As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitorar AWS KMS keys
O monitoramento é uma parte importante para entender a disponibilidade, o estado e o uso de suas AWS KMS keys informações AWS KMS e manter a confiabilidade, a disponibilidade e o desempenho de suas AWS soluções. Coletar dados de monitoramento de todas as partes de sua solução da AWS irá ajudá-lo a depurar uma falha de vários pontos, caso ocorra. Porém, para começar a monitorar suas chaves do KMS, é necessário criar um plano de monitoramento que inclua respostas às seguintes perguntas:
+ Quais são seus objetivos de monitoramento?
+ Quais recursos você vai monitorar?
+ Com que frequência você vai monitorar esses recursos?
+ Quais [ferramentas de monitoramento](#monitoring-tools) você usará?
+ Quem realizará o monitoramento das tarefas?
+ Quem deve ser notificado quando algo acontece?
A próxima etapa é monitorar as chaves do KMS ao longo do tempo para estabelecer uma linha de base para a utilização normal do AWS KMS e as expectativas no ambiente. Ao monitorar as suas chaves do KMS, armazene dados de monitoramento históricos para compará-los com os dados atuais, identificar padrões normais e anomalias e elaborar métodos para resolver problemas.
Por exemplo, você pode monitorar a atividade e os eventos AWS KMS da API que afetam suas chaves KMS. Quando os dados ficam acima ou abaixo das normas estabelecidas, pode ser necessário investigar ou executar a ação corretiva.
Para estabelecer uma linha de base para padrões normais, monitore os seguintes itens:
+ AWS KMS Atividade de API para operações *de plano de dados*. [Essas são [operações criptográficas](kms-cryptography.md#cryptographic-operations) que usam uma chave KMS, como [Decrypt, Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), e. [ReEncrypt[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ AWS KMS Atividade de API para operações *de plano de controle* que são importantes para você. Essas operações gerenciam uma chave KMS, e talvez você queira monitorar aquelas que alteram a disponibilidade de uma chave KMS (como [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html),,, [CancelKeyDeletion[DisableKey[EnableKey[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html), e [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)) ou alteram o controle de acesso de uma chave KMS (como [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)e). [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)
+ Outras AWS KMS métricas (como o tempo restante até que seu [material de chave importado](importing-keys.md) expire) e eventos (como a expiração do material de chave importado ou a exclusão ou rotação de chaves de uma chave KMS).
## Ferramentas de monitoramento
AWS fornece várias ferramentas que você pode usar para monitorar suas chaves KMS. É possível configurar algumas dessas ferramentas para fazer o monitoramento em seu lugar, e, ao mesmo tempo, algumas das ferramentas exigem intervenção manual. Recomendamos que as tarefas de monitoramento sejam automatizadas ao máximo possível.
### Ferramentas de monitoramento automatizadas
Use as seguintes ferramentas de monitoramento automatizadas para observar suas chaves do KMS e gerar relatórios quando algo for alterado.
+ **AWS CloudTrail Monitoramento** de registros — compartilhe arquivos de log entre contas, monitore arquivos de CloudTrail log em tempo real enviando-os para o CloudWatch Logs, grave aplicativos de processamento de log com a [Biblioteca de CloudTrail Processamento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) e valide se seus arquivos de log não foram alterados após a entrega. CloudTrail Para obter mais informações, consulte [Trabalhando com arquivos de CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) no *Guia AWS CloudTrail do usuário*.
+ **Amazon CloudWatch Alarms** — Observe uma única métrica durante um período de tempo especificado por você e execute uma ou mais ações com base no valor da métrica em relação a um determinado limite em vários períodos. A ação é uma notificação enviada para um tópico do Amazon Simple Notification Service (Amazon SNS) ou para uma política do Amazon Auto EC2 Scaling. CloudWatch os alarmes não invocam ações simplesmente porque estão em um determinado estado; o estado deve ter sido alterado e mantido por um determinado número de períodos. Para obter mais informações, consulte [Monitore as chaves KMS com a Amazon CloudWatch](monitoring-cloudwatch.md).
+ **Amazon EventBridge** — Combine eventos e encaminhe-os para uma ou mais funções ou fluxos de destino para capturar informações sobre o estado e, se necessário, fazer alterações ou tomar medidas corretivas. Para obter mais informações, consulte [Monitore as chaves KMS com a Amazon EventBridge](kms-events.md) o [Guia do EventBridge usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ **Amazon CloudWatch Logs** — Monitore, armazene e acesse seus arquivos de log de AWS CloudTrail ou de outras fontes. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
### Ferramentas de monitoramento manual
Outra parte importante do monitoramento das chaves KMS envolve o monitoramento manual dos itens que os CloudWatch alarmes e eventos não cobrem. Os AWS painéis AWS KMS CloudWatch, AWS Trusted Advisor,, e outros fornecem uma at-a-glance visão do estado do seu AWS ambiente.
É possível [personalizar](viewing-console-customize.md#console-customize-tables) as páginas **Chaves gerenciadas pela AWS** e **Chaves gerenciadas pelo cliente** do [console do AWS KMS](https://console.aws.amazon.com/kms) para exibir as seguintes informações sobre cada chave do KMS:
+ ID da chave
+ Status
+ Data de Criação
+ Data de validade (para chaves do KMS com [material de chave importado](importing-keys.md))
+ Origem
+ ID de armazenamento de chave personalizado (para chaves do KMS em [armazenamentos de chaves personalizados](key-store-overview.md#custom-key-store-overview))
O [painel do console do CloudWatch ](https://console.aws.amazon.com/cloudwatch/home) mostra o seguinte:
+ Alertas e status atual
+ Gráficos de alertas e recursos
+ Estado de integridade do serviço
Além disso, você pode usar CloudWatch para fazer o seguinte:
+ Crie [painéis personalizados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) para monitorar os serviços com os quais você se preocupa.
+ Colocar em gráfico dados de métrica para solucionar problemas e descobrir tendências
+ Pesquise e navegue em todas as suas métricas AWS de recursos
+ Criar e editar alertas para ser notificado sobre problemas
AWS Trusted Advisor pode ajudá-lo a monitorar seus AWS recursos para melhorar o desempenho, a confiabilidade, a segurança e a economia. Quatro Trusted Advisor cheques estão disponíveis para todos os usuários; mais de 50 cheques estão disponíveis para usuários com um plano de suporte Business ou Enterprise. Para obter mais informações, consulte [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/).
# Registrando chamadas de AWS KMS API com AWS CloudTrail
AWS KMS é integrado com [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/), um serviço que registra todas as chamadas feitas AWS KMS por usuários, funções e outros AWS serviços. CloudTrail captura todas as chamadas de API para AWS KMS como eventos, incluindo chamadas do AWS KMS console AWS KMS APIs, CloudFormation modelos, do AWS Command Line Interface (AWS CLI) e. Ferramentas da AWS para PowerShell
CloudTrail [registra todas as AWS KMS operações, incluindo operações somente para leitura, como [ListAliases](ct-listaliases.md)e [GetKeyRotationStatus](ct-getkeyrotationstatus.md), operações que gerenciam chaves KMS, como e, [CreateKey](ct-createkey.md)e [operações criptográficas [PutKeyPolicy](ct-put-key-policy.md)](kms-cryptography.md#cryptographic-operations), como e Decrypt. [GenerateDataKey](ct-generatedatakey.md)](ct-decrypt.md) Ele também registra operações internas que AWS KMS chamam por você [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md), como [DeleteKey[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)](ct-delete-key.md),, [RotateKey](ct-rotatekey.md)e.
CloudTrail registra todas as operações bem-sucedidas e, em alguns cenários, tentativas de chamadas que falharam, como quando o chamador não tem acesso a um recurso. As [operações entre contas em chaves do KMS](key-policy-modifying-external-accounts.md) são registradas em log na conta do autor da chamada e na conta do proprietário da chave do KMS. No entanto, as AWS KMS solicitações entre contas que são rejeitadas porque o acesso foi negado são registradas somente na conta do chamador.
Por motivos de segurança, alguns campos são omitidos das entradas de AWS KMS registro, como o `Plaintext` parâmetro de uma solicitação [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) e a resposta [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)ou qualquer operação criptográfica. Para facilitar a pesquisa de entradas de CloudTrail registro para chaves KMS específicas, AWS KMS adiciona o [ARN da chave](concepts.md#key-id-key-ARN) KMS afetada ao `responseElements` campo nas entradas de registro de AWS KMS algumas operações de gerenciamento de chaves, mesmo quando a operação da API não retorna o ARN da chave.
Embora, por padrão, todas AWS KMS as ações sejam registradas como CloudTrail eventos, você pode excluir AWS KMS ações de uma CloudTrail trilha. Para obter detalhes, consulte [Excluindo AWS KMS eventos de uma trilha](#filtering-kms-events).
**Saiba mais:**
+ Para obter exemplos de CloudTrail registros de AWS KMS operações para plataformas certificadas, consulte[Monitorar solicitações atestadas](ct-attestation.md).
**Topics**
+ [Localizando entradas de AWS KMS registro em CloudTrail](#searching-kms-ct)
+ [Excluindo AWS KMS eventos de uma trilha](#filtering-kms-events)
+ [Exemplos de entradas de AWS KMS registro](understanding-kms-entries.md)
## Localizando entradas de AWS KMS registro em CloudTrail
Para pesquisar entradas de CloudTrail registro, use o [CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) ou a [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)operação. CloudTrail suporta vários [valores de atributos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) para filtrar sua pesquisa, incluindo nome do evento, nome do usuário e fonte do evento.
Para ajudá-lo a pesquisar entradas de AWS KMS registro em CloudTrail, AWS KMS preenche os seguintes campos de entrada de CloudTrail registro.
