzare una metrica nella CloudWatch console Amazon, nella sezione **Metriche**, seleziona il nome del gruppo di dimensioni. Quindi, puoi filtrare in base a **Metric name** (Nome parametro). Questo argomento include il nome del parametro e il nome del gruppo di dimensioni per ogni parametro AWS KMS .
Puoi visualizzare le AWS KMS metriche utilizzando l' CloudWatch API Console di gestione AWS e Amazon. Per ulteriori informazioni, consulta [Visualizza i parametri disponibili](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) nella *Amazon CloudWatch User Guide*.
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [Cloud HSMKey StoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
Il numero di richieste riuscite per operazioni crittografiche su una chiave KMS specifica. Utilizzando la `SuccessfulRequest` metrica, puoi applicare il filtro a livello di chiave all'utilizzo dell'API in. AWS KMS CloudWatch La `Sum` statistica di questa metrica definisce il numero totale di richieste riuscite durante il periodo.
Utilizza questa metrica per identificare quali chiavi KMS consumano la maggior parte della quota di richieste o contribuiscono maggiormente ai costi delle API. Puoi anche creare un CloudWatch allarme basato sulla `SuccesfulRequest` metrica per avvisarti di modelli di utilizzo anomali delle API AWS KMS . Questi avvisi possono aiutare a identificare flussi di lavoro inefficienti che potrebbero involontariamente superare le quote di richiesta o comportare costi imprevisti.
**Dimensioni per `SuccessfulRequest`**
| Dimensione | Description |
| --- | --- |
| KeyArn | Valore per ogni chiave KMS. |
| Operation | Valore per ogni operazione AWS KMS API. Questa metrica si applica solo alle operazioni crittografiche. |
Per quanto riguarda [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)le operazioni, la `SuccessfulRequest` metrica include le dimensioni per le chiavi KMS di origine e di destinazione.
| Dimensione | Description |
| --- | --- |
| SourceKeyArn | Valore per la chiave KMS che ha decrittografato il testo cifrato. |
| DestinationKeyArn | Valore per la chiave KMS che ha ricrittografato i dati. |
| Operation | Valore per ogni operazione AWS KMS API, in questo caso,. ReEncrypt |
### SecondsUntilKeyMaterialExpiration
Il numero di secondi rimanenti alla scadenza più antica del [materiale chiave importato in una chiave KMS](importing-keys.md). Questo parametro è valido solo per le chiavi KMS con un materiale della chiave importato (un'[origine del materiale della chiave](create-keys.md#key-origin) di `EXTERNAL`) e una data di scadenza.
Usa questa metrica per tenere traccia del tempo rimasto prima che scada il materiale chiave importato con la scadenza più antica. Quando tale periodo scende al di sotto di una soglia definita, è necessario reimportare il materiale chiave con una nuova data di scadenza per mantenere utilizzabile la chiave KMS. Il parametro `SecondsUntilKeyMaterialExpiration` è specifico per una chiave KMS. Non puoi utilizzare questo parametro per monitorare più chiavi KMS o chiavi KMS che potresti creare in futuro. Per informazioni sulla creazione di un CloudWatch allarme per monitorare questa metrica, consulta. [Crea un CloudWatch allarme per la scadenza del materiale chiave importato](imported-key-material-expiration-alarm.md)
La statistica più utile per questo parametro è `Minimum`, che indica la quantità minima di tempo rimanente per tutti i punti dati nel periodo statistico specificato. L'unica unità valida per questo periodo è `Seconds`.
**Nome del gruppo di dimensioni**: **Per-Key Metrics** (Parametri per chiave)
**Dimensioni per `SecondsUntilKeyMaterialExpiration`**
| Dimensione | Descrizione; correlata a AWS |
| --- | --- |
| KeyId | Valore per ogni chiave KMS. |
Quando [programmi l'eliminazione](deleting-keys.md) di una chiave KMS, AWS KMS applica un periodo di attesa prima di procedere all'eliminazione. È possibile usare il periodo di attesa per assicurarsi che la chiave KMS non sia necessaria ora o in futuro. È inoltre possibile configurare un CloudWatch allarme per avvisare l'utente se una persona o un'applicazione tenta di utilizzare la chiave KMS in un'[operazione crittografica](kms-cryptography.md#cryptographic-operations) durante il periodo di attesa. Se si riceve una notifica da parte di un allarme, è possibile annullare l'eliminazione della chiave KMS.
