Registrar llamadas a la AWS KMS API con AWS CloudTrail

AWS KMS está integrado con AWS CloudTrailun servicio que registra todas las llamadas realizadas AWS KMS por los usuarios, los roles y otros AWS servicios. CloudTrail captura todas las llamadas a la API AWS KMS como eventos, incluidas las llamadas desde la AWS KMS consola, AWS KMS las API, las AWS CloudFormation plantillas, el AWS Command Line Interface (AWS CLI) y AWS Tools for PowerShell.

CloudTrail registra todas AWS KMS las operaciones, incluidas las operaciones de solo lectura, como ListAliasesy GetKeyRotationStatus, las operaciones que administran las claves de KMS, como CreateKeyy PutKeyPolicy, las operaciones criptográficas, como GenerateDataKeyDecrypt. También registra las operaciones internas que lo AWS KMS requieran, como,, DeleteExpiredKeyMaterialy DeleteKey. SynchronizeMultiRegionKeyRotateKey

CloudTrail registra las operaciones correctas y los intentos de llamadas que han fallado, por ejemplo, cuando se deniega el acceso a un recurso a la persona que llama. Las operaciones que utilizan claves de KMS en otras cuentas se registran tanto en la cuenta del autor de la llamada como en la cuenta del propietario de la clave de KMS. Sin embargo, AWS KMS las solicitudes entre cuentas que se rechazan porque se ha denegado el acceso se registran únicamente en la cuenta de la persona que llama.

Por motivos de seguridad, algunos campos se omiten de las entradas de AWS KMS registro, como el Plaintext parámetro de una solicitud de cifrado y la respuesta a GetKeyPolicycualquier operación criptográfica. Para facilitar la búsqueda de entradas de CloudTrail registro para determinadas claves de KMS, AWS KMS agrega el ARN de clave de la clave de KMS afectada al responseElements campo de las entradas de registro para algunas operaciones de administración de AWS KMS claves, incluso cuando la operación de API no devuelva el ARN de clave.

Aunque, de forma predeterminada, todas AWS KMS las acciones se registran como CloudTrail eventos, puedes AWS KMS excluirlas de un CloudTrail registro. Para obtener más detalles, consulte Excluir AWS KMS eventos de una ruta.

Más información:

• Para ver ejemplos de CloudTrail registro de AWS KMS las operaciones de un enclave de AWS Nitro, consulteSupervisión de las solicitudes para enclaves de Nitro.

Temas

• Registrar eventos en CloudTrail
• Buscando eventos en CloudTrail
• Excluir AWS KMS eventos de una ruta
• Ejemplos de entradas de AWS KMS registro

Registrar eventos en CloudTrail

CloudTrail está activado en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad en AWS KMS, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos.

Para tener un registro continuo de tus eventos Cuenta de AWS, incluidos los eventos para AWS KMS ti, crea una ruta. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros Servicios de AWS para que analicen más a fondo los datos de eventos recopilados en los CloudTrail registros y actúen en función de ellos. Para obtener más información, consulte:

• Introducción a la creación de registros de seguimiento

• CloudTrail servicios e integraciones compatibles

• Configuración de las notificaciones de Amazon SNS para CloudTrail

• Recibir archivos de CloudTrail registro de varias regiones y recibir archivos de CloudTrail registro de varias cuentas

Para obtener más información CloudTrail, consulte la Guía AWS CloudTrail del usuario. Para obtener más información acerca de otras formas para monitorear el uso de las claves KMS, consulte Supervisión de AWS KMS keys.

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:

• Si la solicitud se realizó con credenciales de usuario raíz o credenciales de usuario de IAM.

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

• Si la solicitud la hizo otra persona Servicio de AWS.

Para obtener más información, consulte el elemento CloudTrail UserIdentity.

Buscando eventos en CloudTrail

Para buscar entradas de CloudTrail registro, utilice la CloudTrail consola o la CloudTrail LookupEventsoperación. CloudTrail admite numerosos valores de atributos para filtrar la búsqueda, incluidos el nombre del evento, el nombre de usuario y la fuente del evento.