**nota**
A partir de dezembro de 2022, AWS KMS preenche os atributos **Tipo de recurso** e **Nome do recurso** em todas as operações de gerenciamento que alteram uma chave KMS específica. Esses valores de atributos podem ser nulos em CloudTrail entradas mais antigas para as seguintes operações: [CreateAlias[CreateGrant[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html), [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html), e. [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)
| Atributo | Valor | Entradas de log |
| --- | --- | --- |
| Origem do evento (EventSource) | kms.amazonaws.com | Todas as operações. |
| Tipo de recurso (ResourceType) | AWS::KMS::Key | Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys. |
| Nome do recurso (ResourceName) | ARN da chave (ou ID da chave e ARN da chave) | Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys. |
Para ajudá-lo a encontrar entradas de registro para operações de gerenciamento em chaves KMS específicas, AWS KMS registra o ARN da chave KMS afetada no elemento `responseElements.keyId` da entrada de registro, mesmo quando a operação da API não AWS KMS retorna o ARN da chave.
Por exemplo, uma chamada bem-sucedida para a [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operação não retorna nenhum valor na resposta, mas em vez de um valor nulo, o `responseElements.keyId` valor na [entrada do DisableKey registro](ct-disablekey.md) inclui o ARN da chave KMS desativada.
Esse recurso foi adicionado em dezembro de 2022 e afeta as seguintes entradas de CloudTrail registro: [CreateAlias[CreateGrant[DeleteAlias](ct-deletealias.md)](ct-creategrant.md)](ct-createalias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource](ct-untagresource.md), [UpdateAlias](ct-updatealias.md),, [UpdatePrimaryRegion](ct-update-primary-region.md)e.
## Excluindo AWS KMS eventos de uma trilha
Para fornecer um registro do uso e gerenciamento de seus AWS KMS recursos, a maioria dos AWS KMS usuários confia nos eventos em uma CloudTrail trilha. A trilha pode ser uma fonte valiosa de dados para auditar eventos críticos, como criar, desativar e excluir AWS KMS keys, alterar a política de chaves e o uso de suas chaves KMS por AWS serviços em seu nome. Em alguns casos, os metadados em uma entrada de CloudTrail registro, como o [contexto de criptografia](encrypt_context.md) em uma operação de criptografia, podem ajudá-lo a evitar ou resolver erros.
No entanto, como AWS KMS pode gerar um grande número de eventos, AWS CloudTrail permite excluir AWS KMS eventos de uma trilha. Essa configuração por trilha exclui todos os AWS KMS eventos; você não pode excluir eventos específicos AWS KMS .
**Atenção**
A exclusão de AWS KMS eventos de um CloudTrail registro pode obscurecer ações que usam suas chaves KMS. Tenha cuidado ao conceder aos principais a permissão `cloudtrail:PutEventSelectors` que é necessária para executar essa operação.
Para excluir AWS KMS eventos de uma trilha:
+ No CloudTrail console, use a configuração **Registrar eventos do Serviço de Gerenciamento de Chaves** ao [criar uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) ou [atualizar uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Para obter instruções, consulte [Registrar eventos de gerenciamento com o Console de gerenciamento da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html) no Guia AWS CloudTrail do usuário.
+ Na CloudTrail API, use a [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operação. Adicione o atributo `ExcludeManagementEventSources` aos seletores de eventos com um valor de `kms.amazonaws.com`. Por exemplo, consulte [Exemplo: uma trilha que não registra AWS Key Management Service eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms) no Guia do AWS CloudTrail usuário.
É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. A trilha então começará a registrar AWS KMS os eventos. No entanto, ele não pode recuperar AWS KMS eventos que ocorreram enquanto a exclusão era efetiva.
Quando você exclui AWS KMS eventos usando o console ou a API, a operação de CloudTrail `PutEventSelectors` API resultante também é registrada nos seus CloudTrail registros. Se AWS KMS os eventos não aparecerem nos seus CloudTrail registros, procure um `PutEventSelectors` evento com o `ExcludeManagementEventSources` atributo definido como`kms.amazonaws.com`.
# Exemplos de entradas de AWS KMS registro
AWS KMS grava entradas no seu CloudTrail registro quando você chama uma AWS KMS operação e quando um AWS serviço chama uma operação em seu nome. AWS KMS também grava uma entrada quando chama uma operação para você. Por exemplo, ele grava uma entrada quando [exclui uma chave do KMS](ct-delete-key.md) que você agendou para exclusão.
Os tópicos a seguir mostram exemplos de entradas de CloudTrail registro para AWS KMS operações.
Para obter exemplos de entradas de CloudTrail registro de solicitações AWS KMS de plataformas certificadas, consulte[Monitorar solicitações atestadas](ct-attestation.md).
**Topics**
+ [CancelKeyDeletion](ct-cancel-key-deletion.md)
+ [ConnectCustomKeyStore](ct-connect-keystore.md)
+ [CreateAlias](ct-createalias.md)
+ [CreateCustomKeyStore](ct-create-keystore.md)
+ [CreateGrant](ct-creategrant.md)
+ [CreateKey](ct-createkey.md)
+ [Decrypt](ct-decrypt.md)
+ [DeleteAlias](ct-deletealias.md)
+ [DeleteCustomKeyStore](ct-delete-keystore.md)
+ [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)
+ [DeleteImportedKeyMaterial](ct-deleteimportedkeymaterial.md)
+ [DeleteKey](ct-delete-key.md)
+ [DescribeCustomKeyStores](ct-describe-keystores.md)
+ [DescribeKey](ct-describekey.md)
+ [DisableKey](ct-disablekey.md)
+ [DisableKeyRotation](ct-disable-key-rotation.md)
+ [DisconnectCustomKeyStore](ct-disconnect-keystore.md)
+ [EnableKey](ct-enablekey.md)
+ [EnableKeyRotation](ct-enablekeyrotation.md)
+ [Encrypt](ct-encrypt.md)
+ [GenerateDataKey](ct-generatedatakey.md)
+ [GenerateDataKeyPair](ct-generatedatakeypair.md)
+ [GenerateDataKeyPairWithoutPlaintext](ct-generatedatakeypairwithoutplaintext.md)
+ [GenerateDataKeyWithoutPlaintext](ct-generatedatakeyplaintext.md)
+ [GenerateMac](ct-generatemac.md)
+ [GenerateRandom](ct-generaterandom.md)
+ [GetKeyPolicy](ct-getkeypolicy.md)
+ [GetKeyRotationStatus](ct-getkeyrotationstatus.md)
+ [GetParametersForImport](ct-getparametersforimport.md)
+ [ImportKeyMaterial](ct-importkeymaterial.md)
+ [ListAliases](ct-listaliases.md)
+ [ListGrants](ct-listgrants.md)
+ [ListKeyRotations](ct-listkeyrotations.md)
+ [PutKeyPolicy](ct-put-key-policy.md)
+ [ReEncrypt](ct-reencrypt.md)
+ [ReplicateKey](ct-replicate-key.md)
+ [RetireGrant](ct-retire-grant.md)
+ [RevokeGrant](ct-revoke-grant.md)
+ [RotateKey](ct-rotatekey.md)
+ [RotateKeyOnDemand](ct-rotatekeyondemand.md)
+ [ScheduleKeyDeletion](ct-schedule-key-deletion.md)
+ [Sign](ct-sign.md)
+ [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)
+ [TagResource](ct-tagresource.md)
+ [UntagResource](ct-untagresource.md)
+ [UpdateAlias](ct-updatealias.md)
+ [UpdateCustomKeyStore](ct-update-keystore.md)
+ [UpdateKeyDescription](ct-update-key-description.md)
+ [UpdatePrimaryRegion](ct-update-primary-region.md)
+ [VerifyMac](ct-verifymac.md)
+ [Verificar](ct-verify.md)
+ [Amazon EC2 , exemplo um](ct-ec2one.md)
+ [Amazon EC2 , exemplo dois](ct-ec2two.md)
# CancelKeyDeletion
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)operação. Para obter informações sobre a exclusão AWS KMS keys, consulte[Excluir um AWS KMS key](deleting-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T21:53:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CancelKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "e3452e68-d4b0-4ec7-a768-7ae96c23764f",
"eventID": "d818bf03-6655-48e9-8b26-f279a07075fd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ConnectCustomKeyStore
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operação. Para obter informações sobre conexão de um armazenamento de chaves personalizado, consulte [Desconectar um armazenamento de AWS CloudHSM chaves](connect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ConnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateAlias
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operação. O elemento `resources` inclui campos para o alias e recursos de chaves do KMS. Para obter informações sobre a criação de aliases em AWS KMS, consulte[Criar alias](alias-create.md).
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-14T23:08:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/ExampleAlias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "caec1e0c-ce03-419e-bdab-6ab1f7c57c01",
"eventID": "2dd6e784-8286-46a6-befd-d64e5a02fb28",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# CreateCustomKeyStore
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada pela chamada da [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operação em um armazenamento de AWS CloudHSM chaves. Para obter informações sobre a criação de armazenamentos de chaves personalizados, consulte [Crie um armazenamento de AWS CloudHSM chaves](create-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateGrant
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação. Para obter informações sobre a criação de subsídios em AWS KMS, consulte[Subsídios em AWS KMS](grants.md).
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:53:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"constraints": {
"encryptionContextSubset": {
"ContextKey1": "Value1"
}
},
"operations": ["Encrypt",
"RetireGrant"],
"granteePrincipal": "EX_PRINCIPAL_ID"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# CreateKey
Esses exemplos mostram entradas de AWS CloudTrail registro da [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação.
Uma entrada de `CreateKey` registro pode resultar de uma `CreateKey` solicitação ou da `CreateKey` operação de uma [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)solicitação.
