での保管時のデータ暗号化 AWS IoT Core - AWS IoT Core
AWS 所有キーカスタマーマネージドキー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での保管時のデータ暗号化 AWS IoT Core

デフォルトでは、保管中のすべての AWS IoT Core データは AWS 所有キーを使用して暗号化されます。 は AWS Key Management Service () の対称カスタマーマネージドキー AWS IoT Core もサポートしていますAWS KMS。カスタマーマネージドキーを使用すると、 AWS アカウントの AWS KMS キーを作成、所有、管理できます。 AWS IoT Core は KMS キーを使用して保管中のデータを暗号化します。キーポリシーの作成や保守など、これらの KMS キーを完全に制御できます。これらのキーのアクセス許可を制御する AWS KMS ために にアクセスするロールの IAM ポリシーを設定することもできます。

AWS 所有キー

AWS 所有キーは、 AWS サービスが複数の AWS アカウントで使用するために所有および管理する KMS キーのコレクションです。 AWS サービスは AWS 、所有キーを使用してデータを保護します。デフォルトでは、 は AWS 所有キーを使用して保管中のデータを AWS IoT Core 暗号化します。これらのキーは サービスによって管理されます。 AWS 所有キーを表示、管理、使用することはできません。ただし、これらのキーを保護するためにアクションを実行する必要はありません。

AWS 所有キーの詳細については、「 AWS Key Management Service デベロッパーガイド」のAWS 「 所有キー」を参照してください。

カスタマーマネージドキー

カスタマーマネージドキーは、作成、所有、管理する AWS アカウントの KMS キーです。 AWS KMS キーポリシーの作成や保守など、これらのキーを完全に制御できます。これらのキーのアクセス許可を制御する AWS KMS ために にアクセスするロールの IAM ポリシーを設定することもできます。カスタマーマネージド KMS キー AWS IoT Core を使用してデータを暗号化するように を設定できます。

カスタマーマネージドキーの詳細については、AWS Key Management Service デベロッパーガイドの「カスタマーマネージドキー」を参照してください。

でカスタマーマネージドキーにオプトインするには AWS IoT Core、次の手順に従います。

ステップ 1:カスタマーマネージドキーを作成する

対称カスタマーマネージドキーは、 AWS KMS コンソールまたは AWS KMS CLI コマンドを使用して作成できます。keySpecSYMMETRIC_DEFAULTで、 は keyUsageである必要がありますENCRYPT_DECRYPT

注記

AWS IoT Core は、カスタマーマネージド AWS KMS キーのSYMMETRIC_DEFAULTキー仕様とENCRYPT_DECRYPTキー使用量を持つキーのみをサポートします。

以下は、 で AWS IoT Core カスタマーマネージドキーに使用できる KMS キーを作成する AWS CLI コマンドの例です。

aws kms create-key --key-spec SYMMETRIC_DEFAULT --key-usage ENCRYPT_DECRYPT --region us-west-2

コマンドの出力例を次に示します。

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": "2024-09-19T11:45:23.982000-07:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": false
    }
}

詳細については、「 デベロッパーガイド」の「対称カスタマーマネージドキーの作成」を参照してください。 AWS Key Management Service

キーポリシー

カスタマーマネージドキーを作成するときは、キーポリシーを指定できます。キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーポリシー」を参照してください。

AWS IoT Core は、アカウントの IAM ロールを使用してカスタマーマネージドキーにアクセスします。カスタムキーポリシーを使用している場合は、このキーで作成された IAM ロールに次のアクセス許可があることを確認してください。

  • kms:DescribeKey

  • kms:Decrypt

  • kms:Encrypt

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncryptTo

  • kms:ReEncryptFrom

ステップ 2: KMS キーを使用する AWS IoT Core ためのアクセス許可を付与する IAM ロールを作成する

が作成した KMS キーを使用して保管中のデータを暗号化 AWS IoT Core するには、アカウントに IAM ロールも作成する必要があります。このロールは、 が KMS キーにアクセスするために引き受け AWS IoT Core ることができます。

がロールを引き受ける AWS IoT Core には、ロールに次の信頼ポリシーが必要です。

{
    "Version": "2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "iot.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "111122223333"
            },
            "ArnLike": {
                "aws:SourceArn": "arn:aws:iot:us-west-2:111122223333:*"
            }
        }
    }
}

