Protokollierung von AWS KMS-API-Aufrufen mit AWS CloudTrail

AWS KMS ist in integriertAWS CloudTrail, einem Service, der alle Aufrufe an AWS KMS von Benutzern, Rollen und anderen -AWSServices aufzeichnet. CloudTrail erfasst alle API-Aufrufe an AWS KMS als Ereignisse, einschließlich Aufrufen von der AWS KMSKonsole, AWS KMS APIs, AWS CloudFormation Vorlagen, AWS Command Line Interface (AWS CLI) und AWS Tools for PowerShell. APIs

CloudTrail protokolliert alle AWS KMS -Operationen, einschließlich schreibgeschützter Operationen wie ListAliases und GetKeyRotationStatus, Operationen zur Verwaltung von KMS-Schlüsseln wie CreateKey und PutKeyPolicyund kryptografische Operationen wie GenerateDataKey und Entschlüsseln. Außerdem werden interne Operationen protokolliert, die für Sie AWS KMSaufruft, z. B. DeleteExpiredKeyMaterial, DeleteKeySynchronizeMultiRegionKey, und RotateKey.

CloudTrail protokolliert erfolgreiche Operationen und fehlgeschlagene Aufrufe, z. B. wenn dem Aufrufer der Zugriff auf eine Ressource verweigert wird. Kontoübergreifende Vorgänge auf KMS-Schlüssel in anderen Konten werden sowohl im Konto des Anrufers als auch im Konto des KMS-Schlüsselbesitzers protokolliert. Kontoübergreifende AWS KMS-Anfragen, die abgelehnt werden, weil der Zugriff verweigert wurde, werden jedoch nur im Konto des Anrufers protokolliert.

Aus Sicherheitsgründen werden einige Felder aus AWS KMS Protokolleinträgen weggelassen, z. B. der Plaintext Parameter einer Encrypt-Anforderung und die Antwort auf GetKeyPolicy oder eine kryptografische Operation. Um die Suche nach CloudTrail Protokolleinträgen für bestimmte KMS-Schlüssel zu erleichtern, AWS KMS fügt den Schlüssel-ARN des betroffenen KMS-Schlüssels dem -responseElementsFeld in den Protokolleinträgen für einige AWS KMS Schlüsselverwaltungsvorgänge hinzu, auch wenn der API-Vorgang den Schlüssel-ARN nicht zurückgibt.

Obwohl standardmäßig alle AWS KMS Aktionen als CloudTrail Ereignisse protokolliert werden, können Sie AWS KMS Aktionen aus einem CloudTrail Trail ausschließen. Details hierzu finden Sie unter Ausschließen von AWS KMS-Ereignissen aus einem Trail.

Weitere Informationen:

• CloudTrail Protokollbeispiele für AWS KMS Operationen für eine -AWSNitro-Enklave finden Sie unter Überwachung von Anfragen für Nitro-Enklaven.

Themen

• Protokollieren von Ereignissen in CloudTrail
• Suchen von Ereignissen in CloudTrail
• Ausschließen von AWS KMS-Ereignissen aus einem Trail
• Beispiele von AWS KMS-Protokolleinträgen

Protokollieren von Ereignissen in CloudTrail

CloudTrail wird beim Erstellen des Kontos AWS-Konto auf Ihrem aktiviert. Wenn eine Aktivität in auftrittAWS KMS, wird diese Aktivität in einem - CloudTrail Ereignis zusammen mit anderen -AWSServiceereignissen im Ereignisverlauf aufgezeichnet. Sie können in Ihrem AWS-Konto die neusten Ereignisse anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Anzeigen von Ereignissen mit dem CloudTrail Ereignisverlauf.

Zur kontinuierlichen Aufzeichnung von Ereignissen in Ihrem AWS-Konto, einschließlich Ereignissen für AWS KMS, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Bereitstellung von Protokolldateien an einen Amazon S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS-Partition und stellt die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket bereit. Darüber hinaus können Sie andere konfigurieren, AWS-Services um die in den CloudTrail Protokollen erfassten Ereignisdaten weiter zu analysieren und entsprechend zu agieren. Weitere Informationen finden Sie hier:

• Übersicht zum Erstellen eines Trails

• CloudTrail Von unterstützte Services und Integrationen

• Konfigurieren von Amazon SNS-Benachrichtigungen für CloudTrail

• Empfangen von CloudTrail Protokolldateien aus mehreren Regionen und Empfangen CloudTrail von Protokolldateien aus mehreren Konten

Weitere Informationen zu CloudTrailfinden Sie im AWS CloudTrail -Benutzerhandbuch. Weitere Informationen zu anderen Methoden zur Überwachung der Nutzung Ihrer KMS-Schlüssel finden Sie unter Überwachung von AWS KMS keys.

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:

• Ob die Anforderung mit Root-Benutzeranmeldeinformationen oder IAM-Benutzeranmeldeinformationen gestellt wurde.

• Wurde die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen verbundenen Benutzer ausgeführt?

• Wurde die Anforderung von einem anderen AWS-Service gestellt?

Weitere Informationen finden Sie unter CloudTrail userIdentity-Element.

Suchen von Ereignissen in CloudTrail

Um CloudTrail Protokolleinträge zu durchsuchen, verwenden Sie die -CloudTrail Konsole oder die -CloudTrail LookupEventsOperation. CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, darunter Ereignisname, Benutzername und Ereignisquelle.