Per istruzioni, consulta [Crea un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione](deleting-keys-creating-cloudwatch-alarm.md).
### Cloud HSMKey StoreThrottle
Il numero di richieste di operazioni crittografiche sulle chiavi KMS in ogni AWS CloudHSM archivio di chiavi che AWS KMS rallenta (risponde con un). `ThrottlingException` Questa metrica si applica solo agli archivi di chiavi. AWS CloudHSM
[La `CloudHSMKeyStoreThrottle` metrica si applica solo alle chiavi KMS in un AWS CloudHSM archivio di chiavi e solo alle richieste di operazioni crittografiche.](kms-cryptography.md#cryptographic-operations) AWS KMS [limita queste richieste](throttling.md) quando il tasso di richiesta supera la quota di richieste dell'[archivio chiavi personalizzato per il tuo archivio di chiavi](requests-per-second.md#rps-key-stores). AWS CloudHSM Questa metrica include anche la limitazione da parte del cluster. AWS CloudHSM
**Nome del gruppo di dimensioni**: **Keystore Throttle Metrics** (Parametri di limitazione del keystore)
| Dimensione | Description |
| --- | --- |
| CustomKeyStoreId | Valore per ogni archivio di chiavi AWS CloudHSM . |
| KmsOperation | Valore per ogni operazione AWS KMS API. Questa metrica si applica solo alle operazioni crittografiche sulle chiavi KMS in un AWS CloudHSM archivio di chiavi. |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica [specifica chiave supportata per le chiavi KMS in un AWS CloudHSM archivio](create-keys.md#key-spec) di chiavi è SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
Il numero di richieste di operazioni crittografiche sulle chiavi KMS in ogni archivio di chiavi esterno che rallenta (risponde con un). AWS KMS `ThrottlingException` Questo parametro si applica solo agli [archivi delle chiave esterne](keystore-external.md).
[La `ExternalKeyStoreThrottle` metrica si applica solo alle chiavi KMS in un archivio di chiavi esterno e solo alle richieste di operazioni crittografiche.](kms-cryptography.md#cryptographic-operations) AWS KMS [limita queste richieste](throttling.md) quando il tasso di richiesta supera la [quota di richieste dell'archivio chiavi personalizzato per l'archivio di chiavi esterno](requests-per-second.md#rps-key-stores). Questo parametro non include la limitazione (della larghezza di banda della rete) da parte del proxy dell'archivio delle chiavi esterne o del gestore delle chiavi esterne.
Utilizza questa metrica per rivedere e modificare il valore della quota di richieste di archiviazione chiavi personalizzate. Se questa metrica indica che spesso AWS KMS limita le richieste per queste chiavi KMS, potresti prendere in considerazione la possibilità di richiedere un aumento del valore della quota di richieste di archiviazione chiavi personalizzate. Per ricevere assistenza, consulta [Richiesta di un aumento di quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) nella *Guida per l'utente delle Service Quotas*.
Se ricevi frequentemente errori `KMSInvalidStateException` con un messaggio che descrive il rifiuto della richiesta "a causa di un tasso di richieste molto elevato" o "perché il proxy dell'archivio delle chiavi esterne non ha risposto in tempo", ciò potrebbe indicare che il gestore delle chiavi esterne o il proxy non è in grado di sostenere la frequenza di richieste corrente. Se possibile, riduci il tasso di richiesta. Potresti anche prendere in considerazione la possibilità di richiedere una riduzione del valore della quota di richiesta dell'archivio delle chiavi personalizzate. La riduzione di questo valore di quota potrebbe aumentare la limitazione (e il valore `ExternalKeyStoreThrottle` metrico), ma indica che ciò significa rifiutare rapidamente le richieste in eccesso prima che AWS KMS vengano inviate al proxy dell'archivio chiavi esterno o al gestore di chiavi esterno. Per richiedere una riduzione della quota, consulta la sezione [Centro Supporto AWS](https://console.aws.amazon.com/support/home) e crea un caso.
