Journalisation des appels d'API AWS KMS avec AWS CloudTrail - AWS Key Management Service

Journalisation des appels d'API AWS KMS avec AWS CloudTrail

AWS KMS est intégré à AWS CloudTrail, un service qui enregistre tous les appels vers AWS KMS émis par les utilisateurs, les rôles et les autres services AWS. CloudTrail capture tous les appels d'API vers AWS KMS en tant qu'événements, y compris les appels émis par la console AWS KMS, les API AWS KMS, l'AWS Command Line Interface (AWS CLI) et AWS Tools for PowerShell.

CloudTrail journalise toutes les opérations AWS KMS, y compris les opérations en lecture seule, telles que ListAliases et GetKeyRotationStatus, les opérations qui gèrent les clés KMS, telles que CreateKey et PutKeyPolicy, et les opérations cryptographiques, comme GenerateDataKey et Decrypt.

CloudTrail journalise les opérations réussies et les tentatives d'appels qui ont échoué, par exemple lorsque l'appelant se voit refuser l'accès à une ressource. Les opérations sur clés KMS dans d'autres comptes sont journalisées à la fois sur le compte appelant et le compte propriétaire de la clé KMS.

Pour des raisons de sécurité, certains champs sont omis des entrées de journaux AWS KMS, tel que le paramètre Plaintext d'une demande Encrypt, ainsi que la réponse à GetKeyPolicy ou toute opération cryptographique.

Bien que, par défaut, toutes les actions AWS KMS soient journalisées en tant qu'événements CloudTrail, vous pouvez exclure des actions AWS KMS d'un journal d'activité CloudTrail. Pour plus de détails, veuillez consulter Exclusion d'événements AWS KMS d'un journal de suivi.

Journalisation des événements dans CloudTrail

CloudTrail est activé dans votre Compte AWS lors de la création de ce dernier. Quand une activité a lieu dans AWS KMS, cette activité est enregistrée dans un événement CloudTrail avec d'autres événements de service AWS dans l'Historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour de plus amples informations, veuillez consulter Affichage des événements avec l'historique des événements CloudTrail.

Pour un enregistrement continu des événements dans votre Compte AWS, y compris les événements pour AWS KMS, créez un journal d'activité. Un journal d'activité permet à CloudTrail de distribuer les fichiers journaux vers Amazon S3 bucket. Par défaut, lorsque vous créez un journal d'activité dans la console, il s'applique à toutes les régions. Le journal d'activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d'autres services AWS pour analyser plus en profondeur les données d'événement collectées dans les journaux CloudTrail et agir sur celles-ci. Pour plus d'informations, consultez :

Pour en savoir plus sur CloudTrail, consultez le Guide de l'utilisateur AWS CloudTrail. Pour en savoir plus sur les autres façons de contrôler l'utilisation de vos clés KMS, veuillez consulter Surveillance des AWS KMS keys.

Chaque événement ou entrée du journal contient des informations sur la personne qui a généré la demande. Les informations relatives à l'identité permettent de déterminer :

  • Si la demande a été effectuée avec les informations d'identification utilisateur racine ou IAM.

  • Si la demande a été effectuée avec des informations d'identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.

  • Si la demande a été effectuée par un autre service AWS.

Pour plus d'informations, consultez l'élément userIdentity CloudTrail.

Exclusion d'événements AWS KMS d'un journal de suivi

La plupart des utilisateurs AWS KMS s'appuient sur les événements d'un journal d'activité CloudTrail pour fournir un registre de l'utilisation et de la gestion de leurs ressources AWS KMS. Le journal d'activité peut être une source précieuse de données pour l'audit des événements critiques, tels que la création, la désactivation et la suppression de AWS KMS keys, la modification de la politique de clés et l'utilisation de vos clés KMS par les services AWS en votre nom. Dans certains cas, les métadonnées d'une entrée de journal CloudTrail, telles que le contexte de chiffrement dans une opération de chiffrement, peuvent vous aider à éviter ou à résoudre les erreurs.

Cependant, comme AWS KMS peut générer un grand nombre d'événements, AWS CloudTrail vous permet d'exclure des événements AWS KMS d'un journal de suivi. Ce paramètre de journal de suivi exclut tous les événements AWS KMS ; vous ne pouvez pas exclure des événements AWS KMS particuliers.

Avertissement

L'exclusion d'événements AWS KMS d'un journal CloudTrail peut masquer les actions qui utilisent vos clés KMS. Soyez prudent lorsque vous accordez aux principaux l'autorisation cloudtrail:PutEventSelectors nécessaire pour effectuer cette opération.

Pour exclure des événements AWS KMS d'un journal de suivi :

Vous pouvez désactiver cette exclusion à tout moment en modifiant le paramètres de la console ou les sélecteurs d'événements d'un journal de suivi. Le journal de suivi recommencera alors à enregistrer les événements AWS KMS. Toutefois, il ne pourra pas récupérer les événements AWS KMS survenus pendant que l'exclusion était effective.

Lorsque vous excluez des événements AWS KMS à l'aide de la console ou de l'API, l'opération d'API CloudTrail PutEventSelectors qui en résulte est également journalisée dans vos journaux CloudTrail. Si des événements AWS KMS n'apparaissent pas dans vos journaux CloudTrail, recherchez un événement PutEventSelectors dont l'attribut ExcludeManagementEventSources est défini sur kms.amazonaws.com.