IAM ロールにアタッチされた IAM ポリシーに、KMS キーに対する次のアクセス許可があることを確認します。

  • kms:DescribeKey

  • kms:Decrypt

  • kms:Encrypt

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncryptTo

  • kms:ReEncryptFrom

以下は、カスタマーマネージドキーに必要なアクセス許可を持つ IAM ポリシーの例です。

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIoTToAccessKMSResource",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": [
                "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws-crypto-ec:vendor": "iot.amazonaws.com"
                }
            }
        }
    ]
}

詳細については、「 AWS Identity and Access Management ユーザーガイド」の「IAM ユーザーにアクセス許可を委任するロールを作成する」を参照してください。

ステップ 3: でカスタマーマネージドキーにオプトインする AWS IoT Core

前のすべてのステップを完了したら、 update-encryption-configuration CLI コマンドを実行して、 でカスタマーマネージドキーを使用してオプトインします AWS IoT Core。カスタマーマネージドキーにオプトインすると、 AWS アカウント内のすべての AWS IoT Core リソースは指定された AWS KMS キーを使用して暗号化されます。

  1. AWS IoT Core を使用して でカスタマーマネージドキーにオプトインするには AWS CLI、 update-encryption-configuration CLI コマンドを実行します。

    aws iot update-encryption-configuration --encryption-type "CUSTOMER_MANAGED_KMS_KEY" \
--kms-access-role-arn "arn:aws:iam::111122223333:role/myrole" \
--kms-key-arn "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --region us-west-2

  2. AWS IoT Core を使用して でカスタマーマネージドキーを検証するには AWS CLI、 describe-encryption-configuration CLI コマンドを実行します。

    aws iot describe-encryption-configuration --region us-west-2

    でカスタマーマネージドキーを有効にしている場合 AWS IoT Core、出力は次のようになります。

    {
    "encryptionType": "CUSTOMER_MANAGED_KMS_KEY",
    "kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "kmsAccessRoleArn": "arn:aws:iam::111122223333:role/myrole",
    "configurationDetails": {
        "configurationStatus": "HEALTHY"
    },
    "lastModifiedDate": "2024-09-26T22:01:02.365000-07:00"
}

    lastModifiedDate フィールドは、暗号化設定が最後に更新された日付を示します。

    カスタマーマネージドキーを有効にしていない場合、出力は次のようになります。

    {
    "encryptionType": "AWS_OWNED_KMS_KEY",
    "lastModifiedDate": "2024-09-26T22:01:02.365000-07:00"
}

ステップ 4: AWS IoT Core コントロールプレーンオペレーションに必要な追加のアクセス許可

カスタマーマネージドキーにオプトインすると、 AWS アカウントに属するすべての AWS IoT Core リソースは、提供された KMS キーで暗号化されます。すべてのコントロールプレーンオペレーションでは、 AWS IoT Core リソースに対する特定のオペレーションに必要なkms:Decryptアクセス許可に加えて、呼び出し元に KMS キーに対するアクセス許可が必要になりました。呼び出し元に kms:Decrypt アクセス許可がなく、データの暗号化または復号を必要とする API コール ( などGetPolicy) を行った場合、呼び出し元は を受け取りますUnauthorizedException

たとえば、 を呼び出す場合GetPolicy、API 呼び出しを成功させるには、カスタマーマネージド KMS キーに対する iot:GetPolicyと の両方のkms:Decryptアクセス許可が必要です。

注記

IAM ユーザーまたはロールを更新して暗号化設定に使用されるキーに対する AWS KMS アクセス許可を付与する場合は、KMS キーポリシーによって、それぞれの IAM ユーザーまたはロールに必要なアクセス許可も付与されていることを確認してください。

AWS KMS の アクセス許可 UpdateEncryptionConfiguration

UpdateEncryptionConfiguration API コールでは、カスタマーマネージドキーにオプトインしたり、キー設定を変更したりするために、KMS キーに対する次の AWS KMS アクセス許可が必要です。

  • kms:DescribeKey

  • kms:Decrypt

  • kms:Encrypt

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncryptTo

  • kms:ReEncryptFrom

AWS KMS 他のすべてのコントロールプレーン APIsの アクセス許可

ほとんどのコントロールプレーン APIsカスタマーマネージドキーが有効になっている場合に kms:Decrypt アクセス許可が必要です。ただし、特定の APIs、これらの追加のアクセス許可は必要ありません。