**Nome del gruppo di dimensioni**: **Keystore Throttle Metrics** (Parametri di limitazione del keystore)
| Dimensione | Description |
| --- | --- |
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni operazione API. AWS KMS Questa metrica si applica solo alle operazioni crittografiche sulle chiavi KMS in un archivio di chiavi esterno. |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica [specifica della chiave](create-keys.md#key-spec) supportata per le chiavi KMS in un archivio delle chiavi esterne è SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
Il numero di giorni che mancano alla scadenza del certificato TLS per l'[endpoint proxy dell'archivio delle chiavi esterne](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`). Questo parametro si applica solo agli [archivi delle chiave esterne](keystore-external.md).
Usa questa metrica per creare un CloudWatch allarme che ti avvisi della scadenza imminente del tuo certificato TLS. Quando il certificato scade, AWS KMS non è possibile comunicare con il proxy dell'archivio chiavi esterno. Tutti i dati protetti dalle chiavi KMS nell'archivio delle chiavi esterne diventano inaccessibili fino al rinnovo del certificato.
Dal momento che la scadenza di un certificato potrebbe impedirti di accedere alle risorse crittografate, un avviso relativo al certificato potrebbe risultare utile. Configura l'allarme in modo che l'organizzazione abbia la possibilità di rinnovare il certificato prima della sua scadenza.
**Nome del gruppo di dimensioni**: **XKS Proxy Certificate Metrics** (Parametri del certificato proxy XKS)
| Dimensione | Description |
| --- | --- |
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| CertificateName | Nome del soggetto (CN) nel certificato TLS. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi KMS degli archivi di chiavi esterni. Per istruzioni, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
### XksProxyCredentialAge
Il numero di giorni trascorsi dell'associazione delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) all'archivio delle chiavi esterne. Questo conteggio inizia quando inserisci le credenziali di autenticazione come parte della creazione o dell'aggiornamento dell'archivio delle chiavi esterne. Questo parametro si applica solo agli [archivi delle chiave esterne](keystore-external.md).
Questo valore è progettato per ricordarti l'età delle credenziali di autenticazione. Tuttavia, poiché il conteggio inizia dal momento in cui associ le credenziali all'archivio delle chiavi esterne e non dalla loro data di creazione, l'indicazione dell'età potrebbe non essere accurata.
Utilizza questa metrica per creare un CloudWatch allarme che ti ricordi di ruotare le credenziali di autenticazione proxy dell'archivio chiavi esterno.
**Nome del gruppo di dimensioni**: **Per-Keystore Metrics** (Parametri per keystore)
| Dimensione | Description |
| --- | --- |
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
Puoi creare CloudWatch allarmi in base alle metriche per gli archivi di chiavi esterni e le chiavi KMS negli archivi di chiavi esterni. Per istruzioni, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
### XksProxyErrors
Il numero di eccezioni relative alle AWS KMS richieste al proxy dell'archivio chiavi [esterno](keystore-external.md#concept-xks-proxy). Questo conteggio include le eccezioni a cui restituisce il proxy dell'archivio chiavi esterno AWS KMS e gli errori di timeout che si verificano quando il proxy dell'archivio chiavi esterno non risponde AWS KMS entro l'intervallo di timeout di 250 millisecondi. Questo parametro si applica solo agli [archivi delle chiave esterne](keystore-external.md).
Utilizza questo parametro per tenere traccia del tasso di errore delle chiavi KMS nell'archivio delle chiavi esterne. Rivela gli errori più frequenti, in modo da consentirti di assegnare priorità diverse agli interventi tecnici. Ad esempio, le chiavi KMS che generano alti tassi di errori irreversibili potrebbero indicare un problema con la configurazione dell'archivio delle chiavi esterne. Per visualizzare la configurazione dell'archivio delle chiavi esterne, consulta [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md). Per modificare le impostazioni dell'archivio delle chiavi esterne, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).
