本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用記錄 AWS KMS API 呼叫 AWS CloudTrail
AWS KMS 與此服務整合 AWS CloudTrail,可記錄使用者、角色和其他 AWS 服務的所有呼叫。 AWS KMS CloudTrail 擷取 AWS KMS 作為事件的所有 API 呼叫,包括來自 AWS KMS 主控台的呼叫、 AWS KMS API、 AWS CloudFormation 範本、 AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell.
CloudTrail 記錄所有 AWS KMS 作業,包括唯讀作業 (例如ListAliases和 GetKeyRotationStatus) 管理 KMS 金鑰的作業 (例如CreateKey和) PutKeyPolicy,以及密碼編譯作業 (例如GenerateDataKey和解密)。它還會記錄 AWS KMS 呼叫您的內部操作 DeleteExpiredKeyMaterial,例如DeleteKey、SynchronizeMultiRegionKey、和RotateKey。
CloudTrail 記錄成功的作業,並嘗試失敗的呼叫,例如當呼叫者被拒絕存取資源時。對 KMS 金鑰的跨帳戶操作會同時記入呼叫者帳戶和 KMS 金鑰擁有者帳戶。不過,因存取遭拒而遭到拒絕的跨帳戶 AWS KMS 要求只會記錄在來電者的帳戶中。
基於安全理由, AWS KMS 記錄項目會省略某些欄位,例如 En crypt 要求的Plaintext參數、回應GetKeyPolicy或任何密碼編譯作業。若要更輕鬆地搜尋特定 KMS 金鑰的 CloudTrail 記錄項目,請 AWS KMS 將受影響 KMS 金鑰的金鑰 ARN 新增至某些金 AWS KMS 鑰管理作業的記錄項目responseElements欄位,即使 API 作業未傳回金鑰 ARN 也一樣。
雖然依預設,所有 AWS KMS 動作都會記錄為 CloudTrail 事件,但您可以從 CloudTrail 追蹤中排除 AWS KMS 動作。如需詳細資訊,請參閱 從追蹤中排除 AWS KMS 事件。
進一步了解:
-
如需 AWS 硝基飛地之 AWS KMS 作業的 CloudTrail 記錄範例,請參閱。對 Nitro Enclaves 的監空請求
記錄事件 CloudTrail
CloudTrail 在您創建帳戶 AWS 帳戶 時啟用。當活動發生在中時 AWS KMS,該活動會與事件歷史記錄中的其他 AWS 服務 CloudTrail 事件一起記錄在事件中。您可以檢視、搜尋和下載 AWS 帳戶的最新事件。如需詳細資訊,請參閱檢視具有事 CloudTrail 件記錄的事件。
對於您的事件的持續記錄 AWS 帳戶,包括事件 AWS KMS,請創建一個跟踪。追蹤可 CloudTrail 將日誌檔交付到 Amazon S3 儲存貯體。依預設,當您在主控台中建立追蹤時,該追蹤會套用至所有的 AWS 區域。追蹤記錄來自 AWS 分區中所有區域的事件,並將日誌檔傳送到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他, AWS 服務 以進一步分析 CloudTrail 記錄中收集的事件資料並採取行動。如需詳細資訊,請參閱:
若要進一步了解 CloudTrail,請參閱使AWS CloudTrail 用者指南。若要了解監控 KMS 金鑰使用之其他方式的詳細資訊,請參閱 監控 AWS KMS keys。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
-
該請求是否透過根憑證或 IAM 使用者憑證來提出。
-
提出該請求時,是否使用了角色或聯合身分使用者的暫時憑證。
-
如果請求是由另一個 AWS 服務。
如需詳細資訊,請參閱CloudTrail 使 userIdentity 元素。
搜尋事件 CloudTrail
若要搜尋 CloudTrail 記錄項目,請使用CloudTrail 主控台或CloudTrail LookupEvents作業。 CloudTrail 支援許多屬性值來篩選搜尋,包括事件名稱、使用者名稱和事件來源。
為了協助您在中搜尋 AWS KMS 記錄項目 CloudTrail,請 AWS KMS 填入下列 CloudTrail 記錄項目欄位。
注意