AWS KMS アクセス許可を必要としない APIs

List* および Delete* APIsバケットには含まれません。お客様はいつでも List*または Delete*コントロールプレーン API を呼び出すことができ、呼び出し元に kms:Decrypt アクセス許可がない場合でも、これらの API コールは成功します。これらの API コールは、カスタマーマネージドキーが異常であり、List*Delete*APIsします。

  • List* APIs すべての出品オペレーション (例: ListThingsListPoliciesListCertificates)

  • Delete* APIs すべての削除オペレーション (例: DeleteThingDeletePolicyDeleteCertificate)

ステップ 5: キーの管理

AWS IoT Core は、カスタマーマネージドキー設定を定期的にチェックして、暗号化および復号オペレーションに影響がないことを確認します。これらのヘルスチェックは 1 AWS IoT Core分に 1 回実行され、 AWS KMS キーおよび関連する IAM ロールの両方にアクセスして使用してオペレーションを暗号化および復号化できるかどうかを検証します。

HEALTHY

AWS IoT Core は、指定された IAM ロールを介して AWS KMS キーに正常にアクセスし、暗号化/復号オペレーションを実行できます。すべてのコンポーネントが正しく機能します。

UNHEALTHY

AWS IoT Core は AWS KMS キーにアクセスまたは使用できません。これにより、新しい暗号化オペレーションが防止され、サービス機能に影響する可能性があります。errorCode フィールドは、問題がキーか IAM ロールかを示します。

キーヘルスに影響を与える可能性のある顧客アクション

いくつかのお客様のアクションにより、キーのヘルスステータスが から HEALTHYに変わる可能性がありますUNHEALTHY

キー関連のアクション

  • AWS KMS キーの削除 – キーの削除をスケジュールすると、そのキーは Pending deletionステータスになり、使用できません。

  • AWS KMS キーの無効化 – KMS キーを無効にすると、暗号化/復号オペレーションに使用できなくなります。

  • 削除のためのキーのスケジュール – 削除が完了するとキーは使用できなくなります

  • キーポリシーの変更 – AWS IoT Core アクセスに必要なアクセス許可の削除

  • キー使用許可の変更 – 必要な AWS KMS アクションの制限

IAM ロール関連のアクション

  • IAM ロールの削除 – AWS IoT Core キーにアクセスするためのロールを引き受けることはできません

  • ロールのアクセス許可の変更 — ロールポリシーから必要な AWS KMS アクセス許可を削除する

  • 信頼ポリシーの変更 — AWS IoT Core サービスがロールを引き受けるのを防ぐ

  • 制限条件の追加 – がロール AWS IoT Core を使用できないようにする条件

アカウントレベルのアクション

  • クロスアカウントキーアクセスの変更 – 異なるアカウントのキーのアクセス許可の変更

  • サービスコントロールポリシー (SCPs) – AWS KMS アクセスを制限する組織レベルのポリシー

  • アカウントレベルの IAM ポリシー – キーアクセスを上書きまたは競合するポリシー

重要

で使用される AWS KMS キー、IAM ロール、またはポリシーへの変更は、まず開発環境でテスト AWS IoT Core する必要があります。変更を加えた後、主要なヘルスステータスを注意深くモニタリングして、 AWS IoT Core 機能に影響がないことを確認します。

暗号化設定の更新

の暗号化設定を更新 AWS IoT Core して、あるカスタマーマネージドキーから別のカスタマーマネージドキーに変更するか、 AWS 所有キーとカスタマーマネージドキーの間で変更します。

設定を別のカスタマーマネージドキーに変更するには:

  1. 「」の手順に従って、新しいカスタマーマネージドキーを作成しますステップ 1:カスタマーマネージドキーを作成する

  2. 更新期間中に古いキーと新しいキーの両方のアクセス許可を含めるように IAM ロールポリシーを更新します。

  3. 新しいキーを使用するように暗号化設定を更新します。

    aws iot update-encryption-configuration --encryption-type "CUSTOMER_MANAGED_KMS_KEY" \
--kms-access-role-arn "arn:aws:iam::111122223333:role/myrole" \
--kms-key-arn "arn:aws:kms:us-west-2:111122223333:key/new-key-id"

カスタマーマネージドキーから AWS 所有キーに設定を変更するには:

aws iot update-encryption-configuration --encryption-type "AWS_OWNED_KMS_KEY"
注記

新しいカスタマーマネージドキーの暗号化設定を更新するときは、オペレーションを成功させるために、古いキーと新しいキーの両方にアクセス可能なままであることを確認します。