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação que cria uma chave [KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks). Para obter mais informações sobre como criar chaves do KMS, consulte [Criar uma chave do KMS](create-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-10T22:38:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"description": "",
"origin": "EXTERNAL",
"bypassPolicyLockoutSafetyCheck": false,
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"keyUsage": "ENCRYPT_DECRYPT"
},
"responseElements": {
"keyMetadata": {
"AWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Aug 10, 2022, 10:38:27 PM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "PendingImport",
"origin": "EXTERNAL",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"requestID": "1aef6713-0223-4ff7-9a6d-781360521930",
"eventID": "36327b37-f4f6-40a9-92ab-48064ec905a2",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
O exemplo a seguir mostra o CloudTrail log de uma `CreateKey` operação que cria uma chave KMS de criptografia simétrica em um armazenamento de [AWS CloudHSM chaves](keystore-cloudhsm.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-14T17:39:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyUsage": "ENCRYPT_DECRYPT",
"bypassPolicyLockoutSafetyCheck": false,
"origin": "AWS_CLOUDHSM",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"customKeyStoreId": "cks-1234567890abcdef0",
"description": ""
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"creationDate": "Oct 14, 2021, 5:39:50 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "AWS_CLOUDHSM",
"customKeyStoreId": "cks-1234567890abcdef0",
"cloudHsmClusterId": "cluster-1a23b4cdefg",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"additionalEventData": {
"backingKey": "{\"backingKeyId\":\"backing-key-id\"}"
},
"requestID": "4f0b185c-588c-4767-9e90-c618f7e13cad",
"eventID": "c73964b8-703d-49e4-bd9e-f773d0ee1e65",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
O exemplo a seguir mostra o CloudTrail log de uma `CreateKey` operação que cria uma chave KMS de criptografia simétrica em um armazenamento de [chaves externo](keystore-external.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-07T22:37:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"tags": [],
"keyUsage": "ENCRYPT_DECRYPT",
"description": "",
"origin": "EXTERNAL_KEY_STORE",
"multiRegion": false,
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"bypassPolicyLockoutSafetyCheck": false,
"customKeyStoreId": "cks-1234567890abcdef0",
"xksKeyId": "bb8562717f809024"
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Dec 7, 2022, 10:37:45 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "EXTERNAL_KEY_STORE",
"customKeyStoreId": "cks-1234567890abcdef0",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false,
"xksKeyConfiguration": {
"id": "bb8562717f809024"
}
}
},
"requestID": "ba197c82-3ac7-487a-8ff4-7736bbeb1316",
"eventID": "838ad5f4-5fdd-4044-afd7-4dbd88c6af56",
"readOnly": false,
"resources": [
{
"accountId": "227179770375",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:227179770375:key/39c5eb22-f37c-4956-92ca-89e8f8b57ab2"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Decrypt
Esses exemplos mostram entradas de AWS CloudTrail registro para a operação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
A entrada de CloudTrail registro de uma `Decrypt` operação sempre inclui o `encryptionAlgorithm` in the, `requestParameters` mesmo que o algoritmo de criptografia não tenha sido especificado na solicitação. O texto cifrado na solicitação e o texto sem formatação na resposta são omitidos.
**Topics**
+ [Descriptografar com uma chave de criptografia simétrica padrão](#ct-decrypt-default)
+ [Descriptografar falhas com uma chave de criptografia simétrica padrão](#ct-decrypt-fail)
+ [Descriptografar com uma chave KMS em um armazenamento de chaves AWS CloudHSM](#ct-decrypt-hsm)
+ [Descriptografar com uma chave do KMS em um armazenamento de chaves externas](#ct-decrypt-xks)
+ [Descriptografar falhas com uma chave do KMS em um armazenamento de chaves externas](#ct-decrypt-xks-fail)
+ [Descriptografe com uma chave de criptografia simétrica padrão em uma conexão TLS pós-quântica](#ct-decrypt-default-pqtls)
## Descriptografar com uma chave de criptografia simétrica padrão
Veja a seguir um exemplo de entrada de CloudTrail registro para uma `Decrypt` operação com uma chave de criptografia simétrica padrão.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## Descriptografar falhas com uma chave de criptografia simétrica padrão
O exemplo de entrada de CloudTrail registro a seguir registra uma `Decrypt` operação com falha com uma chave KMS de criptografia simétrica padrão. A exceção (`errorCode`) e a mensagem de erro (`errorMessage`) foram incluídas para ajudar a resolver o erro.
Nesse caso, a chave do KMS de criptografia simétrica especificada na solicitação `Decrypt` não era a chave do KMS de criptografia simétrica usada para criptografar os dados.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## Descriptografar com uma chave KMS em um armazenamento de chaves AWS CloudHSM
O exemplo de entrada de CloudTrail registro a seguir `Decrypt` registra uma operação com uma chave KMS em um [armazenamento de AWS CloudHSM chaves](keystore-cloudhsm.md). Todas as entradas de log para operações criptográficas com uma chave do KMS em um repositório de chaves personalizado incluem um campo `additionalEventData` com `customKeyStoreId` e `backingKeyId`. O valor retornado no campo `backingKeyId` é o atributo `id` da chave do CloudHSM. `additionalEventData` não é especificado na solicitação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Descriptografar com uma chave do KMS em um armazenamento de chaves externas
O exemplo de entrada de CloudTrail registro a seguir `Decrypt` registra uma operação com uma chave KMS em um [armazenamento de chaves externo](keystore-external.md). Além de `customKeyStoreId`, o campo `additionalEventData` inclui o [ID da chave externa](keystore-external.md#concept-external-key) (`XksKeyId`). `additionalEventData` não é especificado na solicitação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Descriptografar falhas com uma chave do KMS em um armazenamento de chaves externas
O exemplo de entrada de CloudTrail registro a seguir registra uma falha na solicitação de uma `Decrypt` operação com uma chave KMS em um [armazenamento de chaves externo](keystore-external.md). CloudWatch registra solicitações que falham, além de solicitações bem-sucedidas. Ao registrar uma falha, a entrada do CloudTrail registro inclui a exceção (ErrorCode) e a mensagem de erro que a acompanha (ErrorMessage).
Se a solicitação com falha atingir seu proxy de armazenamento de chaves externas, como neste exemplo, você poderá usar o valor `requestId` para associar a solicitação com falha a uma solicitação correspondente que seu proxy de armazenamento de chaves externas registra, se o proxy os fornecer.
Para obter ajuda com solicitações `Decrypt` em armazenamentos de chaves externas, consulte [Erros de descriptografia](xks-troubleshooting.md#fix-xks-decrypt).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Descriptografe com uma chave de criptografia simétrica padrão em uma conexão TLS pós-quântica
Veja a seguir um exemplo de entrada de CloudTrail registro para uma `Decrypt` operação com uma chave de criptografia simétrica padrão em uma conexão TLS pós-quântica. O campo KeyExchange na `tlsDetails` seção `X25519MLKEM768` menciona. [Esse é um algoritmo *híbrido* que combina a [curva elíptica Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH) com a [curva 25519](https://en.wikipedia.org/wiki/Curve25519), um algoritmo clássico de troca de chaves usado atualmente no TLS, com o [mecanismo de encapsulamento de chaves baseado em rede modular (), um algoritmo de criptografia de chave pública e estabelecimento de chaves que o Instituto Nacional de Padrões e Tecnologia (NISTML-KEM) designou como seu primeiro algoritmo padrão de acordo de chave pós-quântico](https://csrc.nist.gov/pubs/fips/203/final).](https://csrc.nist.gov/pubs/fips/203/final)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```
# DeleteAlias
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)operação. Para obter informações sobre como excluir aliases, consulte [Excluir um alias](alias-delete.md).
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-04T00:52:27Z"
}
}
},
"eventTime": "2014-11-04T00:52:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteAlias",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9542792-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "12f48554-bb04-4991-9cfc-e7e85f68eda0",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-east-1:111122223333:alias/my_alias",
"accountId": "111122223333"
},
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DeleteCustomKeyStore
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operação. Para obter informações sobre a criação de armazenamentos de chaves personalizados, consulte [Excluir um armazenamento de AWS CloudHSM chaves](delete-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DeleteExpiredKeyMaterial
Ao importar material de chave para uma AWS KMS key (chave KMS), você pode definir uma data e hora de expiração para esse material de chave. AWS KMS registra uma entrada em seu CloudTrail registro quando você [importa o material da chave](ct-importkeymaterial.md) (com as configurações de expiração) e quando AWS KMS exclui o material da chave expirada. Para obter informações sobre como criar uma chave do KMS com o material de chave importado, consulte [Importação de material chave para AWS KMS chaves](importing-keys.md).
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao AWS KMS excluir o material da chave expirada.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-22T19:55:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteExpiredKeyMaterial",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "cfa932fd-0d3a-4a76-a8b8-616863a2b547",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"eventCategory": "Management"
}
```
# DeleteImportedKeyMaterial
Se você importar material de chave em uma chave KMS, poderá excluir o material de chave importado a qualquer momento usando a [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)operação. Quando você exclui o material de chave importado de uma chave do KMS, o estado da chave da chave do KMS é alterado para `PendingImport`, e a chave do KMS não pode ser usada em operações de criptografia. Para obter detalhes, consulte [Excluir material de chave importado](importing-keys-delete-key-material.md).
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada para a `DeleteImportedKeyMaterial` operação.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteImportedKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "dcf0e82f-dad0-4622-a378-a5b964ad42c1",
"eventID": "2afbb991-c668-4641-8a00-67d62e1fecbd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# DeleteKey
Esses exemplos mostram a entrada de AWS CloudTrail registro que é gerada quando uma chave KMS é excluída. Para excluir uma chave KMS, você usa a [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operação. Depois que o período de espera especificado expirar, AWS KMS exclui a chave KMS e registra uma entrada como a seguinte em seu registro para CloudTrail registrar esse evento.
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
Para obter um exemplo da entrada de CloudTrail registro da `ScheduleKeyDeletion` operação, consulte[ScheduleKeyDeletion](ct-schedule-key-deletion.md). Para informações sobre como excluir chaves do KMS, consulte[Excluir um AWS KMS key](deleting-keys.md).
