本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 記錄 AWS KMS API通話 AWS CloudTrail
AWS KMS 與 整合AWS CloudTrail,此服務會記錄使用者、角色和其他 AWS services AWS KMS 對 的所有呼叫。 會將對 的所有API呼叫 CloudTrail 擷取 AWS KMS 為事件,包括來自 AWS KMS 主控台 AWS KMS APIs、 AWS CloudFormation 範本、 AWS Command Line Interface (AWS CLI) 和 的呼叫 AWS Tools for PowerShell。
CloudTrail 會記錄所有 AWS KMS 操作,包括唯讀操作,例如 ListAliases和 GetKeyRotationStatus、管理KMS金鑰的操作,例如 CreateKey和 PutKeyPolicy,以及密碼編譯操作 ,例如 GenerateDataKey和 Decrypt 。它也會記錄 AWS KMS 呼叫您的內部操作,例如 DeleteExpiredKeyMaterial、SynchronizeMultiRegionKey、 DeleteKey和 RotateKey。
CloudTrail 會記錄所有成功的操作,在某些情況下記錄失敗的嘗試呼叫,例如當呼叫者無法存取資源時。KMS 金鑰上的跨帳戶操作會同時記錄於呼叫者帳戶和KMS金鑰擁有者帳戶。不過,因為存取遭拒而遭到拒絕的跨帳戶 AWS KMS 請求只會記錄在來電者的帳戶中。
基於安全考量, AWS KMS 日誌項目會省略某些欄位,例如加密請求的 Plaintext 參數,以及對 GetKeyPolicy或任何密碼編譯操作的回應。為了更輕鬆地搜尋特定KMS金鑰的 CloudTrail 日誌項目, 會將受影響KMS金鑰的金鑰ARN AWS KMS 新增至部分 AWS KMS 金鑰管理操作的日誌項目中的 responseElements 欄位,即使API操作未傳回金鑰 ARN。
雖然預設會將所有 AWS KMS 動作記錄為 CloudTrail 事件,但您可以從 CloudTrail 追蹤中排除 AWS KMS 動作。如需詳細資訊,請參閱 從追蹤中排除 AWS KMS 事件。
進一步了解:
-
如需 AWS Nitro enclave AWS KMS 操作的 CloudTrail 日誌範例,請參閱 對 Nitro Enclaves 的監空請求。
在 中尋找 AWS KMS 日誌項目 CloudTrail
若要搜尋 CloudTrail 日誌項目,請使用 CloudTrail 主控台或 CloudTrail LookupEvents操作。 CloudTrail 支援許多屬性值來篩選搜尋,包括事件名稱、使用者名稱和事件來源。
為了協助您搜尋 中的 AWS KMS 日誌項目 CloudTrail, 會 AWS KMS 填入下列 CloudTrail 日誌項目欄位。
注意
從 2022 年 12 月開始, 會在變更特定KMS金鑰的所有管理操作中 AWS KMS 填入資源類型和資源名稱屬性。這些屬性值在下列操作的較舊 CloudTrail 項目中可能是 null:CreateAlias、CreateGrant、、DeleteAliasDeleteImportedKeyMaterial、ImportKeyMaterial、ReplicateKeyRetireGrant、RevokeGrant、UpdateAlias、 和 UpdatePrimaryRegion。
| 屬性 | Value | 日誌項目 |
|---|---|---|
事件來源 (EventSource) |
kms.amazonaws.com |
所有操作。 |
資源類型 (ResourceType) |
AWS::KMS::Key |
變更特定KMS金鑰的管理操作,例如 CreateKey和 EnableKey,但不會變更 ListKeys。 |
資源名稱 (ResourceName) |
金鑰 ARN(或金鑰 ID 和金鑰 ARN) | 變更特定KMS金鑰的管理操作,例如 CreateKey和 EnableKey,但不會變更 ListKeys。 |
為了協助您尋找特定KMS金鑰上管理操作的日誌項目, AWS KMS 會在日誌項目ARN的 responseElements.keyId元素中記錄受影響KMS金鑰的金鑰,即使操作 AWS KMS API未傳回金鑰 ARN。
例如,成功的DisableKey操作呼叫不會傳回回應中的任何值,而是傳回 Null 值,但DisableKey 日誌項目中的responseElements.keyId值包含停用KMS金鑰ARN的金鑰。
此功能已於 2022 年 12 月新增,並影響下列 CloudTrail 日誌項目:CreateAlias、CreateGrant、、DeleteAliasDeleteKey、DisableKeyEnableKey、EnableKeyRotation、ImportKeyMaterial、RotateKey、、 SynchronizeMultiRegionKey TagResource UntagResourceUpdateAlias和 UpdatePrimaryRegion。
從追蹤中排除 AWS KMS 事件
為了提供 AWS KMS 資源使用和管理的記錄,大多數 AWS KMS 使用者依賴 CloudTrail 追蹤中的事件。追蹤可以是稽核關鍵事件的寶貴資料來源,例如建立、停用和刪除 AWS KMS keys、變更金鑰政策,以及由 AWS 服務代表您使用KMS金鑰。在某些情況下, CloudTrail 日誌項目中的中繼資料,例如加密操作中的加密內容,可協助您避免或解決錯誤。
但是,由於 AWS KMS 會產生大量事件,因此會 AWS CloudTrail 讓您從追蹤中排除 AWS KMS 事件。此每追蹤設定會排除所有 AWS KMS 事件;您無法排除特定 AWS KMS 事件。
警告
從 CloudTrail 日誌中排除 AWS KMS 事件可能會隱藏使用KMS金鑰的動作。授予委託人執行此操作所需的 cloudtrail:PutEventSelectors 許可時時,請務必小心。
若要從追蹤中排除 AWS KMS 事件:
-
在 CloudTrail 主控台中,當您建立追蹤或更新追蹤 時,請使用日誌金鑰管理服務事件設定。如需指示,請參閱 AWS CloudTrail 使用者指南中的使用 記錄管理事件 AWS Management Console。
-
在 中 CloudTrail API,使用 PutEventSelectors操作。將
ExcludeManagementEventSources屬性新增加到您的事件選擇器,其值為kms.amazonaws.com。如需範例,請參閱 AWS CloudTrail 使用者指南中的範例:不記錄 AWS Key Management Service 事件的追蹤。
您可以變更主控台設定或線索的事件選擇器,以隨時停用此排除。然後,追蹤將開始記錄 AWS KMS 事件。不過,它無法復原排除生效時發生的 AWS KMS 事件。
當您使用主控台或 排除 AWS KMS 事件時API,產生的 CloudTrailPutEventSelectorsAPI操作也會記錄在 CloudTrail 日誌中。如果 AWS KMS 事件未出現在您的 CloudTrail 日誌中,請尋找ExcludeManagementEventSources屬性設定為 PutEventSelectors的事件kms.amazonaws.com。
