AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail

AWS KMS ist in einen Dienst integriert AWS CloudTrail, der alle Aufrufe AWS KMS von Benutzern, Rollen und anderen AWS Diensten aufzeichnet. CloudTrail erfasst alle API-Aufrufe AWS KMS als Ereignisse, einschließlich Aufrufe von der AWS KMS Konsole, AWS KMS APIs, AWS CloudFormation Vorlagen, AWS Command Line Interface (AWS CLI) und AWS Tools for PowerShell.

CloudTrail protokolliert alle AWS KMS Operationen, einschließlich schreibgeschützter Operationen wie ListAliasesund GetKeyRotationStatus, Operationen zur Verwaltung von KMS-Schlüsseln wie CreateKeyund und PutKeyPolicykryptografischer Operationen wie GenerateDataKeyund Decrypt. Außerdem werden interne Vorgänge protokolliert, die für AWS KMS Sie erforderlich sind, z. B., DeleteExpiredKeyMaterial, und DeleteKey. SynchronizeMultiRegionKeyRotateKey

CloudTrail protokolliert erfolgreiche Vorgänge und fehlgeschlagene Aufrufversuche, z. B. wenn dem Anrufer der Zugriff auf eine Ressource verweigert wird. Kontoübergreifende Vorgänge auf KMS-Schlüssel in anderen Konten werden sowohl im Konto des Anrufers als auch im Konto des KMS-Schlüsselbesitzers protokolliert. Kontoübergreifende AWS KMS Anfragen, die abgelehnt werden, weil der Zugriff verweigert wurde, werden jedoch nur im Konto des Anrufers protokolliert.

Aus Sicherheitsgründen werden einige Felder in den AWS KMS Protokolleinträgen weggelassen, z. B. der Plaintext Parameter einer Verschlüsselungsanforderung und die Antwort auf GetKeyPolicyoder andere kryptografische Operationen. Um die Suche nach CloudTrail Protokolleinträgen für bestimmte KMS-Schlüssel zu vereinfachen, AWS KMS fügt der Schlüssel-ARN des betroffenen KMS-Schlüssels dem responseElements Feld in den Protokolleinträgen für einige AWS KMS Schlüsselverwaltungsvorgänge hinzu, auch wenn der API-Vorgang den Schlüssel-ARN nicht zurückgibt.

Standardmäßig werden zwar alle AWS KMS Aktionen als CloudTrail Ereignisse protokolliert, Sie können jedoch AWS KMS Aktionen von einem CloudTrail Trail ausschließen. Details hierzu finden Sie unter AWS KMS Ereignisse aus einer Spur ausschließen.

Weitere Informationen:

• CloudTrail Protokollbeispiele für AWS KMS Operationen in einer AWS Nitro-Enklave finden Sie unter. Überwachung von Anfragen für Nitro-Enklaven

Themen

• Ereignisse protokollieren CloudTrail
• Suchen nach Ereignissen in CloudTrail
• AWS KMS Ereignisse aus einer Spur ausschließen
• Beispiele für AWS KMS Protokolleinträge

Ereignisse protokollieren CloudTrail

CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn eine Aktivität in stattfindet AWS KMS, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie in einem Ereignis aufgezeichnet. Sie können in Ihrem AWS-Konto die neusten Ereignisse anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich der Ereignisse für AWS KMS, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere konfigurieren, AWS -Services um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:

• Übersicht zum Erstellen eines Trails

• CloudTrail unterstützte Dienste und Integrationen

• Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail

• Empfangen von CloudTrail Protokolldateien aus mehreren Regionen und Empfangen von CloudTrail Protokolldateien von mehreren Konten

Weitere Informationen CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch. Weitere Informationen zu anderen Methoden zur Überwachung der Nutzung Ihrer KMS-Schlüssel finden Sie unter Überwachung von AWS KMS keys.

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:

• Ob die Anforderung mit Root-Benutzeranmeldeinformationen oder IAM-Benutzeranmeldeinformationen gestellt wurde.

• Wurde die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen verbundenen Benutzer ausgeführt?

• Wenn die Anfrage von einem anderen gestellt wurde AWS -Service.

Weitere Informationen finden Sie unter dem CloudTrail UserIdentity-Element.

Suchen nach Ereignissen in CloudTrail

Verwenden Sie die CloudTrail Konsole oder den CloudTrail LookupEventsVorgang, um nach CloudTrail Protokolleinträgen zu suchen. CloudTrail unterstützt zahlreiche Attributwerte zum Filtern Ihrer Suche, einschließlich Ereignisname, Benutzername und Ereignisquelle.

Füllt die folgenden AWS KMS Protokolleintragsfelder aus CloudTrail, AWS KMS um Ihnen die Suche nach CloudTrail Protokolleinträgen zu erleichtern.