O exemplo de entrada de CloudTrail registro a seguir registra uma `DeleteKey` operação de uma chave KMS com material de chave inserido. AWS KMS
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-07-31T00:07:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "b25f9cda-74e1-4458-847b-4972a0bf9668",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
A entrada de CloudTrail registro a seguir registra uma `DeleteKey` operação de uma chave KMS em um [armazenamento de chaves AWS CloudHSM personalizado](key-store-overview.md#custom-key-store-overview).
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"SUCCESS\"}]"
},
"eventID": "1234585c-4b0c-4340-ab11-662414b79239",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
# DescribeCustomKeyStores
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação. Para obter informações sobre visualização de armazenamentos de chaves personalizados, consulte [Exibir uma loja de AWS CloudHSM chaves](view-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeCustomKeyStores",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "2ea1735f-628d-43e3-b2ee-486d02913a78",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DescribeKey
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação. AWS KMS registra uma entrada como a seguinte quando você chama a `DescribeKey` operação ou [visualiza as chaves KMS](viewing-keys.md) no AWS KMS console. Essa chamada é o resultado da visualização de uma chave no console AWS KMS de gerenciamento.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-26T18:01:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKey
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operação. Para obter informações sobre como ativar e desativar o AWS KMS keys in AWS KMS, consulte[Habilitar e desabilitar chaves](enabling-keys.md).
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKeyRotation
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)operação. Para obter informações sobre alternância automática de chaves, consulte [Girar AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:31:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "d6a9351a-ed6e-4581-88d1-2a9a8a538497",
"eventID": "6313164c-83aa-4cc3-9e1a-b7c426f7a5b1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# DisconnectCustomKeyStore
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operação. Para obter informações sobre desconexão de um armazenamento de chaves personalizado, consulte [Desconectar um armazenamento de AWS CloudHSM chaves](disconnect-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisconnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# EnableKey
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)operação. Para obter informações sobre como ativar e desativar o AWS KMS keys in AWS KMS, consulte.. [Habilitar e desabilitar chaves](enabling-keys.md)
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:20Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d528a6fb-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "be393928-3629-4370-9634-567f9274d52e",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# EnableKeyRotation
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro de uma chamada para a [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operação. Para obter um exemplo da entrada de CloudTrail registro que é gravada quando a chave é girada, consulte[RotateKey](ct-rotatekey.md). Para obter informações sobre a alternância de AWS KMS keys, consulte [Girar AWS KMS keys](rotate-keys.md).
**nota**
[rotation-period](rotate-keys.md#rotation-period) é um parâmetro opcional de solicitação. Se você não especificar um período de alternância ao habilitar a alternância automática de chaves, o valor padrão será de 365 dias.
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:41:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"rotationPeriodInDays": 180
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "81f5b794-452b-4d6a-932b-68c188165273",
"eventID": "fefc43a7-8e06-419f-bcab-b3bf18d6a401",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Encrypt
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a operação [Criptografar.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"Department": "Engineering"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "f3423043-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "91235988-eb87-476a-ac2c-0cdc244e6dca",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKey
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operação.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKeyPair
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)operação. Este exemplo registra uma operação que gera um par de chaves RSA criptografado com uma AWS KMS key de criptografia simétrica.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyPairWithoutPlaintext
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)operação. Este exemplo registra uma operação que gera um par de chaves RSA criptografado com uma AWS KMS key de criptografia simétrica.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPairWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_4096",
"encryptionContext": {
"Index": "5"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyWithoutPlaintext
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operação.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "d6b8e411-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f7734272-9ec5-4c80-9f36-528ebbe35e4a",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateMac
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)operação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-12-23T19:26:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_512",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# GenerateRandom
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)operação. Como essa operação não usa um AWS KMS key, o `resources` campo está vazio.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyPolicy
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operação. Para obter informações sobre como visualizar a política de chaves de uma chave do KMS, consulte [Visualizar uma política de chave](key-policy-viewing.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:50:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default"
},
"responseElements": null,
"requestID": "93746dd6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "4aa7e4d5-d047-452a-a5a6-2cce282a7e82",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyRotationStatus
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operação. Para obter informações sobre alternância automática e sob demanda de material de chave para uma chave do KMS, consulte [Girar AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T19:16:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyRotationStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12f9b7e8-49b9-4c1c-a7e3-34ac0cdf0467",
"eventID": "3d082126-9e7d-4167-8372-a6cfcbed4be6",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GetParametersForImport
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada quando você usa a [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)operação. Essa operação retorna a chave pública e o token de importação usados ao importar material de chave em uma chave do KMS. A mesma CloudTrail entrada é registrada quando você usa a `GetParametersForImport` operação ou usa o AWS KMS console para [baixar a chave pública e o token de importação](importing-keys-get-public-key-and-token.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:58:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetParametersForImport",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"wrappingAlgorithm": "RSAES_OAEP_SHA_256",
"wrappingKeySpec": "RSA_2048"
},
"responseElements": null,
"requestID": "b5786406-e3c7-43d6-8d3c-6d5ef96e2278",
"eventID": "4023e622-0c3e-4324-bdef-7f58193bba87",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ImportKeyMaterial
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada quando você usa a [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operação. A mesma CloudTrail entrada é registrada quando você usa a `ImportKeyMaterial` operação ou usa o AWS KMS console para [importar material chave](importing-keys-import-key-material.md) para um AWS KMS key.
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ImportKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"validTo": "May 21, 2025, 5:47:45 AM",
"expirationModel": "KEY_MATERIAL_EXPIRES",
"importType": "NEW_KEY_MATERIAL",
"keyMaterialDescription": "ExampleKeyMaterialA"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "89e10ee7-a612-414d-95a2-a128346969fd",
"eventID": "c7abd205-a5a2-4430-bbfa-fc10f3e2d79f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ListAliases
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operação. Como essa operação não usa nenhum alias específico ou AWS KMS key, o `resources` campo está vazio. Para obter informações sobre a visualização de aliases em AWS KMS, consulte[Encontrar o nome e o ARN do alias para uma chave do KMS](alias-view.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:51:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListAliases",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"limit": 5,
"marker": "eyJiIjoiYWxpYXMvZTU0Y2MxOTMtYTMwNC00YzEwLTliZWItYTJjZjA3NjA2OTJhIiwiYSI6ImFsaWFzL2U1NGNjMTkzLWEzMDQtNGMxMC05YmViLWEyY2YwNzYwNjkyYSJ9"
},
"responseElements": null,
"requestID": "bfe6c190-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a27dda7b-76f1-4ac3-8b40-42dfba77bcd6",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListGrants
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [ListGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação. Para obter informações sobre subsídios em AWS KMS, consulte[Subsídios em AWS KMS](grants.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListGrants",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"marker": "eyJncmFudElkIjoiMWY4M2U2ZmM0YTY2NDgxYjQ2Yzc4MTdhM2Y4YmQwMDFkZDNiYmQ1MGVlYTMyY2RmOWFiNWY1Nzc1NDNjYmNmMyIsImtleUFybiI6ImFybjphd3M6dHJlbnQtc2FuZGJveDp1cy1lYXN0LTE6NTc4Nzg3Njk2NTMwOmtleS9lYTIyYTc1MS1lNzA3LTQwZDAtOTJhYy0xM2EyOGZhOWViMTEifQ\u003d\u003d",
"limit": 10
},
"responseElements": null,
"requestID": "e5c23960-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "d24380f5-1b20-4253-8e92-dd0492b3bd3d",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListKeyRotations
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operação. Para obter informações sobre alternância automática e sob demanda de material de chave para uma chave do KMS, consulte [Girar AWS KMS keys](rotate-keys.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeyRotations",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"includeKeyMaterial": "ALL_KEY_MATERIAL"
},
"responseElements": null,
"requestID": "99c88d32-f2db-455e-8a9a-23855258a452",
"eventID": "8ce0e74b-b9c7-45a2-96ef-83136d38068e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# PutKeyPolicy
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operação. Para obter informações sobre como atualizar uma política de chaves, consulte [Alterar uma política de chave](key-policy-modifying.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T20:06:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "PutKeyPolicy",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default",
"policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",\n \"Statement\" : [ {\n \"Sid\" : \"Enable IAM User Permissions\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::111122223333:root\"\n },\n \"Action\" : \"kms:*\",\n \"Resource\" : \"*\"\n } ]\n}",
"bypassPolicyLockoutSafetyCheck": false
},
"responseElements": null,
"requestID": "7bb906fa-dc21-4350-b65c-808ff0f72f55",
"eventID": "c217db1f-903f-4a2f-8f88-9580182d6313",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# ReEncrypt
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)operação. O `resources` campo nessa entrada de registro especifica duas AWS KMS keys, a chave KMS de origem e a chave KMS de destino, nessa ordem.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-22T19:34:55Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceEncryptionContext": {
"Project": "Alpha",
"Department": "Engineering"
},
"destinationKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"destinationEncryptionContext": {
"Level": "3A"
}
},
"responseElements": null,
"additionalEventData": {
"destinationKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"sourceKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "03769fd4-acf9-4b33-adf3-2ab8ca73aadf",
"eventID": "542d9e04-0e8d-4e05-bf4b-4bdeb032e6ec",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ReplicateKey
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operação. Uma `ReplicateKey` solicitação resulta em uma `ReplicateKey` operação e em uma [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação.
