Buscar alias en AWS CloudTrail registros - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Buscar alias en AWS CloudTrail registros

Puede utilizar un alias para representar un AWS KMS key en un AWS KMS APIoperación. Al hacerlo, el alias y la clave ARN de la KMS clave se graban en la AWS CloudTrail entrada de registro del evento. El alias aparece en el campo requestParameters. La clave ARN aparece en el resources campo. Esto es cierto incluso cuando un AWS el servicio utiliza un Clave administrada de AWS en tu cuenta.

Por ejemplo, la siguiente GenerateDataKeysolicitud utiliza el project-key alias para representar una KMS clave.

$ aws kms generate-data-key --key-id alias/project-key --key-spec AES_256

Cuando esta solicitud se registra en el CloudTrail registro, la entrada del registro incluye tanto el alias como la clave ARN de la KMS clave real que se utilizó.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "ABCDE", "arn": "arn:aws:iam::111122223333:role/ProjectDev", "accountId": "111122223333", "accessKeyId": "FFHIJ", "userName": "example-dev" }, "eventTime": "2020-06-29T23:36:41Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "205.205.123.000", "userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12", "requestParameters": { "keyId": "alias/project-key", "keySpec": "AES_256" }, "responseElements": null, "requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363", "eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

Para obtener más información sobre el registro AWS KMS operaciones en CloudTrail registros, consulteRegistrar llamadas a la AWS KMS API con AWS CloudTrail.