一般的な障害シナリオと影響

次の表は、キーが削除または非アクティブ化される一般的な障害シナリオを示しています。

シナリオ 即時の影響 長期の結果

キーが無効

すべての新しい暗号化/復号オペレーションがすぐに失敗する

キーが再有効化または置き換えられるまでのサービスの中断

削除が予定されているキー

キーのステータスが削除保留中に変更され、すべての暗号化/復号オペレーションが失敗する

削除完了時の自動サービス障害

キーが完全に削除されました

すべてのオペレーションの即時および永続的な障害

永続的なデータ損失と暗号化されたデータを復旧できない

キーポリシーが正しく変更されていない

AWS IoT Core はキーへのアクセス許可を失います

ポリシーが修正されるまでのサービスの失敗

IAM ロールが削除されました

AWS IoT Core はキーにアクセスするためのロールを引き受けることができません

完全な暗号化サービスの失敗

IAM ロールが正しく変更されていない

AWS IoT Core がロールを引き受けたり、ロールを使用してキーにアクセスしたりできない

IAM ロールが修正されるまでのサービス障害
予防とベストプラクティス

キーの偶発的な削除や非アクティブ化を防ぎ、サービス障害のリスクを最小限に抑えるには:

キーライフサイクルポリシーの実装

キーの作成、ローテーション、廃止に関する明確な手順を確立します。どのキーがどの AWS IoT Core リソースで使用されるかを文書化し、アクティブなキーのインベントリを維持します。

IAM ポリシーを使用してキーの削除を制限する

権限のないユーザーが重要な暗号化キーを削除または無効化できないようにする IAM ポリシーを作成します。条件を使用して、キー削除オペレーションの追加承認を要求します。

CloudTrail ログ記録を有効にする

CloudTrail を使用してすべての AWS KMS キーオペレーションをモニタリングし、不正または偶発的なキー管理アクティビティを検出します。キーの削除、無効化、またはポリシーの変更に関するアラートを設定します。

テストキーの置き換え手順

非本番環境でキー交換手順を定期的にテストして、キー関連の障害から迅速に復旧できることを確認します。

キーバックアップの維持

AWS KMS キーマテリアルをエクスポートすることはできませんが、必要に応じて迅速なキー交換を容易にするために、キー ARNs、ポリシー、および関連する AWS IoT Core 設定の詳細な記録を維持します。

キーのヘルスをモニタリングする

CMK.Health メトリクスを継続的にモニタリングし、主要なヘルスステータスの変更に関する自動アラートを設定します。キー関連の問題に迅速に対処するための自動応答を実装します。

重要

キーの更新手順は、本番環境に実装する前に、必ず開発環境でテストしてください。ロールバック計画を文書化し、緊急時にキー交換手順を迅速に実行できるようにします。

ステップ 6: キーヘルスのモニタリング

定期的なチェック AWS IoT Core の実行の一環として、CloudWatch メトリクスとログが出力され、カスタマーマネージドキー設定のヘルスステータスが可視化されます。

AWS IoT Core は、少なくとも 1 分に 1 回 CloudWatch にCMK.Healthメトリクスを出力します。メトリクスは、 がデータの暗号化と復号 AWS IoT Core に使用するカスタマーマネージドキーのヘルスステータスに関する情報を提供します。

CMK.Health メトリクスには、次の値を含めることができます。

  • 値は です1。 AWS IoT Core データの暗号化と復号に暗号化キーを正常に使用できます。

  • 値は です0。 AWS IoT Core データの暗号化と復号に暗号化キーを使用することはできません。

AWS IoT Core 暗号化キーのヘルスステータスが変更されると、 も AWS IoT V2 ログを出力します。これらのログには、ヘルスステータスの更新に関する追加の詳細が表示されます。これらのログを表示するには、 AWS IoT V2 ログを有効にする必要があります。HEALTHY ログはINFOレベルで出力され、UNHEALTHYログはERRORレベルで出力されます。ログレベルの詳細については、「ログレベル」を参照してください。

次の例は、カスタマーマネージドキーのヘルスステータスの更新を示す AWS IoT Core ために から出力される CloudWatch ログエントリです。

主要なヘルスステータスの変更を効果的にモニタリングして対応するには:

  1. CMK.Health メトリクスの CloudWatch アラームを設定します

    aws cloudwatch put-metric-alarm --region us-west-2 \
  --alarm-name "IoTCore-CMK-Health-Alert" \
  --alarm-description "Alert when IoT Core CMK health is unhealthy" \
  --metric-name "CMK.Health" \
  --namespace "AWS/IoT" \
  --statistic "Minimum" \
  --period 300 \
  --evaluation-periods 1 \
  --threshold 1 \
  --comparison-operator "LessThanThreshold" \
  --alarm-actions "arn:aws:sns:us-west-2:111122223333:iot-alerts"

  2. 詳細なヘルスステータス変更イベントをエラーコードとメッセージでキャプチャするための Enable AWS IoT V2 ログ記録

  3. トラブルシューティングの設定ステータスを確認します

    aws iot describe-encryption-configuration --region us-west-2

  4. errorCode フィールドを調べて UNHEALTHY ステータスを調べます。

    • KMS_KEY_VALIDATION_ERROR – AWS KMS キーの問題 (無効、削除、またはポリシーの問題)

    • ROLE_VALIDATION_ERROR – IAM ロールに関する問題 (削除、ポリシーの問題、または信頼の問題)

UNHEALTHY から HEALTHY へ

暗号化キーのステータスが から UNHEALTHYに更新されるとHEALTHY、 AWS IoT Core は次の形式で AWS IoT V2 ログメッセージを出力します。

{
    "timestamp": "2017-08-10 15:37:23.476",
    "logLevel": "INFO",
    "traceId": "8421693b-f4f0-4e4a-9235-0cff8bab897d",
    "accountId": "111122223333",
    "status": "SUCCESS",
    "cmkStatus": "HEALTHY",
    "kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "kmsAccessRoleArn": "arn:aws:iam::111122223333:role/myrole",
    "eventType": "CmkHealthCheck"
}

健康から不健康へ

暗号化キーのステータスが から HEALTHYに更新されるとUNHEALTHY、 AWS IoT Core は次の形式で AWS IoT V2 ログメッセージを出力します。

{
    "timestamp": "2017-08-10 15:37:23.476",
    "logLevel": "ERROR",
    "traceId": "8421693b-f4f0-4e4a-9235-0cff8bab897d",
    "accountId": "111122223333",
    "status": "FAILURE",
    "cmkStatus": "UNHEALTHY",
    "errorCode": "KMS_KEY_VALIDATION_ERROR / ROLE_VALIDATION_ERROR",
    "errorMessage": "Error message on why there was a failure",
    "kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "kmsAccessRoleArn": "arn:aws:iam::111122223333:role/myrole",
    "eventType": "CmkHealthCheck"
}
警告

キーの状態が になるとUNHEALTHY、 AWS IoT Core オペレーションはすぐに失敗します。この場合、キー設定、IAM ロールのアクセス許可、およびポリシーを確認します。CMK.Health メトリクスのステータス変更をモニタリングします。設定を確認してもオペレーションが失敗し続ける場合は、アカウントマネージャーまたはAWS サポートセンターにお問い合わせください。

AWS CloudTrail イベント

また、復号オペレーションを暗号化するための KMS キー AWS IoT Coreの使用状況をモニタリングすることもできます。 AWS IoT Core はDescribeKey、KMS キーに対して DecryptReEncrypt、、および GenerateDataKeyWithoutPlaintextオペレーションを行い、保管中の AWS アカウントに属するデータを暗号化/復号します。

DescribeKeyDecryptReEncryptおよび には CloudTrail イベントがありますGenerateDataKeyWithoutPlaintext。これらのイベントは、カスタマーマネージドキーによって暗号化されたデータにアクセス AWS IoT Core するために によって呼び出される AWS KMS オペレーションをモニタリングします。

Decrypt の例
{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "*********************",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "*****"
            },
            "attributes": {
                "creationDate": "2024-09-16T20:23:39Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "iot.amazonaws.com"
    },
    "eventTime": "2024-09-16T20:32:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "iot.amazonaws.com",
    "userAgent": "iot.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws-crypto-ec:vendor": "iot.amazonaws.com",
            "branch-key-id": "111122223333",
            "type": "branch:ACTIVE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "responseElements": null,
    "requestID": "1afb6d98-8388-455d-8b48-e62c9e0cf7f4",
    "eventID": "b59a5f16-0d98-46d8-a590-0e040a48b39b",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}