Para informações sobre como replicar chaves de várias regiões, consulte [Criar chaves de réplica de várias regiões](multi-region-keys-replicate.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-18T01:29:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReplicateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"replicaRegion": "us-west-2",
"bypassPolicyLockoutSafetyCheck": false,
"description": ""
},
"responseElements": {
"replicaKeyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Nov 18, 2020, 1:29:18 AM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Creating",
"origin": "AWS_KMS",
"keyManager": "CUSTOMER",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": true,
"multiRegionConfiguration": {
"multiRegionKeyType": "REPLICA",
"primaryKey": {
"arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-east-1"
},
"replicaKeys": [
{
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-west-2"
}
]
}
},
"replicaPolicy": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":[{\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:user/Alice\"},\n \"Action\":\"kms:*\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Bob\"},\n \"Action\":\"kms:CreateGrant\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Charlie\"},\n \"Action\":\"kms:Encrypt\",\n \"Resource\":\"*\"\n}]\n}",
},
"requestID": "abcdef68-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "fedcba44-6773-4f96-8763-1993aec9ae6a",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RetireGrant
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operação. Para obter informações sobre a retirada de concessões, consulte [Retirar e revogar concessões](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:39:33Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "1d274d57-5697-462c-a004-f25fcc29fa26",
"eventID": "0771bcfb-3e24-4332-9ac8-e1c06563eecf",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RevokeGrant
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)operação. Para obter informações sobre a revogação de concessões, consulte [Retirar e revogar concessões](grant-delete.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:35:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RevokeGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"responseElements": null,
"requestID": "59d94c03-c5b7-428d-ae6e-f2c4b47d2917",
"eventID": "07a23a39-6526-4ae2-b31e-d35fbe9e24ee",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RotateKey
Esses exemplos mostram as entradas de AWS CloudTrail registro das operações que giram. AWS KMS keys Para informações sobre como alternar chaves do KMS, consulte [Girar AWS KMS keys](rotate-keys.md).
O exemplo a seguir mostra uma entrada de CloudTrail registro para a operação que gira uma chave KMS de criptografia simétrica na qual a rotação automática de chaves está ativada. Para obter informações sobre como habilitar a alternância automática, consulte [Girar AWS KMS keys](rotate-keys.md).
Para obter um exemplo da entrada de CloudTrail registro que registra a `EnableKeyRotation` operação, consulte[EnableKeyRotation](ct-enablekeyrotation.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyOrigin": "AWS_KMS",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma rotação sob demanda iniciada pela [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operação. Para obter informações sobre o rodízio de chaves do KMS de criptografia simétrica sob demanda, consulte [Executar alternância de chaves sob demanda](rotating-keys-on-demand.md).
Para obter um exemplo da entrada de CloudTrail registro que registra a `RotateKeyOnDemand` operação, consulte[RotateKeyOnDemand](ct-rotatekeyondemand.md).
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "ON_DEMAND",
"keyOrigin": "EXTERNAL",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# RotateKeyOnDemand
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operação. Para obter um exemplo da entrada de CloudTrail registro que é gravada quando a chave é girada, consulte[RotateKey](ct-rotatekey.md). Para obter mais informações sobre alternância sob demanda de material de chave para uma chave do KMS, consulte [Executar alternância de chaves sob demanda](rotating-keys-on-demand.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T17:41:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKeyOnDemand",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "9e1dee86-eb84-42fd-8f25-e3fc7dbb32c8",
"eventID": "00a09fbc-20d6-4a58-9b92-7da85984ab77",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# ScheduleKeyDeletion
Esses exemplos mostram entradas de AWS CloudTrail registro da [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operação.
Para obter um exemplo da entrada de CloudTrail registro que é gravada quando a chave é excluída, consulte[DeleteKey](ct-delete-key.md). Para obter informações sobre como excluir AWS KMS keys, consulte [Excluir um AWS KMS key](deleting-keys.md).
O exemplo a seguir registra uma solicitação `ScheduleKeyDeletion` para uma chave do KMS de região única.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-23T18:58:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 20,
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyState": "PendingDeletion",
"deletionDate": "Apr 12, 2021 18:58:30 PM"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
O exemplo a seguir registra uma solicitação `ScheduleKeyDeletion` para uma chave do KMS de várias regiões.
Como AWS KMS não excluirá uma chave multirregional até que todas as chaves de réplica sejam excluídas, no `responseElements` campo, o `keyState` é `PendingReplicaDeletion` e o `deletionDate` campo é omitido.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-28T17:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 30,
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"keyState": "PendingReplicaDeletion",
"pendingWindowInDays": 30
},
"requestID": "12341411-d846-42a6-a476-b1cbe3011f89",
"eventID": "abcda5f-396d-494c-9380-0c47860df5f1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
O exemplo a seguir registra uma `ScheduleKeyDeletion` solicitação de uma chave KMS em um [armazenamento de chaves AWS CloudHSM personalizadas](key-store-overview.md#custom-key-store-overview).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:25:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"pendingWindowInDays": 30
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"deletionDate": "Nov 2, 2021, 11:25:25 PM",
"keyState": "PendingDeletion",
"pendingWindowInDays": 30
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]"
},
"requestID": "abcd9f60-2c9c-4a0b-a456-d5d998f7f321",
"eventID": "ca01996a-01b0-4edd-bbbb-25d7b6d1a6fa",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Sign
Esses exemplos mostram entradas de AWS CloudTrail registro para a operação [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html).
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma operação de [assinatura](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) que usa uma chave RSA KMS assimétrica para gerar uma assinatura digital para um arquivo.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:36:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Sign",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"messageType": "RAW",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256"
},
"responseElements": null,
"requestID": "8d0b35e0-46cf-48b9-be99-bf2ebc9ab9fb",
"eventID": "107b3cac-b125-4556-9702-12a2b9afcff7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# SynchronizeMultiRegionKey
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao AWS KMS sincronizar uma chave [multirregional](multi-region-keys-overview.md). A sincronização envolve chamadas entre regiões para copiar as [propriedades compartilhadas](multi-region-keys-overview.md#mrk-sync-properties) de uma chave primária multirregional para suas chaves de réplica. AWS KMS sincroniza chaves multirregionais periodicamente para garantir que todas as chaves multirregionais relacionadas tenham o mesmo material de chave.
O `resources` elemento da entrada de CloudTrail registro inclui o ARN da chave primária multirregional, incluindo sua. Região da AWS As chaves de réplica de várias regiões relacionadas e suas regiões não estão listadas nessa entrada de log.
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-11-18T02:04:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345681-de97-42e9-bed0-b02ae1abd8dc",
"eventID": "abcdec99-2b5c-4670-9521-ddb8f031e146",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# TagResource
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro de uma chamada para a [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)operação para adicionar uma tag com uma chave de tag de `Department` e um valor de tag de`IT`.
Para obter um exemplo de uma entrada de `UntagResource` CloudTrail registro que é gravada quando a chave é girada, consulte[UntagResource](ct-untagresource.md). Para obter informações sobre marcação AWS KMS keys, consulte[Etiquetas em AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "TagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tags": [
{
"tagKey": "Department",
"tagValue": "IT"
}
]
},
"responseElements": null,
"requestID": "b942584a-f77d-4787-9feb-b9c5be6e746d",
"eventID": "0a091b9b-0df5-4cf9-b667-6f2879532b8f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UntagResource
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro de uma chamada para a [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html)operação para excluir uma tag com uma chave de tag de`Dept`.
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
Para obter um exemplo de uma entrada de `TagResource` CloudTrail registro, consulte[TagResource](ct-tagresource.md). Para informações sobre marcação de AWS KMS keys, consulte [Etiquetas em AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UntagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tagKeys": [
"Dept"
]
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "cb1d507b-6015-47f4-812b-179713af8068",
"eventID": "0b00f4b0-036e-411d-aa75-87eb4a35a4b3",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateAlias
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)operação. O elemento `resources` inclui campos para o alias e recursos de chaves do KMS. Para obter informações sobre a criação de aliases em AWS KMS, consulte[Criar alias](alias-create.md).
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-13T23:18:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9472f40-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f72d3993-864f-48d6-8f16-e26e1ae8dff0",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/my_alias"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateCustomKeyStore
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operação para atualizar o ID do cluster para um armazenamento de chaves personalizado. Para obter informações sobre edição de armazenamentos de chaves personalizados, consulte [Editar configurações de armazenamento de AWS CloudHSM chaves](update-keystore.md).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# UpdateKeyDescription
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro gerada ao chamar a [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:22:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateKeyDescription",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"description": "New key description"
},
"responseElements": null,
"requestID": "8c3c1f8b-336d-4896-b034-4eb9916bc9b3",
"eventID": "f5f3d548-2e9e-4658-8427-9dcb5b1ea791",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# UpdatePrimaryRegion
O exemplo a seguir mostra as entradas de AWS CloudTrail registro que são geradas ao chamar a [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operação em uma [chave multirregional](multi-region-keys-overview.md).
A `UpdatePrimaryRegion` operação grava duas entradas de CloudTrail registro: uma na região com a chave primária multirregional que é convertida em uma chave de réplica e outra na região com uma chave de réplica multirregional que é convertida em uma chave primária.
CloudTrail as entradas de registro dessa operação registradas em ou após dezembro de 2022 incluem o ARN da chave KMS afetada no `responseElements.keyId` valor, mesmo que essa operação não retorne o ARN da chave.
O exemplo a seguir mostra uma entrada de CloudTrail registro na região `UpdatePrimaryRegion` em que a chave multirregional mudou de uma chave primária para uma chave de réplica (us-west-2). O campo `primaryRegion`mostra a região que agora hospeda a chave primária (ap-northeast-1).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
O exemplo a seguir representa a entrada de CloudTrail registro da região `UpdatePrimaryRegion` em que a chave multirregional mudou de uma chave de réplica para uma chave primária (ap-northeast-1). Essa entrada de log não identifica a região primária anterior.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"invokedBy": "kms.amazonaws.com"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "091e6be5-737f-43c6-8431-e3679d6d0619",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# VerifyMac
O exemplo a seguir mostra uma entrada de AWS CloudTrail registro para a [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)operação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-31T19:25:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "VerifyMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_384",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "f35da560-edff-4d6e-9b40-fb306fa9ef1e",
"eventID": "6b464487-6dea-44cd-84ad-225d7450c975",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Verificar
Esses exemplos mostram entradas de AWS CloudTrail registro para a operação [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).