**Nome del gruppo di dimensioni**: **XKS Proxy Error Metrics** (Parametri di errore del proxy XKS)
| Dimensione | Description |
| --- | --- |
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni operazione AWS KMS API che ha generato una richiesta al proxy XKS. |
| XksOperation | Valore per ogni [operazione API proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica [specifica della chiave](create-keys.md#key-spec) supportata per le chiavi KMS in un archivio delle chiavi esterne è SYMMETRIC\$1DEFAULT. |
| ErrorType | Valori:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Valori: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/monitoring-cloudwatch.html) |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi KMS degli archivi di chiavi esterni. Per istruzioni, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
### XksExternalKeyManagerStates
Conteggio del numero di [istanze del gestore delle chiavi esterne](keystore-external.md#concept-ekm) in ciascuno dei seguenti stati di integrità: `Active`, `Degraded` e `Unavailable`. Le informazioni per questo parametro provengono dal proxy associato a ogni archivio delle chiavi esterne. Questo parametro si applica solo agli [archivi delle chiave esterne](keystore-external.md).
Di seguito sono riportati gli stati di integrità delle istanze del gestore delle chiavi esterne associate a un archivio delle chiavi esterne. Ogni proxy dell'archivio delle chiavi esterne potrebbe utilizzare indicatori diversi per misurare gli stati di integrità del gestore delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del proxy dell'archivio delle chiavi esterne.
+ `Active`: il gestore delle chiavi esterne è integro.
+ `Degraded`: il gestore delle chiavi esterne non è integro, ma può comunque servire il traffico
+ `Unavailable`: il gestore delle chiavi esterne non è in grado di servire il traffico.
Utilizza questa metrica per creare un CloudWatch allarme che ti avvisi in caso di istanze di key manager esterne danneggiate e non disponibili. Per determinare lo stato di ogni istanza, consulta i log del proxy dell'archivio delle chiavi esterne.
**Nome del gruppo di dimensioni**: **XKS External Key Manager Metrics** (Parametri del gestore chiavi esterne di XKS)
| Dimensione | Description |
| --- | --- |
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| XksExternalKeyManagerState | Valore per ogni stato di integrità. |
Puoi creare CloudWatch allarmi in base alle metriche per gli archivi di chiavi esterni e le chiavi KMS negli archivi di chiavi esterni. Per istruzioni, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
### XksProxyLatency
Il numero di millisecondi necessari a un proxy dell'archivio delle chiavi esterne per rispondere a una richiesta AWS KMS . Se la richiesta è scaduta, il valore registrato è il limite di timeout di 250 millisecondi. Questo parametro si applica solo agli [archivi delle chiave esterne](keystore-external.md).
Utilizza questo parametro per valutare le prestazioni del proxy dell'archivio delle chiavi esterne e del gestore delle chiavi esterne. Ad esempio, se il proxy è spesso prossimo al timeout per le operazioni di crittografia e decrittografia, rivolgiti all'amministratore del proxy.
Le risposte lente potrebbero anche indicare che il gestore delle chiavi esterno non è in grado di gestire il traffico di richieste corrente. AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se il gestore delle chiavi esterne non è in grado di gestire 1.800 richieste al secondo, prendi in considerazione la possibilità di richiedere una riduzione della [quota di richieste per le chiavi KMS in un archivio delle chiavi personalizzate](requests-per-second.md#rps-key-stores). Le richieste relative alle operazioni di crittografia che utilizzano le chiavi KMS nell'archivio delle chiavi esterne anticiperanno rapidamente l'errore (fail fast) con un'[eccezione di limitazione](throttling.md) (della larghezza di banda della rete), anziché essere elaborate e successivamente rifiutate dal proxy o dal gestore delle chiavi esterne.
