Búsqueda de alias en registros de AWS CloudTrail
Puede usar un alias para representar un AWS KMS key en una operación de la API de AWS KMS. Cuando lo haga, el alias y la clave ARN de la clave KMS se registran en la entrada de registro AWS CloudTrail del evento. El alias aparece en el campo requestParameters. El ARN de clave aparece en el campo resources. Esto es así incluso cuando un servicio AWS utiliza un Clave administrada de AWS en su cuenta.
Por ejemplo, la siguiente solicitud GenerateDataKey utiliza el alias project-key para representar una clave KMS.
$aws kms generate-data-key --key-id alias/project-key --key-spec AES_256
Cuando esta solicitud se registra en el registro de CloudTrail, la entrada de registro incluye tanto el alias como la clave ARN de la clave KMS real que se utilizó.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "ABCDE", "arn": "arn:aws:iam::111122223333:role/ProjectDev", "accountId": "111122223333", "accessKeyId": "FFHIJ", "userName": "example-dev" }, "eventTime": "2020-06-29T23:36:41Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "205.205.123.000", "userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12", "requestParameters": { "keyId": "alias/project-key", "keySpec": "AES_256" }, "responseElements": null, "requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363", "eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
Para obtener más información sobre el registro de operaciones de AWS KMS en los registros de CloudTrail, consulte Registro de llamadas a la API de AWS KMS con AWS CloudTrail.