O exemplo a seguir mostra uma entrada de CloudTrail registro para uma operação de [verificação](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) que usa uma chave RSA KMS assimétrica para verificar uma assinatura digital.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:50:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Verify",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"messageType": "RAW"
},
"responseElements": null,
"requestID": "c73ab82a-af82-4750-ae2c-b6bb790e9c28",
"eventID": "3b4331cd-5b7b-4de5-bf5f-82ec22f0dac0",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Amazon EC2 , exemplo um
O exemplo a seguir registra um diretor do IAM criando um volume criptografado usando a chave de volume padrão no console EC2 de gerenciamento da Amazon.
O exemplo a seguir mostra uma entrada de CloudTrail registro na qual a usuária Alice cria um volume criptografado com uma chave de volume padrão no console EC2 de gerenciamento da Amazon. O EC2 registro do arquivo de log inclui um `volumeId` campo com um valor de`"vol-13439757"`. O AWS KMS registro contém um `encryptionContext` campo com um valor de`"aws:ebs:id": "vol-13439757"`. Da mesma forma, o `principalId` e o `accountId` entre os dois registros coincidem. Os registros refletem o fato de que a criação de um volume criptografado gera uma chave de dados que é usada para criptografar o conteúdo do volume.
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:18Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateVolume",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"size": "10",
"zone": "us-east-1a",
"volumeType": "gp2",
"encrypted": true
},
"responseElements": {
"volumeId": "vol-13439757",
"size": "10",
"zone": "us-east-1a",
"status": "creating",
"createTime": 1415220618876,
"volumeType": "gp2",
"iops": 30,
"encrypted": true
},
"requestID": "1565210e-73d0-4912-854c-b15ed349e526",
"eventID": "a3447186-135f-4b00-8424-bc41f1a93b4f",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "&AWS; Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-13439757"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-123456789012-758241111-1415220618",
"eventID": "4bd2a696-d833-48cc-b72c-05e61b608399",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Amazon EC2 , exemplo dois
No exemplo a seguir, um diretor do IAM executando uma EC2 instância da Amazon cria e monta um volume de dados criptografado sob uma chave KMS. Essa ação gera vários registros de CloudTrail log. Para obter mais informações sobre o Amazon EBS e criptografia, consulte [Requirements for Amazon EBS encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-instance-permissions).
Quando o volume é criado, a Amazon EC2, agindo em nome do cliente, obtém uma chave de dados criptografada de AWS KMS (`GenerateDataKeyWithoutPlaintext`). Depois, ele cria uma concessão (`CreateGrant`) que permite descriptografar a chave de dados. Quando o volume é montado, a Amazon EC2 liga AWS KMS para descriptografar a chave de dados (). `Decrypt`
A EC2 instância `instanceId` da Amazon,`"i-81e2f56c"`, aparece no `RunInstances` evento. O mesmo ID de instância qualifica o `granteePrincipal` da concessão que é criada (`"111122223333:aws:ec2-infrastructure:i-81e2f56c"`) e a função assumida que é o principal na chamada de `Decrypt`(`"arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c"`).
O [ARN da chave](concepts.md#key-id-key-ARN) KMS que protege o volume de dados,`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`, aparece em todas as três AWS KMS chamadas (`CreateGrant``GenerateDataKeyWithoutPlaintext`, e). `Decrypt`
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:27Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "RunInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"imageId": "ami-b66ed3de",
"minCount": 1,
"maxCount": 1
}
]
},
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2"
}
]
},
"instanceType": "m3.medium",
"blockDeviceMapping": {
"items": [
{
"deviceName": "/dev/xvda",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": true,
"volumeType": "gp2"
}
},
{
"deviceName": "/dev/sdb",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": false,
"volumeType": "gp2",
"encrypted": true
}
}
]
},
"monitoring": {
"enabled": false
},
"disableApiTermination": false,
"instanceInitiatedShutdownBehavior": "stop",
"clientToken": "XdKUT141516171819",
"ebsOptimized": false
},
"responseElements": {
"reservationId": "r-5ebc9f74",
"ownerId": "111122223333",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"instancesSet": {
"items": [
{
"instanceId": "i-81e2f56c",
"imageId": "ami-b66ed3de",
"instanceState": {
"code": 0,
"name": "pending"
},
"amiLaunchIndex": 0,
"productCodes": {
},
"instanceType": "m3.medium",
"launchTime": 1415223328000,
"placement": {
"availabilityZone": "us-east-1a",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"stateReason": {
"code": "pending",
"message": "pending"
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
},
"virtualizationType": "hvm",
"hypervisor": "xen",
"clientToken": "XdKUT1415223327917",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"networkInterfaceSet": {
},
"ebsOptimized": false
}
]
}
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "cd75a605-2fee-4fda-b847-9c3d330ebaae",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"granteePrincipal": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "c1ad79e3-0d3f-402a-b119-d5c31d7c6a6c",
"readOnly": false,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-111122223333-758247346-1415223332",
"eventID": "ac3cab10-ce93-4953-9d62-0b6e5cba651d",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c",
"accountId": "111122223333",
"accessKeyId": "",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-05T21:35:38Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-infrastructure",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-infrastructure",
"accountId": "111122223333",
"userName": "aws:ec2-infrastructure"
}
}
},
"eventTime": "2014-11-05T21:35:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"responseElements": null,
"requestID": "b4b27883-6533-11e4-b4d9-751f1761e9e5",
"eventID": "edb65380-0a3e-4123-bbc8-3d1b7cff49b0",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Monitore as chaves KMS com a Amazon CloudWatch
Você pode monitorar seu AWS KMS keys uso [da Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), um AWS serviço que coleta e processa dados brutos AWS KMS em métricas legíveis e quase em tempo real. Esses dados são registrados por um período de duas semanas, para que você possa acessar informações históricas e obter um melhor entendimento do uso das suas chaves do KMS e das suas alterações ao longo do tempo.
Você pode usar CloudWatch a Amazon para alertá-lo sobre eventos importantes, como os seguintes.
+ O material da chave importada em uma chave do KMS está próximo da data de validade.
+ Uma chave do KMS com exclusão pendente ainda está sendo usada.
+ O material de chave em uma chave do KMS foi alternado automaticamente.
+ Uma chave do KMS foi excluída.
Você também pode criar um CloudWatch alarme [da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte [Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) no Blog de *AWS Segurança*.
## AWS KMS métricas e dimensões
AWS KMS predefine CloudWatch as métricas da Amazon para facilitar o monitoramento de dados críticos e a criação de alarmes. Você pode visualizar as AWS KMS métricas usando a Console de gerenciamento da AWS e a CloudWatch API da Amazon.
Esta seção lista cada AWS KMS métrica e as dimensões de cada métrica e fornece algumas orientações básicas para criar CloudWatch alarmes com base nessas métricas e dimensões.
**nota**
**Nome do grupo de dimensões**:
Para visualizar uma métrica no CloudWatch console da Amazon, na seção **Métricas**, selecione o nome do grupo de dimensões. Em seguida, é possível filtrar pelo **nome da métrica**. O tópico inclui o nome da métrica e o nome do grupo de dimensões para cada métrica do AWS KMS .
Você pode visualizar AWS KMS métricas usando a Console de gerenciamento da AWS e a CloudWatch API da Amazon. Para obter mais informações, consulte [Visualizar métricas disponíveis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) no *Guia do CloudWatch usuário da Amazon*.
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [Nuvem HSMKey StoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
O número de solicitações de operações criptográficas bem-sucedidas em uma determinada chave do KMS. Ao usar a `SuccessfulRequest` métrica, você pode aplicar a filtragem em nível de chave ao uso AWS KMS da API em. CloudWatch A estatística `Sum` para essa métrica define o número total de solicitações bem-sucedidas durante o período.
Use essa métrica para identificar quais chaves do KMS consomem a maior parte da sua cota de solicitações ou contribuem mais para os custos de API. Você também pode criar um CloudWatch alarme com base na `SuccesfulRequest` métrica para notificá-lo sobre padrões anômalos de uso AWS KMS da API. Esses alertas podem ajudar a identificar fluxos de trabalho ineficientes que podem exceder inadvertidamente suas cotas de solicitações ou incorrer em custos inesperados.
**Dimensões para `SuccessfulRequest`**
| Dimensão | Description |
| --- | --- |
| KeyArn | Valor para cada chave do KMS. |
| Operation | Valor para cada operação de AWS KMS API. Essa métrica se aplica somente a operações criptográficas. |
Para [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)operações, a `SuccessfulRequest` métrica inclui dimensões para as chaves KMS de origem e de destino.
| Dimensão | Description |
| --- | --- |
| SourceKeyArn | Valor da chave do KMS que descriptografou o texto cifrado. |
| DestinationKeyArn | Valor da chave do KMS que recriptografou os dados. |
| Operation | Valor para cada operação de AWS KMS API, nesse caso, ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
O número de segundos restantes até a primeira data de expiração de [material de chave importado](importing-keys.md) em uma chave do KMS. Essa métrica só é válida para chaves do KMS com material de chave importado (uma [origem de material de chave](create-keys.md#key-origin) de `EXTERNAL`) e data de validade.
Use essa métrica para acompanhar o tempo restante até a primeira data de expiração de material de chave importada. Quando esse tempo for menos que um limite que você define, reimporte o material de chave com uma nova data de expiração para manter uma chave do KMS utilizável. A métrica `SecondsUntilKeyMaterialExpiration` é específica para uma chave do KMS. Você não pode usar essa métrica para monitorar várias chaves do KMS ou chaves do KMS que você possa vir a criar futuramente. Para obter ajuda na criação de um CloudWatch alarme para monitorar essa métrica, consulte[Crie um CloudWatch alarme para expiração do material chave importado](imported-key-material-expiration-alarm.md).
A estatística mais útil para essa métrica é `Minimum`, que informa o menor tempo restante para todos os pontos de dados no período estatístico especificado. A única unidade válida para essa métrica é `Seconds`.