**Nome del gruppo di dimensioni**: **XKS Proxy Latency Metrics** (Parametri di latenza del proxy XKS)
| Dimensione | Description |
| --- | --- |
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni operazione AWS KMS API che ha generato una richiesta al proxy XKS. |
| XksOperation | Valore per ogni [operazione API proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica [specifica della chiave](create-keys.md#key-spec) supportata per le chiavi KMS in un archivio delle chiavi esterne è SYMMETRIC\$1DEFAULT. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi KMS degli archivi di chiavi esterni. Per istruzioni, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
# Crea un CloudWatch allarme per la scadenza del materiale chiave importato
Puoi creare un CloudWatch avviso che ti avvisi quando il materiale chiave importato in una chiave KMS si avvicina alla scadenza. Ad esempio, l'allarme può avvisarti quando mancano meno di 30 giorni alla scadenza.
Quando [importi il materiale della chiave in una chiave KMS](importing-keys.md), puoi specificare una data e un'ora in cui tale materiale scade. Quando il materiale chiave scade, AWS KMS elimina il materiale chiave e la chiave KMS diventa inutilizzabile. Per utilizzare di nuovo la chiave KMS, devi [importare nuovamente lo stesso materiale della chiave](importing-keys-import-key-material.md#reimport-key-material). Tuttavia, se reimporti il materiale chiave prima della scadenza, è possibile evitare di interrompere i processi che utilizzano quella chiave KMS.
Questo allarme utilizza la [`SecondsUntilKeyMaterialExpires`metrica](monitoring-cloudwatch.md#key-material-expiration-metric) AWS KMS pubblicata su CloudWatch per le chiavi KMS con materiale chiave importato che scade. Ogni allarme utilizza questo parametro per monitorare il materiale chiave importato per una determinata chiave KMS. Non puoi creare un singolo allarme per tutte le chiavi KMS con materiale chiave in scadenza o un allarme per le chiavi KMS che potresti creare in futuro.
**Requisiti**
Le seguenti risorse sono necessarie per un CloudWatch allarme che monitora la scadenza del materiale chiave importato.
+ Una chiave KMS con materiale della chiave importato.
+ Argomento Amazon SNS Per maggiori dettagli, consulta l'[argomento Creating an Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) nella *Amazon CloudWatch User Guide*.
**Creazione dell'allarme**
Segui le istruzioni riportate in [Creare un CloudWatch allarme basato su una soglia statica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Seleziona parametro | Scegli **KMS**, quindi scegli **Per-Key Metrics** (Parametri per chiave). Scegli la riga con la chiave KMS e il parametro `SecondsUntilKeyMaterialExpires`. Quindi, scegli **Seleziona parametro**. L'elenco **Metrics** (Parametri) visualizza il parametro `SecondsUntilKeyMaterialExpires` solo per le chiavi KMS con materiale della chiave importato. Se non disponi di chiavi KMS con queste proprietà nell'account e nella regione, questo elenco è vuoto. |
| Statistic | Minimo |
| Periodo | 1 minuto |
| Tipo di soglia | Statico |
| Quando... | Ogni volta che metric-name è maggiore di 1 |
# Crea CloudWatch allarmi per archivi di chiavi esterni
Puoi creare CloudWatch allarmi Amazon basati su parametri di archiviazione di chiavi esterne per avvisarti quando il valore di una metrica supera una soglia specificata. L'allarme può inviare un messaggio a un [argomento Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) o alla [policy di Dimensionamento automatico Amazon EC2](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work). Per informazioni dettagliate sugli CloudWatch allarmi, consulta [Using Amazon CloudWatch alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Amazon CloudWatch User* Guide.
Prima di creare un CloudWatch allarme Amazon, è necessario un argomento su Amazon SNS. Per maggiori dettagli, consulta l'[argomento Creating an Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) nella *Amazon CloudWatch User Guide*.
**Topics**
+ [Crea un avviso di scadenza del certificato](#cert-expire-alarm)
+ [Crea un allarme per il timeout della risposta](#latency-alarm)
+ [Crea un allarme per errori ripetibili](#retryable-errors-alarm)
+ [Crea un allarme per errori irreparabili](#nonretryable-errors-alarm)
## Crea un avviso di scadenza del certificato
Questo allarme utilizza la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) metrica AWS KMS pubblicata per CloudWatch registrare la scadenza prevista del certificato TLS associato all'endpoint proxy di archiviazione delle chiavi esterno. Non puoi creare un singolo allarme per tutti gli archivi delle chiavi esterne dell'account o un allarme per gli archivi delle chiavi esterne che è possibile creare in futuro.
