Registrar em log solicitações do AWS KMS que usam um endpoint da VPC

AWS CloudTrailA registra todas as operações que usam o endpoint da VPC. Quando uma solicitação para o AWS KMS usa um endpoint da VPC, o ID do endpoint da VPC aparece na entrada de log do AWS CloudTrail que registra a solicitação. Você pode usar o ID de endpoint para auditar o uso do seu endpoint da VPC do AWS KMS.

No entanto, os logs do CloudTrail não incluem operações solicitadas por entidades principais em outras contas ou solicitações de operações do AWS KMS em chaves do KMS e aliases em outras contas. Além disso, para proteger sua VPC, as solicitações que são negadas por uma política de endpoint da VPC, mas teriam sido permitidas de outra forma, não são registradas no AWS CloudTrail.

Por exemplo, este exemplo de entrada de log registra uma solicitação GenerateDataKey que usou o endpoint da VPC. O campo vpcEndpointId aparece no final da entrada de log.

{
  "eventVersion":"1.05",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "EX_PRINCIPAL_ID",
    "arn": "arn:aws:iam::111122223333:user/Alice",
    "accessKeyId": "EXAMPLE_KEY_ID",
    "accountId": "111122223333",
    "userName": "Alice"
  },
  "eventTime":"2018-01-16T05:46:57Z",
  "eventSource":"kms.amazonaws.com",
  "eventName":"GenerateDataKey",
  "awsRegion":"eu-west-1",
  "sourceIPAddress":"172.01.01.001",
  "userAgent":"aws-cli/1.14.23 Python/2.7.12 Linux/4.9.75-25.55.amzn1.x86_64 botocore/1.8.27",
  "requestParameters":{
    "keyId":"1234abcd-12ab-34cd-56ef-1234567890ab",
    "numberOfBytes":128
  },
  "responseElements":null,
  "requestID":"a9fff0bf-fa80-11e7-a13c-afcabff2f04c",
  "eventID":"77274901-88bc-4e3f-9bb6-acf1c16f6a7c",
  "readOnly":true,
  "resources":[{
    "ARN":"arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId":"111122223333",
    "type":"AWS::KMS::Key"
  }],
  "eventType":"AwsApiCall",
  "recipientAccountId":"111122223333",
  "vpcEndpointId": "vpce-1234abcdf5678c90a"
}