**Nome do grupo de dimensões**: **métricas por chave**
**Dimensões do `SecondsUntilKeyMaterialExpiration`**
| Dimensão | Descrição; relacionado a AWS |
| --- | --- |
| KeyId | Valor para cada chave do KMS. |
Ao [programar a exclusão](deleting-keys.md) de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. É possível usar o período de espera para garantir que não precisa mais da chave do KMS agora ou no futuro. Você também pode configurar um CloudWatch alarme para avisá-lo se uma pessoa ou aplicativo tentar usar a chave KMS em uma [operação criptográfica](kms-cryptography.md#cryptographic-operations) durante o período de espera. Se você receber uma notificação de um alarme desse tipo, poderá cancelar a exclusão da chave do KMS.
Para instruções, consulte [Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente](deleting-keys-creating-cloudwatch-alarm.md).
### Nuvem HSMKey StoreThrottle
O número de solicitações de operações criptográficas em chaves KMS em cada AWS CloudHSM armazenamento de chaves que acelera AWS KMS (responde com a). `ThrottlingException` Essa métrica se aplica somente às AWS CloudHSM principais lojas.
A `CloudHSMKeyStoreThrottle` métrica se aplica somente às chaves KMS em um armazenamento de AWS CloudHSM chaves e somente às solicitações de operações [criptográficas](kms-cryptography.md#cryptographic-operations). AWS KMS [limita essas solicitações quando a taxa de solicitações](throttling.md) excede a [cota de solicitações de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores) para seu AWS CloudHSM armazenamento de chaves. Essa métrica também inclui a limitação pelo AWS CloudHSM cluster.
**Nome do grupo de dimensões**: **métrica de controle de utilização de armazenamento de chaves**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de AWS CloudHSM chaves. |
| KmsOperation | Valor para cada operação de AWS KMS API. Essa métrica se aplica somente às operações de criptografia em chaves do KMS em um repositório de chaves do AWS CloudHSM . |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves KMS em um armazenamento de chaves é AWS CloudHSM SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
O número de solicitações de operações criptográficas em chaves KMS em cada armazenamento de chaves externo que acelera AWS KMS (responde com a). `ThrottlingException` Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
A `ExternalKeyStoreThrottle` métrica se aplica somente às chaves KMS em um armazenamento de chaves externo e somente às solicitações de operações [criptográficas](kms-cryptography.md#cryptographic-operations). AWS KMS [limita essas solicitações](throttling.md) quando a taxa de solicitação excede a [cota de solicitações de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores) para seu armazenamento de chaves externo. Essa métrica não inclui o controle de utilização por seu proxy de armazenamento de chaves externas ou gerenciador de chaves externas.
Use essa métrica para revisar e ajustar o valor da cota de solicitações ao repositório de chaves personalizado. Se essa métrica indicar que AWS KMS está frequentemente limitando suas solicitações dessas chaves KMS, considere solicitar um aumento no valor da cota de solicitação do armazenamento de chaves personalizadas. Para obter ajuda, consulte [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Solicitar um aumento de cota) no *Guia do usuário do Service Quotas*.
Se você estiver recebendo erros `KMSInvalidStateException` com muita frequência com uma mensagem que explica que a solicitação foi rejeitada “due to a very high request rate” (devido a uma taxa de solicitação muito alta) ou que a solicitação foi rejeitada “because the external key store proxy did not respond in time” (porque o proxy de armazenamento de chaves externas não respondeu a tempo), isso pode indicar que o gerenciador de chaves externas ou o proxy de armazenamento de chaves externas não consegue acompanhar a taxa de solicitação atual. Se possível, reduza a taxa de solicitação. Considere também solicitar uma redução no valor da cota de solicitação de armazenamento de chaves personalizado. Diminuir esse valor da cota pode aumentar a limitação (e o valor da `ExternalKeyStoreThrottle` métrica), mas indica que AWS KMS está rejeitando solicitações em excesso rapidamente antes de serem enviadas ao proxy externo do armazenamento de chaves ou ao gerenciador de chaves externo. Para solicitar uma redução de cota, acesse o [AWS Support Center](https://console.aws.amazon.com/support/home) e crie um caso.
**Nome do grupo de dimensões**: **métrica de controle de utilização de armazenamento de chaves**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor para cada operação de AWS KMS API. Essa métrica se aplica somente às operações de criptografia em chaves do KMS em um repositório de chaves externo. |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
O número de dias até o certificado TLS do endpoint do [proxy de armazenamento de chaves externas](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`) expirar. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Use essa métrica para criar um CloudWatch alarme que o notifique sobre a próxima expiração do seu certificado TLS. Quando o certificado expira, AWS KMS não é possível se comunicar com o proxy externo do armazenamento de chaves. Todos os dados protegidos por chaves do KMS em seu armazenamento de chaves externas ficarão inacessíveis até você renovar o certificado.
Um alarme do certificado evita que a expiração do certificado impeça você de acessar os recursos criptografados. Defina o alarme para dar tempo para a sua organização renovar o certificado antes que ele expire.
**Nome do grupo de dimensões**: **métricas de certificado do proxy XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| CertificateName | Nome (CN) da entidade no certificado TLS. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksProxyCredentialAge
O número de dias desde que a [credencial de autenticação do proxy](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) atual do armazenamento de chaves externas foi associada ao armazenamento de chaves externas. Essa contagem começa quando você insere a credencial de autenticação como parte da criação ou atualização do armazenamento de chaves externas. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Esse valor foi criado para lembrar você sobre a idade da credencial de autenticação. No entanto, como começamos a contagem quando você associa a credencial ao armazenamento de chaves externas, não quando você cria sua credencial de autenticação em seu proxy de armazenamento de chaves externas, isso pode não ser um indicador preciso da idade da credencial no proxy.
Use essa métrica para criar um CloudWatch alarme que lembre você de alternar sua credencial de autenticação de proxy do armazenamento de chaves externo.
**Nome do grupo de dimensões**: **métricas por armazenamento de chaves**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksProxyErrors
O número de exceções relacionadas às AWS KMS solicitações ao [proxy externo do armazenamento de chaves](keystore-external.md#concept-xks-proxy). Essa contagem inclui exceções às quais o proxy externo do armazenamento de chaves retorna AWS KMS e erros de tempo limite que ocorrem quando o proxy do armazenamento de chaves externo não responde AWS KMS dentro do intervalo de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Use essa métrica para rastrear a taxa de erro das chaves do KMS no armazenamento de chaves externas. Ela revela os erros mais frequentes para que você possa priorizar seus esforços de engenharia. Por exemplo, chaves do KMS que estão gerando altas taxas de erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Para visualizar a configuração do armazenamento de chaves externas, consulte [Visualizar repositórios de chaves externos](view-xks-keystore.md). Para editar suas configurações de armazenamento de chaves externas, consulte [Editar propriedades do repositório de chaves externo](update-xks-keystore.md).
**Nome do grupo de dimensões**: **métricas de erro do proxy XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor de cada operação de AWS KMS API que gerou uma solicitação ao proxy XKS. |
| XksOperation | Valor para cada [operação de API do proxy de armazenamento de chaves externas](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC\$1DEFAULT. |
| ErrorType | Valores:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Valores: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/monitoring-cloudwatch.html) |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksExternalKeyManagerStates
Uma contagem do número de [instâncias do gerenciador de chaves externas](keystore-external.md#concept-ekm) em cada um dos seguintes estados de integridade: `Active`, `Degraded` e `Unavailable`. As informações dessa métrica vêm do proxy de armazenamento de chaves externas associado a cada armazenamento de chaves externas. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Veja a seguir os estados de integridade das instâncias externas do gerenciador de chaves associadas a um armazenamento de chaves externas. Cada proxy de armazenamento de chaves externas pode usar indicadores diferentes para medir o estado de integridade do gerenciador de chaves externas. Para obter detalhes, consulte a documentação do proxy de armazenamento de chaves externas.
+ `Active`: o gerenciador de chaves externas está íntegro.
+ `Degraded`: o gerenciador de chaves externas não está íntegro, mas ainda pode atender ao tráfego
+ `Unavailable`: o gerenciador de chaves externas não pode atender ao tráfego.
Use essa métrica para criar um CloudWatch alarme que alerta você sobre instâncias do gerenciador de chaves externo degradadas e indisponíveis. Para determinar quais instâncias externas do gerenciador de chaves estão em cada estado, consulte seus logs de proxy do armazenamento de chaves externas.
**Nome do grupo de dimensões**: **métrica do gerenciados de chaves externas XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| XksExternalKeyManagerState | Valor para cada estado de integridade. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksProxyLatency
O número de milissegundos necessários para que um proxy de armazenamento de chaves externas responda a uma solicitação do AWS KMS . Se a solicitação atingiu o tempo limite, o valor registrado é o limite de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Use essas métrica para avaliar a performance do proxy de armazenamento de chaves externas e do gerenciador de chaves externas. Por exemplo, se o proxy estiver frequentemente atingindo o tempo limite nas operações de criptografia e descriptografia, consulte o administrador do proxy externo.
Respostas lentas também podem indicar que seu gerenciador de chaves externo não consegue lidar com o tráfego de solicitações atual. AWS KMS recomenda que seu gerenciador de chaves externo seja capaz de lidar com até 1800 solicitações de operações criptográficas por segundo. Se o gerenciador de chaves externas não conseguir lidar com a taxa de 1800 solicitações por segundo, considere [solicitar uma redução na cota de solicitações de chaves do KMS em um armazenamento de chaves personalizado](requests-per-second.md#rps-key-stores). As solicitações de operações de criptografia que usam as chaves do KMS em seu armazenamento de chaves externas se anteciparão à falha com uma [exceção de controle de utilização](throttling.md), em vez de serem processadas e posteriormente rejeitadas pelo proxy de armazenamento de chaves externas ou pelo gerenciador de chaves externas.