Ti consigliamo di impostare l'allarme in modo che ti avvisi 10 giorni prima della scadenza del certificato, ma dovresti impostare la soglia più adatta alle tue esigenze.
**Creazione dell'allarme**
Segui le istruzioni riportate in [Creare un CloudWatch allarme basato su una soglia statica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Seleziona parametro | Scegli **KMS**, quindi **XKS Proxy Certificate Metrics** (Parametri del certificato proxy XKS). Seleziona la casella di controllo accanto al valore `XksProxyCertificateName` da monitorare. Quindi, scegli **Seleziona parametro**. |
| Statistic | Minimo |
| Periodo | 5 minuti |
| Tipo di soglia | Statico |
| Quando... | Ogni volta Lower che XksProxyCertificateDaysToExpireè così10. |
## Crea un allarme per il timeout della risposta
Questo allarme utilizza la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrica AWS KMS pubblicata per registrare il numero di millisecondi necessari CloudWatch a un proxy di archiviazione chiavi esterno per rispondere a una richiesta. AWS KMS Non puoi creare un singolo allarme per tutti gli archivi delle chiavi esterne dell'account o un allarme per gli archivi delle chiavi esterne che è possibile creare in futuro.
AWS KMS si aspetta che il proxy dell'archivio chiavi esterno risponda a ogni richiesta entro 250 millisecondi. Ti consigliamo di impostare un allarme per avvisarti quando il proxy dell'archivio delle chiavi esterne impiega più di 200 millisecondi per rispondere, ma dovresti impostare la soglia più adatta alle tue esigenze.
**Creazione dell'allarme**
Segui le istruzioni in [Creare un CloudWatch allarme basato su una soglia statica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Seleziona parametro | Scegli **KMS**, quindi **XKS Proxy Latency Metrics** (Parametri di latenza del proxy XKS). Seleziona la casella di controllo accanto al valore `KmsOperation` da monitorare. Quindi, scegli **Seleziona parametro**. |
| Statistic | Media |
| Periodo | 5 minuti |
| Tipo di soglia | Statico |
| Quando... | Ogni volta Greater che XksProxyLatencyè così200. |
## Crea un allarme per errori ripetibili
Questo allarme utilizza la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica AWS KMS pubblicata su per CloudWatch registrare il numero di eccezioni relative AWS KMS alle richieste al proxy dell'archivio chiavi esterno. Non puoi creare un singolo allarme per tutti gli archivi delle chiavi esterne dell'account o un allarme per gli archivi delle chiavi esterne che è possibile creare in futuro.
Gli errori non irreversibili riducono la percentuale di affidabilità e possono indicare errori di rete. Ti consigliamo di impostare un allarme per avvisarti quando vengono registrati più di cinque errori non irreversibili in un minuto, ma dovresti impostare la soglia più adatta alle tue esigenze.
Segui le istruzioni riportate in [Creare un CloudWatch allarme basato su una soglia statica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Seleziona parametro | Scegli la scheda **Queries** (Query). Scegli `AWS/KMS` per **Namespace**. Inserisci `SUM(XksProxyErrors)` in **Metric name** (Nome parametro). Inserisci `ErrorType = Retryable` in **Filter by** (Filtra per). Scegli **Esegui**. Quindi, scegli **Seleziona parametro**. |
| Etichetta | Retryable errors |
| Periodo | 1 minuto |
| Tipo di soglia | Statico |
| Quando... | Ogni volta che q1 è Greater di 5. |
## Crea un allarme per errori irreparabili
Questo allarme utilizza la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica AWS KMS pubblicata su per registrare il numero di eccezioni relative CloudWatch alle AWS KMS richieste al proxy dell'archivio chiavi esterno. Non puoi creare un singolo allarme per tutti gli archivi delle chiavi esterne dell'account o un allarme per gli archivi delle chiavi esterne che è possibile creare in futuro.