Damit Sie in nach AWS KMS Protokolleinträgen suchen können CloudTrail, AWS KMS füllt die folgenden CloudTrail Protokolleintragsfelder aus.

Anmerkung

AWS KMS füllt ab Dezember 2022 die Attribute Ressourcentyp und Ressourcenname in allen Verwaltungsvorgängen auf, die einen bestimmten KMS-Schlüssel ändern. Diese Attributwerte können in älteren CloudTrail Einträgen für die folgenden Operationen null sein: CreateAlias, CreateGrant, DeleteAlias, ImportKeyMaterial, DeleteImportedKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias, und UpdatePrimaryRegion.

Attribut	Wert	Protokolleinträge
Ereignisquelle (EventSource)	kms.amazonaws.com	Alle Vorgänge.
Ressourcentyp (ResourceType)	AWS::KMS::Key	Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys.
Ressourcenname (ResourceName)	Schlüssel-ARN (oder Schlüssel-ID und Schlüssel-ARN)	Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys.

Um Ihnen die Suche nach Protokolleinträgen für Verwaltungsvorgänge für bestimmte KMS-Schlüssel zu erleichtern, zeichnet AWS KMS den Schlüssel-ARN des betroffenen KMS-Schlüssels im responseElements.keyId-Element des Protokolleintrags aufgezeichnet, auch wenn der AWS KMS-API-Vorgang den Schlüssel-ARN nicht zurückgibt.

Beispielsweise gibt ein erfolgreicher Aufruf der -DisableKeyOperation keine Werte in der Antwort zurück, aber anstelle eines Nullwerts enthält der responseElements.keyId Wert im DisableKey Protokolleintrag den Schlüssel-ARN des deaktivierten KMS-Schlüssels.

Diese Funktion wurde im Dezember 2022 hinzugefügt und wirkt sich auf die folgenden CloudTrail Protokolleinträge aus: CreateAlias, CreateGrant, DeleteAlias, DeleteKey, DisableKey, EnableKey EnableKeyRotationImportKeyMaterial, , RotateKey, SynchronizeMultiRegionKey, , , , TagResource, UpdateAlias, UntagResource, und UpdatePrimaryRegion.

Ausschließen von AWS KMS-Ereignissen aus einem Trail

Um eine Aufzeichnung der Verwendung und Verwaltung ihrer AWS KMS Ressourcen bereitzustellen, verlassen sich die meisten AWS KMS Benutzer auf die Ereignisse in einem CloudTrail Trail. Der Trail kann eine wertvolle Datenquelle für die Prüfung kritischer Ereignisse sein, wie das Erstellen, Deaktivieren und Löschen von AWS KMS keys, das Ändern der Schlüsselrichtlinie und die Nutzung Ihrer KMS-Schlüssels in Ihrem Namen durch AWS-Services. In einigen Fällen können die Metadaten in einem CloudTrail Protokolleintrag, z. B. der Verschlüsselungskontext in einer Verschlüsselungsoperation, Ihnen helfen, Fehler zu vermeiden oder zu beheben.

Da AWS KMS jedoch eine große Anzahl von Ereignissen generieren kann, können Sie mit AWS CloudTrail AWS KMS-Ereignisse aus einem Trail ausschließen. Diese trailbezogene Einstellung schließt alle AWS KMS-Ereignisse aus. Bestimmte AWS KMS-Ereignisse können nicht ausgeschlossen werden.

Warnung

Das Ausschließen von AWS KMS Ereignissen aus einem CloudTrail Protokoll kann Aktionen verdecken, die Ihre KMS-Schlüssel verwenden. Seien Sie vorsichtig, wenn Sie Prinzipalen die cloudtrail:PutEventSelectors-Berechtigung erteilen, die zum Ausführen dieser Operation erforderlich ist.

So schließen Sie AWS KMS-Ereignisse aus einem Trail aus:

• Verwenden Sie in der CloudTrail Konsole die Einstellung Log Key Management Service events, wenn Sie einen Trail erstellen oder einen Trail aktualisieren. Anweisungen finden Sie unter Protokollieren von Verwaltungsereignissen mit der AWS Management Console im AWS CloudTrail-Benutzerhandbuch.

• Verwenden Sie in der CloudTrail API die -PutEventSelectorsOperation. Fügen Sie das Attribut ExcludeManagementEventSources mit dem Wert kms.amazonaws.com zu Ihren Ereignisselektoren hinzu. Weitere Informationen finden Sie unter Beispiel: Ein Trail, der keine AWS Key Management Service-Ereignisse protokolliert im AWS CloudTrail-Benutzerhandbuch.

Sie können diesen Ausschluss jederzeit deaktivieren, indem Sie die Konsoleneinstellung oder die Ereignisselektoren für einen Trail ändern. Der Trail beginnt dann mit der Aufzeichnung von AWS KMS-Ereignissen. Er kann jedoch keine AWS KMS-Ereignisse wiederherstellen, die aufgetreten sind, während der Ausschluss wirksam war.

Wenn Sie AWS KMS Ereignisse mithilfe der Konsole oder API ausschließen, wird die resultierende CloudTrail PutEventSelectors API-Operation auch in Ihren - CloudTrail Protokollen protokolliert. Wenn AWS KMS Ereignisse nicht in Ihren CloudTrail Protokollen angezeigt werden, suchen Sie nach einem PutEventSelectors Ereignis, bei dem das ExcludeManagementEventSources Attribut auf gesetzt istkms.amazonaws.com.