Registrar llamadas a la API de AWS KMS con AWS CloudTrail - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registrar llamadas a la API de AWS KMS con AWS CloudTrail

AWS KMSestá integrado conAWS CloudTrail, un servicio que registra todas las llamadas aAWS KMSpor usuarios, roles y otrosAWSServicios de . CloudTrail captura todas las llamadas a la API aAWS KMSComo eventos, incluidas las llamadas desde elAWS KMSconsola de,AWS KMSAPI, laAWS Command Line Interface(AWS CLI), yAWS Tools for PowerShell.

Registros de CloudTrail todosAWS KMSLas operaciones de, incluidas las de solo lectura, como las deListAliasesyGetKeyRotationStatus, operaciones que administran CMK, comoCreateKeyyPutKeyPolicy, yoperaciones criptográficas, como, por ejemplo,GenerateDataKeyyDecrypt.

CloudTrail registra operaciones exitosas e intentos de llamadas que han fallado, como cuando se deniega el acceso a un recurso a la persona que llama. Operaciones enCMK en otras cuentasestán conectados tanto en la cuenta de la persona que llama como en la cuenta del propietario de CMK.

Por razones de seguridad, algunos campos se omiten enAWS KMSentradas de registro, como elPlaintextParámetro de unEncrypt, y la respuesta aGetKeyPolicyo cualquier operación criptográfica.

Aunque, de forma predeterminada, todos losAWS KMSse registran como eventos de CloudTrail, puede excluirAWS KMSDesde un registro de seguimiento de CloudTrail. Para obtener más información, consulte Excluir eventos de AWS KMS de un registro de seguimiento.

Registro de eventos en CloudTrail

CloudTrail está habilitado en su Cuenta de AWS al crearla una cuenta. Cuando se produce actividad enAWS KMS, dicha actividad se registra en un evento de CloudTrail junto con los demás eventos deAWSServicios de eventos enHistorial de eventos. Puede ver, buscar y descargar los últimos eventos de la Cuenta de AWS . Para obtener más información, consulte Ver eventos con el historial de eventos de CloudTrail.

Para obtener un registro continuo de los eventos de la Cuenta de AWS , incluidos los eventos paraAWS KMS, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. El registro de seguimiento registra los eventos de todas las regiones de laAWSy entrega los archivos de registro al bucket de Amazon S3 que se especifique. Además, puede configurar otrosAWSpara analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte:

Para obtener más información sobre CloudTrail, consulte laAWS CloudTrailGuía del usuario. Para obtener más información acerca de otras formas para monitorear el uso de las CMK, consulte Monitorear las claves maestras de cliente.

Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:

  • Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.

  • Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

  • Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Excluir eventos de AWS KMS de un registro de seguimiento

La mayoríaAWS KMSconfían en que los eventos de una pista de CloudTrail le proporcionen un registro del uso y la administración de susAWS KMSde AWS. El registro de seguimiento puede ser una valiosa fuente de datos para auditar eventos críticos, como la creación, deshabilitación y eliminación de claves maestras del cliente (CMK), el cambio de la política de claves y el uso de las CMK por los servicios de AWS en su nombre. En algunos casos, los metadatos de una entrada de registro de CloudTrail, como la propiedadcontexto de cifradoen una operación de cifrado, puede ayudarle a evitar o resolver errores.

Sin embargo, dado que AWS KMS puede generar un gran número de eventos, AWS CloudTrail le permite excluir eventos de AWS KMS de un registro de seguimiento. Esta configuración por registro de seguimiento excluye todos los eventos de AWS KMS; no se pueden excluir eventos de AWS KMS concretos.

aviso

ExcluyeAWS KMSde un registro de CloudTrail puede ocultar las acciones que utilizan sus CMK. Actúe con precaución al conceder a las entidades principales el permiso cloudtrail:PutEventSelectors necesario para realizar esta operación.

Para excluir los eventos de AWS KMS de un registro de seguimiento:

Puede deshabilitar esta exclusión en cualquier momento cambiando la configuración de la consola o los selectores de eventos de un registro de seguimiento. A continuación, el registro de seguimiento comenzará a registrar eventos de AWS KMS. Sin embargo, no puede recuperar los eventos de AWS KMS que se produjeran mientras la exclusión estaba en vigor.

Cuando excluyeAWS KMSAl utilizar la consola o la API, el CloudTrail resultantePutEventSelectorsEl funcionamiento de la API también se registra en los registros de CloudTrail. SiAWS KMSNo aparecen en los registros de CloudTrail, busque unaPutEventSelectorsevento con laExcludeManagementEventSourcesatributo establecido enkms.amazonaws.com.