Registro de llamadas a la API de AWS KMS con AWS CloudTrail - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de llamadas a la API de AWS KMS con AWS CloudTrail

AWS KMSestá integrado con AWS CloudTrailun servicio que graba todas las llamadas realizadas AWS KMS por los usuarios, los roles y otros AWS servicios. CloudTrail captura todas las llamadas a la API AWS KMS como eventos, incluidas las llamadas desde la AWS KMS consola, AWS KMS las API, las AWS CloudFormation plantillas, el AWS Command Line Interface (AWS CLI) yAWS Tools for PowerShell.

CloudTrail registra todas AWS KMS las operaciones, incluidas las operaciones de solo lectura, como ListAliasesy GetKeyRotationStatus, las operaciones que administran las claves de KMS, como CreateKeyy PutKeyPolicy, las operaciones criptográficas, como GenerateDataKeyDecrypt. También registra las operaciones internas que lo AWS KMS requieran, como,, DeleteExpiredKeyMaterialy DeleteKey. SynchronizeMultiRegionKeyRotateKey

CloudTrail registra las operaciones correctas y los intentos de llamadas fallidos, por ejemplo, cuando a la persona que llama se le niega el acceso a un recurso. Las operaciones que utilizan claves de KMS en otras cuentas se registran tanto en la cuenta del autor de la llamada como en la cuenta del propietario de la clave de KMS. Sin embargo, las solicitudes de entre AWS KMS cuentas que se rechazan porque se deniega el acceso solo se registran en la cuenta de la persona que llama.

Por motivos de seguridad, algunos campos se omiten de las entradas de AWS KMS registro, como el Plaintext parámetro de una solicitud de cifrado y la respuesta a GetKeyPolicycualquier operación criptográfica. Para facilitar la búsqueda de entradas de CloudTrail registro para determinadas claves de KMS, AWS KMS agrega el ARN de clave de la clave de KMS afectada al responseElements campo de las entradas de registro para algunas operaciones de administración de AWS KMS claves, incluso cuando la operación de API no devuelva el ARN de clave.

Aunque, de forma predeterminada, todas AWS KMS las acciones se registran como CloudTrail eventos, puedes AWS KMS excluirlas de un CloudTrail registro. Para obtener más detalles, consulte Excluir eventos de AWS KMS de un registro de seguimiento.

Más información:

Registrar eventos en CloudTrail

CloudTrail está activado en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad enAWS KMS, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos.

Para mantener un registro continuo de eventos en la Cuenta de AWS, incluidos los eventos de AWS KMS, cree un registro de seguimiento. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. Además, puede configurar otros Servicios de AWS para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte:

Para obtener más información CloudTrail, consulte la Guía AWS CloudTrail del usuario. Para obtener más información acerca de otras formas para monitorear el uso de las claves KMS, consulte Supervisión de AWS KMS keys.

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:

  • Si la solicitud se realizó con credenciales de usuario raíz o credenciales de usuario de IAM.

  • Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

  • Si la solicitud la realizó otro Servicio de AWS.

Para obtener más información, consulte el Elemento userIdentity de CloudTrail .

Búsqueda de eventos en CloudTrail

Para buscar entradas de CloudTrail registro, utilice la CloudTrail consola o la CloudTrail LookupEventsoperación. CloudTrail admite numerosos valores de atributos para filtrar la búsqueda, incluidos el nombre del evento, el nombre de usuario y la fuente del evento.

Para ayudarle a buscar entradas de AWS KMS registro CloudTrail, AWS KMS rellena los siguientes campos de entrada de CloudTrail registro.

nota

A partir de diciembre de 2022, AWS KMS rellena los atributos Tipo de recurso y Nombre de recurso en todas las operaciones de administración que cambien una clave de KMS determinada. Estos valores de atributo pueden ser nulos en CloudTrail entradas antiguas para las siguientes operaciones: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrantUpdateAlias, y UpdatePrimaryRegion.

Atributo Valor Entradas de registro
Fuente del evento (EventSource) kms.amazonaws.com Todas las operaciones.
Tipo de recurso (ResourceType) AWS::KMS::Key Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys.
Nombre del recurso (ResourceName) ARN de clave (o ID de clave y ARN de clave) Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys.

Para ayudarlo a encontrar las entradas de registro para las operaciones de administración en determinadas claves de KMS, AWS KMS registra el ARN de la clave de KMS afectada en el elemento responseElements.keyId de la entrada de registro, incluso cuando la operación de AWS KMS de la API no devuelve el ARN de clave.

Por ejemplo, una llamada correcta a la DisableKeyoperación no devuelve ningún valor en la respuesta, pero en lugar de un valor nulo, el responseElements.keyId valor de la entrada de DisableKey registro incluye la clave ARN de la clave KMS deshabilitada.

Esta función se agregó en diciembre de 2022 y afecta a las siguientes entradas de CloudTrail registro: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, y UpdatePrimaryRegion.

Excluir eventos de AWS KMS de un registro de seguimiento

Para proporcionar un registro del uso y la administración de sus AWS KMS recursos, la mayoría de AWS KMS los usuarios se basan en los eventos de un CloudTrail registro. El registro de seguimiento puede ser una valiosa fuente de datos para auditar eventos críticos, como la creación, deshabilitación y eliminación AWS KMS keys, el cambio de la política de claves y el uso de las claves KMS por los servicios de AWS en su nombre. En algunos casos, los metadatos de una entrada de CloudTrail registro, como el contexto de cifrado de una operación de cifrado, pueden ayudarle a evitar o resolver errores.

Sin embargo, dado que AWS KMS puede generar un gran número de eventos, AWS CloudTrail le permite excluir eventos de AWS KMS de un registro de seguimiento. Esta configuración por registro de seguimiento excluye todos los eventos de AWS KMS; no se pueden excluir eventos de AWS KMS concretos.

aviso

Al excluir AWS KMS eventos de un CloudTrail registro, se pueden ocultar las acciones que utilizan las claves de KMS. Actúe con precaución al conceder a las entidades principales el permiso cloudtrail:PutEventSelectors necesario para realizar esta operación.

Para excluir los eventos de AWS KMS de un registro de seguimiento:

Puede desactivar esta exclusión en cualquier momento cambiando la configuración de la consola o los selectores de eventos de un registro de seguimiento. A continuación, el registro de seguimiento comenzará a registrar eventos de AWS KMS. Sin embargo, no puede recuperar los eventos de AWS KMS que se produjeran mientras la exclusión estaba en vigor.

Cuando excluyes AWS KMS eventos mediante la consola o la API, la operación de CloudTrail PutEventSelectors API resultante también se registra en tus CloudTrail registros. Si AWS KMS los eventos no aparecen en tus CloudTrail registros, busca un PutEventSelectors evento con el ExcludeManagementEventSources atributo establecido enkms.amazonaws.com.