Anmerkung

Füllt ab Dezember 2022 die Attribute Ressourcentyp und Ressourcenname in allen Verwaltungsvorgängen aus, die einen bestimmten KMS-Schlüssel ändern. AWS KMS Diese Attributwerte können in älteren CloudTrail Einträgen für die folgenden Operationen Null sein: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrantUpdateAlias, und UpdatePrimaryRegion.

Attribut	Wert	Protokolleinträge
Ereignisquelle (EventSource)	kms.amazonaws.com	Alle Vorgänge.
Ressourcentyp (ResourceType)	AWS::KMS::Key	Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys.
Ressourcenname (ResourceName)	Schlüssel-ARN (oder Schlüssel-ID und Schlüssel-ARN)	Verwaltungsvorgänge, die einen bestimmten KMS-Schlüssel ändern, z. B.CreateKey undEnableKey, aber nicht ListKeys.

Um Ihnen das Auffinden von Protokolleinträgen für Verwaltungsvorgänge mit bestimmten KMS-Schlüsseln zu erleichtern, AWS KMS zeichnet es den Schlüssel-ARN des betroffenen KMS-Schlüssels im responseElements.keyId Element des Protokolleintrags auf, auch wenn der AWS KMS API-Vorgang den Schlüssel-ARN nicht zurückgibt.

Beispielsweise gibt ein erfolgreicher Aufruf des DisableKeyVorgangs keine Werte in der Antwort zurück, aber statt eines Nullwerts enthält der responseElements.keyId Wert im DisableKey Protokolleintrag den Schlüssel ARN des deaktivierten KMS-Schlüssels.

Diese Funktion wurde im Dezember 2022 hinzugefügt und wirkt sich auf die folgenden CloudTrail Protokolleinträge aus: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias, und UpdatePrimaryRegion.

AWS KMS Ereignisse aus einer Spur ausschließen

Um die Nutzung und Verwaltung ihrer AWS KMS Ressourcen aufzuzeichnen, verlassen sich die meisten AWS KMS Benutzer auf die Ereignisse in einem CloudTrail Trail. Der Trail kann eine wertvolle Datenquelle für die Überwachung kritischer Ereignisse sein, wie z. B. das Erstellen, Deaktivieren und Löschen AWS KMS keys, Ändern von Schlüsselrichtlinien und die Verwendung Ihrer KMS-Schlüssel durch AWS Dienste in Ihrem Namen. In einigen Fällen können Ihnen die Metadaten in einem CloudTrail Protokolleintrag, z. B. der Verschlüsselungskontext bei einem Verschlüsselungsvorgang, dabei helfen, Fehler zu vermeiden oder zu beheben.

Da jedoch eine große Anzahl von Ereignissen generiert werden AWS KMS kann, AWS CloudTrail können Sie AWS KMS Ereignisse aus einer Spur ausschließen. Diese Einstellung pro Trail schließt alle AWS KMS Ereignisse aus. Sie können bestimmte AWS KMS Ereignisse nicht ausschließen.

Warnung

Durch das Ausschließen von AWS KMS Ereignissen aus einem CloudTrail Protokoll können Aktionen, die Ihre KMS-Schlüssel verwenden, verschleiert werden. Seien Sie vorsichtig, wenn Sie Prinzipalen die cloudtrail:PutEventSelectors-Berechtigung erteilen, die zum Ausführen dieser Operation erforderlich ist.

So schließen Sie AWS KMS Ereignisse aus einem Trail aus:

• Verwenden Sie in der CloudTrail Konsole die Einstellung Ereignisse des Schlüsselverwaltungsdienstes protokollieren, wenn Sie einen Trail erstellen oder einen Trail aktualisieren. Anweisungen finden Sie AWS Management Console im AWS CloudTrail Benutzerhandbuch unter Protokollieren von Management-Ereignissen mit dem.

• Verwenden Sie in der CloudTrail API den PutEventSelectorsVorgang. Fügen Sie das Attribut ExcludeManagementEventSources mit dem Wert kms.amazonaws.com zu Ihren Ereignisselektoren hinzu. Ein Beispiel finden Sie im AWS CloudTrail Benutzerhandbuch unter Beispiel: Ein Trail, der keine AWS Key Management Service Ereignisse protokolliert.

Sie können diesen Ausschluss jederzeit deaktivieren, indem Sie die Konsoleneinstellung oder die Ereignisselektoren für einen Trail ändern. Der Trail beginnt dann mit der Aufzeichnung von AWS KMS Ereignissen. AWS KMS Ereignisse, die während der Gültigkeit des Ausschlusses eingetreten sind, können jedoch nicht wiederhergestellt werden.

Wenn Sie AWS KMS Ereignisse mithilfe der Konsole oder der API ausschließen, wird der daraus resultierende CloudTrail PutEventSelectors API-Vorgang auch in Ihren CloudTrail Protokollen protokolliert. Wenn AWS KMS Ereignisse nicht in Ihren CloudTrail Protokollen erscheinen, suchen Sie nach einem PutEventSelectors Ereignis, bei dem das ExcludeManagementEventSources Attribut auf gesetzt istkms.amazonaws.com.