Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollierung von AWS KMS-API-Aufrufen mit AWS CloudTrail
AWS KMS ist in integriertAWS CloudTrail, einem Service, der alle Aufrufe an AWS KMS von Benutzern, Rollen und anderen -AWSServices aufzeichnet. CloudTrail erfasst alle API-Aufrufe an AWS KMS als Ereignisse, einschließlich Aufrufen von der AWS KMSKonsole, AWS KMS APIs, AWS CloudFormation Vorlagen, AWS Command Line Interface (AWS CLI) und AWS Tools for PowerShell. APIs
CloudTrail protokolliert alle AWS KMS -Operationen, einschließlich schreibgeschützter Operationen wie ListAliases und GetKeyRotationStatus, Operationen zur Verwaltung von KMS-Schlüsseln wie CreateKey und PutKeyPolicyund kryptografische Operationen wie GenerateDataKey und Entschlüsseln. Außerdem werden interne Operationen protokolliert, die für Sie AWS KMSaufruft, z. B. DeleteExpiredKeyMaterial, DeleteKeySynchronizeMultiRegionKey, und RotateKey.
CloudTrail protokolliert erfolgreiche Operationen und fehlgeschlagene Aufrufe, z. B. wenn dem Aufrufer der Zugriff auf eine Ressource verweigert wird. Kontoübergreifende Vorgänge auf KMS-Schlüssel in anderen Konten werden sowohl im Konto des Anrufers als auch im Konto des KMS-Schlüsselbesitzers protokolliert. Kontoübergreifende AWS KMS-Anfragen, die abgelehnt werden, weil der Zugriff verweigert wurde, werden jedoch nur im Konto des Anrufers protokolliert.
Aus Sicherheitsgründen werden einige Felder aus AWS KMS Protokolleinträgen weggelassen, z. B. der Plaintext
Parameter einer Encrypt-Anforderung und die Antwort auf GetKeyPolicy oder eine kryptografische Operation. Um die Suche nach CloudTrail Protokolleinträgen für bestimmte KMS-Schlüssel zu erleichtern, AWS KMS fügt den Schlüssel-ARN des betroffenen KMS-Schlüssels dem -responseElements
Feld in den Protokolleinträgen für einige AWS KMS Schlüsselverwaltungsvorgänge hinzu, auch wenn der API-Vorgang den Schlüssel-ARN nicht zurückgibt.
Obwohl standardmäßig alle AWS KMS Aktionen als CloudTrail Ereignisse protokolliert werden, können Sie AWS KMS Aktionen aus einem CloudTrail Trail ausschließen. Details hierzu finden Sie unter Ausschließen von AWS KMS-Ereignissen aus einem Trail.
Weitere Informationen:
-
CloudTrail Protokollbeispiele für AWS KMS Operationen für eine -AWSNitro-Enklave finden Sie unter Überwachung von Anfragen für Nitro-Enklaven.
Themen
Protokollieren von Ereignissen in CloudTrail
CloudTrail wird beim Erstellen des Kontos AWS-Konto auf Ihrem aktiviert. Wenn eine Aktivität in auftrittAWS KMS, wird diese Aktivität in einem - CloudTrail Ereignis zusammen mit anderen -AWSServiceereignissen im Ereignisverlauf aufgezeichnet. Sie können in Ihrem AWS-Konto die neusten Ereignisse anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Anzeigen von Ereignissen mit dem CloudTrail Ereignisverlauf.
Zur kontinuierlichen Aufzeichnung von Ereignissen in Ihrem AWS-Konto, einschließlich Ereignissen für AWS KMS, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Bereitstellung von Protokolldateien an einen Amazon S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS-Partition und stellt die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket bereit. Darüber hinaus können Sie andere konfigurieren, AWS-Services um die in den CloudTrail Protokollen erfassten Ereignisdaten weiter zu analysieren und entsprechend zu agieren. Weitere Informationen finden Sie hier:
Weitere Informationen zu CloudTrailfinden Sie im AWS CloudTrail -Benutzerhandbuch. Weitere Informationen zu anderen Methoden zur Überwachung der Nutzung Ihrer KMS-Schlüssel finden Sie unter Überwachung von AWS KMS keys.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
-
Ob die Anforderung mit Root-Benutzeranmeldeinformationen oder IAM-Benutzeranmeldeinformationen gestellt wurde.
-
Wurde die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen verbundenen Benutzer ausgeführt?
-
Wurde die Anforderung von einem anderen AWS-Service gestellt?
Weitere Informationen finden Sie unter CloudTrail userIdentity-Element.
Suchen von Ereignissen in CloudTrail
Um CloudTrail Protokolleinträge zu durchsuchen, verwenden Sie die -CloudTrail Konsole oder die -CloudTrail LookupEventsOperation. CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, darunter Ereignisname, Benutzername und Ereignisquelle.
Damit Sie in nach AWS KMS Protokolleinträgen suchen können CloudTrail, AWS KMS füllt die folgenden CloudTrail Protokolleintragsfelder aus.