從 2022 年 12 月開始,會在變更特定 KMS 金鑰的所有管理作業中 AWS KMS 填入資源類型和資源名稱屬性。對於下列操作,這些屬性值在較舊的 CloudTrail 項目中可能為 null:CreateAliasCreateGrantDeleteAliasDeleteImportedKeyMaterial、ImportKeyMaterial、ReplicateKey、RetireGrant、、RevokeGrant、UpdateAlias、、和UpdatePrimaryRegion。
| 屬性 | Value | 日誌項目 |
|---|---|---|
事件來源 (EventSource) |
kms.amazonaws.com |
所有操作。 |
資源類型 (ResourceType) |
AWS::KMS::Key |
可變更特定 KMS 金鑰的管理操作,例如 CreateKey 和 EnableKey,但不包括 ListKeys。 |
資源名稱 (ResourceName) |
金鑰 ARN (或金鑰 ID 和金鑰 ARN) | 可變更特定 KMS 金鑰的管理操作,例如 CreateKey 和 EnableKey,但不包括 ListKeys。 |
為了協助您尋找特定 KMS 金鑰上管理作業的 AWS KMS
記錄項目,請在記錄項目的responseElements.keyId元素中記錄受影響 KMS 金鑰的金鑰 ARN,即使 AWS KMS API 作業未傳回金鑰 ARN 也一樣。
例如,成功呼叫DisableKey作業不會在回應中傳回任何值,而不是 null 值,DisableKey 記錄項目中的responseElements.keyId值包括停用的 KMS 金鑰的金鑰 ARN。
此功能於 2022 年 12 月新增,會影響下列 CloudTrail 記錄項目:CreateAliasCreateGrantDeleteAlias、DeleteKey、DisableKey、EnableKey、、EnableKeyRotation、ImportKeyMaterial、RotateKey、SynchronizeMultiRegionKey、、TagResource、UntagResource、UpdateAlias、、和UpdatePrimaryRegion。
從追蹤中排除 AWS KMS 事件
為了提供 AWS KMS 資源使用和管理的記錄,大多數使用 AWS KMS 者都依賴 CloudTrail 追蹤中的事件。追蹤可能是稽核重要事件的重要資料來源,例如建立、停用和刪除 AWS KMS keys、變更金鑰原則,以及代表您的 AWS 服務使用 KMS 金鑰。在某些情況下, CloudTrail 記錄項目中的中繼資料 (例如加密作業中的加密內容) 可協助您避免或解決錯誤。
但是,由於 AWS KMS 可以產生大量事件,因此可 AWS CloudTrail 讓您從追蹤中排除 AWS KMS 事件。此每個軌跡設定會排除所有 AWS KMS 事件;您無法排除特定 AWS KMS 事件。
警告
從 CloudTrail 記錄中排除 AWS KMS 事件可能會隱藏使用 KMS 金鑰的動作。授予委託人執行此操作所需的 cloudtrail:PutEventSelectors 許可時時,請務必小心。
若要從追蹤中排除 AWS KMS 事件:
-
在 CloudTrail 主控台中,當您建立追蹤或更新追蹤時,請使用記錄金鑰管理服務事件設定。如需指示,請參閱 AWS CloudTrail 使用指南 AWS Management Console中的記錄管理事件。
-
在 CloudTrail API 中,使用PutEventSelectors操作。將
ExcludeManagementEventSources屬性新增加到您的事件選擇器,其值為kms.amazonaws.com。如需範例,請參閱《 AWS CloudTrail 使用指南》中的範例:不記錄 AWS Key Management Service 事件的追蹤。
您可以變更主控台設定或線索的事件選擇器,以隨時停用此排除。然後,步道將開始記錄 AWS KMS 事件。但是,它無法復原排除有效期間發生的 AWS KMS 事件。
當您使用主控台或 API 排除 AWS KMS 事件時,產生的 CloudTrail PutEventSelectors API 作業也會記錄在記 CloudTrail 錄中。如果 AWS KMS
事件未出現在記 CloudTrail 錄中,請尋找ExcludeManagementEventSources屬性設定為的PutEventSelectors事件kms.amazonaws.com。
