Journalisation des appels d'API AWS KMS avec AWS CloudTrail - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation des appels d'API AWS KMS avec AWS CloudTrail

AWS KMSest intégré à AWS CloudTrailun service qui enregistre tous les appels AWS KMS adressés par les utilisateurs, les rôles et les autres AWS services. CloudTrail capture tous les appels d'API AWS KMS sous forme d'événements, y compris les appels depuis la AWS KMS console, les AWS KMS API, les AWS CloudFormation modèles, le AWS Command Line Interface (AWS CLI) etAWS Tools for PowerShell.

CloudTrail enregistre toutes les AWS KMS opérations, y compris les opérations en lecture seule, telles que ListAliaseset GetKeyRotationStatus, les opérations qui gèrent les clés KMS, telles que CreateKeyet, et les opérations cryptographiques PutKeyPolicy, telles que GenerateDataKeyet Decrypt. Il enregistre également les opérations internes AWS KMS qui vous concernent, telles que DeleteExpiredKeyMaterialDeleteKey, SynchronizeMultiRegionKey, et RotateKey.

CloudTrail enregistre les opérations réussies et les tentatives d'appels qui ont échoué, par exemple lorsque l'accès à une ressource est refusé à l'appelant. Les opérations intercomptes sur clés KMS sont journalisées à la fois sur le compte appelant et le compte propriétaire de la clé KMS. Toutefois, les demandes entre comptes AWS KMS qui sont rejetées parce que l'accès est refusé sont enregistrées uniquement dans le compte de l'appelant.

Pour des raisons de sécurité, certains champs sont omis des entrées du AWS KMS journal, tels que le Plaintext paramètre d'une demande de chiffrement, la réponse à une opération cryptographique GetKeyPolicyou toute autre opération cryptographique. Pour faciliter la recherche d'entrées de CloudTrail journal pour des clés KMS spécifiques, AWS KMS ajoute l'ARN clé de la clé KMS affectée au responseElements champ des entrées de journal pour certaines opérations de gestion des AWS KMS clés, même si l'opération d'API ne renvoie pas l'ARN de la clé.

Bien que, par défaut, toutes les AWS KMS actions soient enregistrées en tant qu' CloudTrail événements, vous pouvez AWS KMS les exclure d'un CloudTrail suivi. Pour plus de détails, consultez Exclusion d'événements AWS KMS d'un journal de suivi.

En savoir plus :

Enregistrement des événements dans CloudTrail

CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité se produit dansAWS KMS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section Affichage des événements à l'aide de l'historique des CloudTrail événements.

Pour un enregistrement continu des événements dans votre Compte AWS, y compris les événements pour AWS KMS, créez un journal d'activité. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions Régions AWS. Le journal de suivi consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez en configurer d'autres Services AWS pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. section withinPour plus d'informations, consultez :

Pour en savoir plus CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur. Pour en savoir plus sur les autres façons de contrôler l'utilisation de vos clés KMS, veuillez consulter Surveillance des AWS KMS keys.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :

  • Si la demande a été effectuée avec des informations d'identification racine ou avec les informations d'identification d'un utilisateur IAM.

  • Si la demande a été effectuée avec des informations d'identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.

  • Si la demande a été effectuée par un autre Service AWS.

Pour plus d'informations, consultez la section Élément userIdentity CloudTrail .

Recherche d'événements dans CloudTrail

Pour rechercher des entrées de CloudTrail journal, utilisez la CloudTrail console ou l'CloudTrail LookupEventsopération. CloudTrail prend en charge de nombreuses valeurs d'attribut pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.

Pour vous aider à rechercher des entrées de AWS KMS journal dans CloudTrail, AWS KMS remplit les champs d'entrée de CloudTrail journal suivants.

Note

À compter de décembre 2022, AWS KMS remplit les attributs Resource type (Type de ressource) et Resource name (Nom de ressource) dans toutes les opérations de gestion qui modifient une clé KMS particulière. Ces valeurs d'attribut peuvent être nulles dans les anciennes CloudTrail entrées pour les opérations suivantes : CreateAliasCreateGrantDeleteAliasDeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias, et UpdatePrimaryRegion.

Attribut Valeur Entrées de journal
Source de l'événement (EventSource) kms.amazonaws.com Toutes les opérations.
Type de ressource (ResourceType) AWS::KMS::Key Opérations de gestion qui modifient une clé KMS particulière, telles que CreateKey et EnableKey, mais pas ListKeys.
Nom de ressource (ResourceName) ARN de clé (ou ID de clé et ARN de clé) Opérations de gestion qui modifient une clé KMS particulière, telles que CreateKey et EnableKey, mais pas ListKeys.

Pour vous aider à trouver les entrées de journal pour les opérations de gestion sur des clés KMS particulières, AWS KMS enregistre l'ARN de la clé KMS affectée dans l'élément responseElements.keyId de l'entrée de journal, même si l'opération d'API AWS KMS ne renvoie pas l'ARN de la clé.

Par exemple, un appel réussi à l'DisableKeyopération ne renvoie aucune valeur dans la réponse, mais au lieu d'une valeur nulle, la responseElements.keyId valeur de l'entrée du DisableKey journal inclut l'ARN de la clé KMS désactivée.

Cette fonctionnalité a été ajoutée en décembre 2022 et concerne les entrées de CloudTrail journal suivantes : CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias, et UpdatePrimaryRegion.

Exclusion d'événements AWS KMS d'un journal de suivi

Pour fournir un enregistrement de l'utilisation et de la gestion de leurs AWS KMS ressources, la plupart des AWS KMS utilisateurs s'appuient sur les événements d'un CloudTrail sentier. Le journal d'activité peut être une source précieuse de données pour l'audit des événements critiques, tels que la création, la désactivation et la suppression de AWS KMS keys, la modification de la politique de clés et l'utilisation de vos clés KMS par les services AWS en votre nom. Dans certains cas, les métadonnées d'une entrée de CloudTrail journal, telles que le contexte de chiffrement d'une opération de chiffrement, peuvent vous aider à éviter ou à résoudre les erreurs.

Cependant, comme AWS KMS peut générer un grand nombre d'événements, AWS CloudTrail vous permet d'exclure des événements AWS KMS d'un journal de suivi. Ce paramètre de journal de suivi exclut tous les événements AWS KMS ; vous ne pouvez pas exclure des événements AWS KMS particuliers.

Avertissement

L'exclusion d'AWS KMSévénements d'un CloudTrail journal peut masquer les actions qui utilisent vos clés KMS. Soyez prudent lorsque vous accordez aux principaux l'autorisation cloudtrail:PutEventSelectors nécessaire pour effectuer cette opération.

Pour exclure des événements AWS KMS d'un journal de suivi :

Vous pouvez désactiver cette exclusion à tout moment en modifiant le paramètres de la console ou les sélecteurs d'événements d'un journal de suivi. Le journal de suivi recommencera alors à enregistrer les événements AWS KMS. Toutefois, il ne pourra pas récupérer les événements AWS KMS survenus pendant que l'exclusion était effective.

Lorsque vous excluez AWS KMS des événements à l'aide de la console ou de l'API, l'opération CloudTrail PutEventSelectors d'API qui en résulte est également enregistrée dans vos CloudTrail journaux. Si AWS KMS les événements n'apparaissent pas dans vos CloudTrail journaux, recherchez un PutEventSelectors événement dont l'ExcludeManagementEventSourcesattribut est défini surkms.amazonaws.com.