**Nome do grupo de dimensões**: **métricas de latência do proxy XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor de cada operação de AWS KMS API que gerou uma solicitação ao proxy XKS. |
| XksOperation | Valor para cada [operação de API do proxy de armazenamento de chaves externas](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC\$1DEFAULT. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
# Crie um CloudWatch alarme para expiração do material chave importado
Você pode criar um CloudWatch alarme que o notifique quando o material de chave importado em uma chave KMS estiver se aproximando do prazo de expiração. Por exemplo, o alarme pode notificá-lo quando faltarem menos de 30 dias para a expiração.
Ao [importar o material de chave para uma chave do KMS](importing-keys.md), é possível especificar opcionalmente uma data e hora quando o material de chave expira. Quando o material da chave expira, ele é AWS KMS excluído e a chave KMS fica inutilizável. Para usar a chave do KMS novamente, você deve [reimportar o material de chave](importing-keys-import-key-material.md#reimport-key-material). No entanto, se você reimportar o material de chave antes que ele expire, você poderá evitar interromper processos que usem essa chave do KMS.
Esse alarme usa a [`SecondsUntilKeyMaterialExpires`métrica](monitoring-cloudwatch.md#key-material-expiration-metric) que AWS KMS publica CloudWatch para chaves KMS com material de chave importado que expira. Cada alarme usa essa métrica para monitorar o material de chave importado para uma chave específica do KMS. Você não pode criar um alarme único para todas as chaves do KMS com material de chave expirado ou um alarme para chaves do KMS que você possa vir a criar futuramente.
**Requisitos**
Os seguintes recursos são necessários para um CloudWatch alarme que monitora a expiração do material de chave importado.
+ Uma chave do KMS com material de chave importado que expira.
+ Um tópico do Amazon SNS. Para obter detalhes, consulte o [tópico Criação de um Amazon SNS no Guia CloudWatch ](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) *do usuário da Amazon*.
**Criar o alarme**
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha **KMS** e, em seguida, selecione **Per-Key Metrics** (Métricas por chave). Selecione a linha com a chave do KMS e a métrica `SecondsUntilKeyMaterialExpires`. Depois, escolha **Select metric (Selecionar métrica)**. A lista **Metrics** (Métricas) exibe a métrica `SecondsUntilKeyMaterialExpires` apenas para chaves do KMS com material de chave importado que expira. Se você não tiver chaves do KMS com essas propriedades na conta e na região, essa lista estará vazia. |
| Estatística | Mínimo |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que metric-name é maior que 1 |
# Crie CloudWatch alarmes para armazenamentos externos de chaves
Você pode criar CloudWatch alarmes da Amazon com base em métricas externas do armazenamento de chaves para notificá-lo quando um valor métrico exceder um limite especificado por você. O alarme pode enviar a mensagem para um [tópico do Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) ou uma [política do Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work). Para obter informações detalhadas sobre CloudWatch alarmes, consulte Como [usar CloudWatch alarmes da Amazon no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *do usuário da Amazon*.
Antes de criar um CloudWatch alarme da Amazon, você precisa de um tópico do Amazon SNS. Para obter detalhes, consulte o [tópico Criação de um Amazon SNS no Guia CloudWatch ](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) *do usuário da Amazon*.
**Topics**
+ [Criar um alarme para expiração de certificado](#cert-expire-alarm)
+ [Criar um alarme para tempo limite de resposta](#latency-alarm)
+ [Criar um alarme para erros passíveis de nova tentativa](#retryable-errors-alarm)
+ [Criar um alarme para erros não passíveis de nova tentativa](#nonretryable-errors-alarm)
## Criar um alarme para expiração de certificado
Esse alarme usa a [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) métrica AWS KMS publicada para registrar CloudWatch a expiração prevista do certificado TLS associado ao seu endpoint proxy externo de armazenamento de chaves. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Recomendamos configurar o alarme para alertar você dez dias antes do prazo de validade do certificado, mas você deve definir o limite que melhor atenda às suas necessidades.
**Criar o alarme**
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha **KMS** e escolha **XKS Proxy Certificate Metrics** (Métricas de certificado do proxy XKS). Marque a caixa de seleção ao lado da `XksProxyCertificateName` que você deseja monitorar. Depois, escolha **Select metric (Selecionar métrica)**. |
| Estatística | Mínimo |
| Período | 5 minutos |
| Tipo de limite | Estático |
| Sempre que… | Sempre que XksProxyCertificateDaysToExpirefor Lower do que10. |
## Criar um alarme para tempo limite de resposta
Esse alarme usa a [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrica que AWS KMS publica CloudWatch para registrar o número de milissegundos necessários para que um proxy externo de armazenamento de chaves responda a uma AWS KMS solicitação. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
AWS KMS espera que o proxy externo do armazenamento de chaves responda a cada solicitação em 250 milissegundos. Recomendamos configurar um alarme para alertar você quando o proxy de armazenamento de chaves externas levar mais de 200 milissegundos para responder, mas você deve definir o limite que melhor atenda às suas necessidades.
**Criar o alarme**
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha **KMS** e escolha **XKS Proxy Latency Metrics** (Métricas de latência do proxy XKS). Marque a caixa de seleção ao lado da `KmsOperation` que você deseja monitorar. Depois, escolha **Select metric (Selecionar métrica)**. |
| Estatística | Média |
| Período | 5 minutos |
| Tipo de limite | Estático |
| Sempre que… | Sempre que XksProxyLatencyfor Greater do que200. |
## Criar um alarme para erros passíveis de nova tentativa
Esse alarme usa a [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica que AWS KMS publica CloudWatch para registrar o número de exceções relacionadas às AWS KMS solicitações ao proxy externo do armazenamento de chaves. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Erros com nova tentativa diminuirão sua porcentagem de confiabilidade e podem indicar erros de redes. Recomendamos configurar um alarme para alertar você quando mais de cinco erros com nova tentativa forem registrados em um período de um minuto, mas você deve definir o limite que atenda melhor às suas necessidades.
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha a guia **Queries** (Consultas). Escolha `AWS/KMS` para **Namespace**. Insira `SUM(XksProxyErrors)` em **Metric name** (Nome da métrica). Insira `ErrorType = Retryable` em **Filter by** (Filtrar por). Escolha **Executar**. Depois, escolha **Select metric (Selecionar métrica)**. |
| Rótulo | Retryable errors |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que q1 for Greater que 5. |
## Criar um alarme para erros não passíveis de nova tentativa
Esse alarme usa a [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica que AWS KMS publica CloudWatch para registrar o número de exceções relacionadas às AWS KMS solicitações ao proxy externo do armazenamento de chaves. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Recomendamos configurar um alarme para alertar você quando mais de cinco erros sem nova tentativa forem registrados em um período de um minuto, mas você deve definir o limite que atenda melhor a suas necessidades.
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha a guia **Queries** (Consultas). Escolha `AWS/KMS` para **Namespace**. Insira `SUM(XksProxyErrors)` em **Metric name** (Nome da métrica). Insira `ErrorType = Non-retryable` em **Filter by** (Filtrar por). Escolha **Executar**. Depois, escolha **Select metric (Selecionar métrica)**. |
| Rótulo | Non-retryable errors |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que q1 for Greater que 5. |
# Monitore as chaves KMS com a Amazon EventBridge
Você pode usar a Amazon EventBridge (antiga Amazon CloudWatch Events) para alertá-lo sobre os seguintes eventos importantes no ciclo de vida de suas chaves KMS.
+ Foi feito o rodízio automático ou sob demanda do material de chave em uma chave do KMS.
+ O material de chave importado em uma chave do KMS expirada.
+ Uma chave do KMS que havia sido agendada para exclusão foi excluída.
AWS KMS se integra à Amazon EventBridge para notificá-lo sobre eventos importantes que afetam suas chaves KMS. Cada evento é representado em [JSON (JavaScriptObject Notation)](http://json.org) e inclui o nome do evento, a data e a hora em que o evento ocorreu e os afetados. Você pode coletar esses eventos e estabelecer regras que os encaminhem para um ou mais *destinos*, como AWS Lambda funções, tópicos do Amazon SNS, filas do Amazon SQS, streams no Amazon Kinesis Data Streams ou destinos integrados.
Para obter mais informações sobre o uso EventBridge com outros tipos de eventos, incluindo aqueles emitidos AWS CloudTrail quando ele registra uma solicitação de read/write API, consulte o [Guia do EventBridge usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
Os tópicos a seguir descrevem os EventBridge eventos AWS KMS gerados.
## Alternância de CMKs do KMS
AWS KMS suporta a [rotação automática e sob demanda](rotate-keys.md) do material da chave em chaves KMS de criptografia simétrica.
Sempre que AWS KMS gira o material da chave, ele envia um `KMS CMK Rotation` evento para EventBridge. AWS KMS gera esse evento com base no melhor esforço.
A seguir há um exemplo deste evento.
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "KMS CMK Rotation",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-origin": "AWS_KMS",
"rotation-type": "ON_DEMAND",
"previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
}
}
```
## Expiração do material de chave importado do KMS
Ao [importar o material de chave em uma chave do KMS](importing-keys.md), é possível especificar opcionalmente em que hora o material de chave expira. Quando o material chave expira, AWS KMS exclui o material chave e envia um `KMS Imported Key Material Expiration` evento correspondente para. EventBridge AWS KMS gera esse evento com base no melhor esforço.
A seguir há um exemplo deste evento.
```
{
"version": "0",
"id": "9da9af57-9253-4406-87cb-7cc400e43465",
"detail-type": "KMS Imported Key Material Expiration",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
## Exclusão da CMK do KMS
Ao [programar a exclusão](deleting-keys.md) de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. Após o término do período de espera, AWS KMS exclui a chave KMS e envia um `KMS CMK Deletion` evento para. EventBridge AWS KMS garante esse EventBridge evento. Devido a novas tentativas, ele pode gerar vários eventos dentro de alguns segundos que excluem a mesma chave do KMS.
A seguir há um exemplo deste evento.
```
{
"version": "0",
"id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
"detail-type": "KMS CMK Deletion",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
```