Gli errori irreversibili possono indicare un problema con la configurazione dell'archivio delle chiavi esterne. Ti consigliamo di impostare un allarme per avvisarti quando vengono registrati più di cinque errori irreversibili in un minuto, ma dovresti impostare la soglia più adatta alle tue esigenze.
Segui le istruzioni riportate in [Creare un CloudWatch allarme basato su una soglia statica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Seleziona parametro | Scegli la scheda **Queries** (Query). Scegli `AWS/KMS` per **Namespace**. Inserisci `SUM(XksProxyErrors)` in **Metric name** (Nome parametro). Inserisci `ErrorType = Non-retryable` in **Filter by** (Filtra per). Scegli **Esegui**. Quindi, scegli **Seleziona parametro**. |
| Etichetta | Non-retryable errors |
| Periodo | 1 minuto |
| Tipo di soglia | Statico |
| Quando... | Ogni volta che q1 è Greater di 5. |
# Monitora le chiavi KMS con Amazon EventBridge
Puoi utilizzare Amazon EventBridge (precedentemente Amazon CloudWatch Events) per avvisarti dei seguenti eventi importanti nel ciclo di vita delle tue chiavi KMS.
+ Il materiale chiave in una chiave KMS è stato ruotato automaticamente o su richiesta.
+ Il materiale chiave importante in una chiave KMS scaduta.
+ Una chiave KMS che era stata pianificata per l'eliminazione è stata eliminata.
AWS KMS si integra con Amazon EventBridge per avvisarti di eventi importanti che influiscono sulle tue chiavi KMS. Ogni evento è rappresentato in [JSON (JavaScriptObject Notation)](http://json.org) e include il nome dell'evento, la data e l'ora in cui si è verificato l'evento e l'evento interessato. Puoi raccogliere questi eventi e stabilire regole che li indirizzino verso uno o più *target* come AWS Lambda funzioni, argomenti Amazon SNS, code Amazon SQS, flussi in Amazon Kinesis Data Streams o destinazioni integrate.
Per ulteriori informazioni sull'utilizzo EventBridge con altri tipi di eventi, inclusi quelli emessi AWS CloudTrail quando registra una richiesta read/write API, consulta la [Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
I seguenti argomenti descrivono gli EventBridge eventi che AWS KMS genera.
## Rotazione KMS CMK
AWS KMS supporta la [rotazione automatica e su richiesta](rotate-keys.md) del materiale chiave nelle chiavi KMS con crittografia simmetrica.
Ogni volta che AWS KMS ruota il materiale chiave, invia un evento a. `KMS CMK Rotation` EventBridge AWS KMS genera questo evento con il massimo impegno.
Di seguito è illustrato un esempio di questo evento.
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "KMS CMK Rotation",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-origin": "AWS_KMS",
"rotation-type": "ON_DEMAND",
"previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
}
}
```
## Scadenza del materiale chiave importato di KMS
Quando [importi il materiale chiave in una chiave KMS](importing-keys.md), è possibile specificare un'ora in cui tale materiale scade. Quando il materiale chiave scade, AWS KMS elimina il materiale chiave e invia un evento corrispondente `KMS Imported Key Material Expiration` a. EventBridge AWS KMS genera questo evento con la massima diligenza possibile.
Di seguito è illustrato un esempio di questo evento.
```
{
"version": "0",
"id": "9da9af57-9253-4406-87cb-7cc400e43465",
"detail-type": "KMS Imported Key Material Expiration",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
## Eliminazione di KMS CMK
Quando [programmi l'eliminazione](deleting-keys.md) di una chiave KMS, AWS KMS applica un periodo di attesa prima di procedere all'eliminazione. Al termine del periodo di attesa, AWS KMS elimina la chiave KMS e invia un `KMS CMK Deletion` evento a. EventBridge AWS KMS garantisce questo EventBridge evento. A seguito dei tentativi, potrebbero generarsi più eventi in pochi secondi che eliminano la stessa chiave KMS.
Di seguito è illustrato un esempio di questo evento.
```
{
"version": "0",
"id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
"detail-type": "KMS CMK Deletion",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
```