As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Registrando AWS KMS API chamadas com AWS CloudTrail
AWS KMS é integrado com AWS CloudTrail, um serviço que registra todas as chamadas feitas AWS KMS por usuários, funções e outros AWS serviços. CloudTrail captura todas as API chamadas para AWS KMS como eventos, incluindo chamadas do AWS KMS console AWS KMS APIs, AWS CloudFormation modelos, do AWS Command Line Interface (AWS CLI) e. AWS Tools for PowerShell
CloudTrail registra todas as AWS KMS operações, incluindo operações somente para leitura, como ListAliasese GetKeyRotationStatus, operações que gerenciam KMS chaves, como CreateKeye, e operações criptográficas PutKeyPolicy, como GenerateDataKeye Decrypt. Ele também registra operações internas que AWS KMS chamam por você DeleteExpiredKeyMaterial, como DeleteKeySynchronizeMultiRegionKey,, RotateKeye.
CloudTrail registra todas as operações bem-sucedidas e, em alguns cenários, tentativas de chamadas que falharam, como quando o chamador não tem acesso a um recurso. As operações entre contas nas KMS chaves são registradas na conta do chamador e na conta do proprietário da KMS chave. No entanto, as AWS KMS solicitações entre contas que são rejeitadas porque o acesso foi negado são registradas somente na conta do chamador.
Por motivos de segurança, alguns campos são omitidos das entradas de AWS KMS registro, como o Plaintext parâmetro de uma solicitação Encrypt e a resposta GetKeyPolicyou qualquer operação criptográfica. Para facilitar a pesquisa de entradas de CloudTrail registro para KMS chaves específicas, AWS KMS adiciona a chave ARN da KMS chave afetada ao responseElements campo nas entradas de registro de algumas operações de gerenciamento de AWS KMS chaves, mesmo quando a API operação não retorna a chaveARN.
Embora, por padrão, todas AWS KMS as ações sejam registradas como CloudTrail eventos, você pode excluir AWS KMS ações de uma CloudTrail trilha. Para obter detalhes, consulte Excluindo AWS KMS eventos de uma trilha.
Saiba mais:
-
Para obter exemplos de CloudTrail registros de AWS KMS operações para um enclave AWS Nitro, consulte. Solicitações de monitoramento para Nitro enclaves
Tópicos
Localizando entradas de AWS KMS registro em CloudTrail
Para pesquisar entradas de CloudTrail registro, use o CloudTrail console ou a CloudTrail LookupEventsoperação. CloudTrail suporta vários valores de atributos para filtrar sua pesquisa, incluindo nome do evento, nome do usuário e fonte do evento.
Para ajudá-lo a pesquisar entradas de AWS KMS registro em CloudTrail, AWS KMS preenche os seguintes campos de entrada de CloudTrail registro.
nota
A partir de dezembro de 2022, AWS KMS preenche os atributos Tipo de recurso e Nome do recurso em todas as operações de gerenciamento que alteram uma KMS chave específica. Esses valores de atributos podem ser nulos em CloudTrail entradas mais antigas para as seguintes operações: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias, e. UpdatePrimaryRegion
| Atributo | Valor | Entradas de log |
|---|---|---|
Origem do evento (EventSource) |
kms.amazonaws.com |
Todas as operações. |
Tipo de recurso (ResourceType) |
AWS::KMS::Key |
Operações de gerenciamento que alteram uma KMS chave específica, como CreateKey eEnableKey, mas nãoListKeys. |
Nome do recurso (ResourceName) |
Chave ARN (ou ID da chave e chaveARN) | Operações de gerenciamento que alteram uma KMS chave específica, como CreateKey eEnableKey, mas nãoListKeys. |
Para ajudá-lo a encontrar entradas de registro para operações de gerenciamento em KMS chaves específicas, AWS KMS
registra a KMS chave ARN da chave afetada no responseElements.keyId elemento da entrada de registro, mesmo quando a AWS KMS API operação não retorna a chaveARN.
Por exemplo, uma chamada bem-sucedida para a DisableKeyoperação não retorna nenhum valor na resposta, mas em vez de um valor nulo, o responseElements.keyId valor na entrada do DisableKey registro inclui a chave ARN da KMS chave desativada.
Esse recurso foi adicionado em dezembro de 2022 e afeta as seguintes entradas de CloudTrail registro: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias,, UpdatePrimaryRegione.
Excluindo AWS KMS eventos de uma trilha
Para fornecer um registro do uso e gerenciamento de seus AWS KMS recursos, a maioria dos AWS KMS usuários confia nos eventos em uma CloudTrail trilha. A trilha pode ser uma fonte valiosa de dados para auditar eventos críticos, como criar, desativar e excluir AWS KMS keys, alterar a política de chaves e o uso de suas KMS chaves pelos AWS serviços em seu nome. Em alguns casos, os metadados em uma entrada de CloudTrail registro, como o contexto de criptografia em uma operação de criptografia, podem ajudá-lo a evitar ou resolver erros.
No entanto, como AWS KMS pode gerar um grande número de eventos, AWS CloudTrail permite excluir AWS KMS eventos de uma trilha. Essa configuração por trilha exclui todos os AWS KMS eventos; você não pode excluir eventos específicos AWS KMS .
Atenção
A exclusão de AWS KMS eventos de um CloudTrail registro pode obscurecer ações que usam suas chaves. KMS Tenha cuidado ao conceder aos principais a permissão cloudtrail:PutEventSelectors que é necessária para executar essa operação.
Para excluir AWS KMS eventos de uma trilha:
-
No CloudTrail console, use a configuração Registrar eventos do Serviço de Gerenciamento de Chaves ao criar uma trilha ou atualizar uma trilha. Para obter instruções, consulte Registrar eventos de gerenciamento com o AWS Management Console no Guia AWS CloudTrail do usuário.
-
No CloudTrail API, use a PutEventSelectorsoperação. Adicione o atributo
ExcludeManagementEventSourcesaos seletores de eventos com um valor dekms.amazonaws.com. Para ver um exemplo, consulte Exemplo: uma trilha que não registra AWS Key Management Service eventos no Guia do AWS CloudTrail usuário.
É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. A trilha então começará a registrar AWS KMS os eventos. No entanto, ele não pode recuperar AWS KMS eventos que ocorreram enquanto a exclusão era efetiva.
Quando você exclui AWS KMS eventos usando o console ouAPI, a CloudTrail PutEventSelectors API operação resultante também é registrada em seus CloudTrail registros. Se AWS KMS
os eventos não aparecerem nos seus CloudTrail registros, procure um PutEventSelectors evento com o ExcludeManagementEventSources atributo definido comokms.amazonaws.com.