Anmerkung
AWS KMS füllt ab Dezember 2022 die Attribute Ressourcentyp und Ressourcenname in allen Verwaltungsvorgängen auf, die einen bestimmten KMS-Schlüssel ändern. Diese Attributwerte können in älteren CloudTrail Einträgen für die folgenden Operationen null sein: CreateAlias, CreateGrant, DeleteAlias, ImportKeyMaterial, DeleteImportedKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias, und UpdatePrimaryRegion.
Attribut | Wert | Protokolleinträge |
---|---|---|
Ereignisquelle (EventSource ) |
kms.amazonaws.com |
Alle Vorgänge. |
Ressourcentyp (ResourceType ) |
AWS::KMS::Key |
Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey , aber nicht ListKeys . |
Ressourcenname (ResourceName ) |
Schlüssel-ARN (oder Schlüssel-ID und Schlüssel-ARN) | Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey , aber nicht ListKeys . |
Um Ihnen die Suche nach Protokolleinträgen für Verwaltungsvorgänge für bestimmte KMS-Schlüssel zu erleichtern, zeichnet AWS KMS den Schlüssel-ARN des betroffenen KMS-Schlüssels im responseElements.keyId
-Element des Protokolleintrags aufgezeichnet, auch wenn der AWS KMS-API-Vorgang den Schlüssel-ARN nicht zurückgibt.
Beispielsweise gibt ein erfolgreicher Aufruf der -DisableKeyOperation keine Werte in der Antwort zurück, aber anstelle eines Nullwerts enthält der responseElements.keyId
Wert im DisableKey Protokolleintrag den Schlüssel-ARN des deaktivierten KMS-Schlüssels.
Diese Funktion wurde im Dezember 2022 hinzugefügt und wirkt sich auf die folgenden CloudTrail Protokolleinträge aus: CreateAlias, CreateGrant, DeleteAlias, DeleteKey, DisableKey, EnableKey EnableKeyRotationImportKeyMaterial, , RotateKey, SynchronizeMultiRegionKey, , , , TagResource, UpdateAlias, UntagResource, und UpdatePrimaryRegion.
Ausschließen von AWS KMS-Ereignissen aus einem Trail
Um eine Aufzeichnung der Verwendung und Verwaltung ihrer AWS KMS Ressourcen bereitzustellen, verlassen sich die meisten AWS KMS Benutzer auf die Ereignisse in einem CloudTrail Trail. Der Trail kann eine wertvolle Datenquelle für die Prüfung kritischer Ereignisse sein, wie das Erstellen, Deaktivieren und Löschen von AWS KMS keys, das Ändern der Schlüsselrichtlinie und die Nutzung Ihrer KMS-Schlüssels in Ihrem Namen durch AWS-Services. In einigen Fällen können die Metadaten in einem CloudTrail Protokolleintrag, z. B. der Verschlüsselungskontext in einer Verschlüsselungsoperation, Ihnen helfen, Fehler zu vermeiden oder zu beheben.
Da AWS KMS jedoch eine große Anzahl von Ereignissen generieren kann, können Sie mit AWS CloudTrail AWS KMS-Ereignisse aus einem Trail ausschließen. Diese trailbezogene Einstellung schließt alle AWS KMS-Ereignisse aus. Bestimmte AWS KMS-Ereignisse können nicht ausgeschlossen werden.
Warnung
Das Ausschließen von AWS KMS Ereignissen aus einem CloudTrail Protokoll kann Aktionen verdecken, die Ihre KMS-Schlüssel verwenden. Seien Sie vorsichtig, wenn Sie Prinzipalen die cloudtrail:PutEventSelectors
-Berechtigung erteilen, die zum Ausführen dieser Operation erforderlich ist.
So schließen Sie AWS KMS-Ereignisse aus einem Trail aus:
-
Verwenden Sie in der CloudTrail Konsole die Einstellung Log Key Management Service events, wenn Sie einen Trail erstellen oder einen Trail aktualisieren. Anweisungen finden Sie unter Protokollieren von Verwaltungsereignissen mit der AWS Management Console im AWS CloudTrail-Benutzerhandbuch.
-
Verwenden Sie in der CloudTrail API die -PutEventSelectorsOperation. Fügen Sie das Attribut
ExcludeManagementEventSources
mit dem Wertkms.amazonaws.com
zu Ihren Ereignisselektoren hinzu. Weitere Informationen finden Sie unter Beispiel: Ein Trail, der keine AWS Key Management Service-Ereignisse protokolliert im AWS CloudTrail-Benutzerhandbuch.
Sie können diesen Ausschluss jederzeit deaktivieren, indem Sie die Konsoleneinstellung oder die Ereignisselektoren für einen Trail ändern. Der Trail beginnt dann mit der Aufzeichnung von AWS KMS-Ereignissen. Er kann jedoch keine AWS KMS-Ereignisse wiederherstellen, die aufgetreten sind, während der Ausschluss wirksam war.
Wenn Sie AWS KMS Ereignisse mithilfe der Konsole oder API ausschließen, wird die resultierende CloudTrail PutEventSelectors
API-Operation auch in Ihren - CloudTrail Protokollen protokolliert. Wenn AWS KMS Ereignisse nicht in Ihren CloudTrail Protokollen angezeigt werden, suchen Sie nach einem PutEventSelectors
Ereignis, bei dem das ExcludeManagementEventSources
Attribut auf gesetzt istkms.amazonaws.com
.