Para ayudarle a buscar entradas de AWS KMS registro CloudTrail, AWS KMS rellena los siguientes campos de entrada de CloudTrail registro.

nota

A partir de diciembre de 2022, AWS KMS rellena los atributos Tipo de recurso y Nombre del recurso en todas las operaciones de administración que cambien una clave de KMS concreta. Estos valores de atributo pueden ser nulos en CloudTrail las entradas anteriores para las siguientes operaciones: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrantUpdateAlias, y UpdatePrimaryRegion.

Atributo	Valor	Entradas de registro
Fuente del evento (EventSource)	kms.amazonaws.com	Todas las operaciones.
Tipo de recurso (ResourceType)	AWS::KMS::Key	Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys.
Nombre del recurso (ResourceName)	ARN de clave (o ID de clave y ARN de clave)	Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys.

Para ayudarle a encontrar entradas de registro para las operaciones de administración en determinadas claves de KMS, AWS KMS registra el ARN de clave de la clave de KMS afectada en el responseElements.keyId elemento de la entrada de registro, incluso cuando la operación de AWS KMS API no devuelva el ARN de clave.

Por ejemplo, una llamada correcta a la DisableKeyoperación no devuelve ningún valor en la respuesta, pero en lugar de un valor nulo, el responseElements.keyId valor de la entrada de DisableKey registro incluye la clave ARN de la clave KMS deshabilitada.

Esta función se agregó en diciembre de 2022 y afecta a las siguientes entradas de CloudTrail registro: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, y UpdatePrimaryRegion.

Excluir AWS KMS eventos de una ruta

Para proporcionar un registro del uso y la administración de sus AWS KMS recursos, la mayoría de AWS KMS los usuarios se basan en los eventos de una CloudTrail ruta. El registro puede ser una fuente de datos valiosa para auditar eventos críticos, como la creación, inhabilitación y eliminación AWS KMS keys, el cambio de la política de claves y el uso de las claves de KMS por parte de AWS los servicios que actúan en su nombre. En algunos casos, los metadatos de una entrada de CloudTrail registro, como el contexto de cifrado de una operación de cifrado, pueden ayudarle a evitar o resolver errores.

Sin embargo, dado que AWS KMS puede generar una gran cantidad de eventos, AWS CloudTrail le permite excluir AWS KMS eventos de un registro. Esta configuración por ruta excluye todos los AWS KMS eventos; no puedes excluir eventos específicos AWS KMS .

aviso

Si se excluyen AWS KMS los eventos de un CloudTrail registro, se pueden ocultar las acciones que utilizan las claves de KMS. Actúe con precaución al conceder a las entidades principales el permiso cloudtrail:PutEventSelectors necesario para realizar esta operación.

Para excluir AWS KMS eventos de un registro:

• En la CloudTrail consola, utilice la configuración de eventos del Servicio de administración de claves de registro cuando cree o actualice una ruta. Para obtener instrucciones, consulte Registrar los eventos de administración AWS Management Console en la Guía del AWS CloudTrail usuario.

• En la CloudTrail API, utilice la PutEventSelectorsoperación. Agregue el atributo ExcludeManagementEventSources a sus selectores de eventos con un valor de kms.amazonaws.com. Para ver un ejemplo, consulte Ejemplo: una ruta que no registra AWS Key Management Service eventos en la Guía del AWS CloudTrail usuario.

Puede desactivar esta exclusión en cualquier momento cambiando la configuración de la consola o los selectores de eventos de un registro de seguimiento. A continuación, el sendero empezará a registrar AWS KMS los eventos. Sin embargo, no puede recuperar AWS KMS los eventos que ocurrieron mientras la exclusión estaba vigente.

Cuando excluyes AWS KMS eventos mediante la consola o la API, la operación de CloudTrail PutEventSelectors API resultante también se registra en tus CloudTrail registros. Si AWS KMS los eventos no aparecen en tus CloudTrail registros, busca un PutEventSelectors evento con el ExcludeManagementEventSources atributo establecido enkms.amazonaws.com.