Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enregistrement AWS KMS API des appels avec AWS CloudTrail
AWS KMS est intégré à AWS CloudTrailun service qui enregistre tous les appels AWS KMS adressés par les utilisateurs, les rôles et les autres AWS services. CloudTrail capture tous les API appels en AWS KMS tant qu'événements, y compris les appels depuis la AWS KMS console AWS KMS APIs, les AWS CloudFormation modèles, le AWS Command Line Interface (AWS CLI) et AWS Tools for PowerShell.
CloudTrail enregistre toutes les AWS KMS opérations, y compris les opérations en lecture seule, telles que ListAliaseset GetKeyRotationStatus, les opérations qui gèrent les KMS clés, telles que et, CreateKeyet les opérations cryptographiques PutKeyPolicy, telles que GenerateDataKeyet Decrypt. Il enregistre également les opérations internes AWS KMS qui vous concernent, telles que DeleteExpiredKeyMaterialDeleteKey, SynchronizeMultiRegionKey, et RotateKey.
CloudTrail enregistre toutes les opérations réussies et, dans certains scénarios, les tentatives d'appels qui ont échoué, par exemple lorsque l'accès à une ressource est refusé à l'appelant. Les opérations entre comptes sur KMS les clés sont enregistrées à la fois dans le compte de l'appelant et dans le compte du propriétaire des KMS clés. Toutefois, les AWS KMS demandes entre comptes rejetées parce que l'accès est refusé ne sont enregistrées que dans le compte de l'appelant.
Pour des raisons de sécurité, certains champs sont omis des entrées du AWS KMS journal, tels que le Plaintext
paramètre d'une demande de chiffrement, la réponse à une opération cryptographique GetKeyPolicyou toute autre opération cryptographique. Pour faciliter la recherche d'entrées de CloudTrail journal pour des KMS clés spécifiques, AWS KMS ajoute la clé ARN de la KMS clé affectée dans le responseElements
champ des entrées du journal pour certaines opérations de gestion des AWS KMS clés, même si l'APIopération ne renvoie pas la cléARN.
Bien que, par défaut, toutes les AWS KMS actions soient enregistrées en tant qu' CloudTrail événements, vous pouvez AWS KMS les exclure d'un CloudTrail suivi. Pour plus de détails, consultez Exclure AWS KMS des événements d'un parcours.
En savoir plus :
-
Pour CloudTrail obtenir des exemples d' AWS KMS opérations enregistrées pour une enclave AWS Nitro, consultezDemandes de surveillance pour les enclaves Nitro.
Rubriques
Recherche d'entrées de AWS KMS journal dans CloudTrail
Pour rechercher des entrées de CloudTrail journal, utilisez la CloudTrail console ou l'CloudTrail LookupEventsopération. CloudTrail prend en charge de nombreuses valeurs d'attribut pour filtrer votre recherche, notamment le nom de l'événement, le nom d'utilisateur et la source de l'événement.
Pour vous aider à rechercher des entrées de AWS KMS journal dans CloudTrail, AWS KMS remplit les champs d'entrée de CloudTrail journal suivants.
Note
À compter de décembre 2022, AWS KMS remplit les attributs Type de ressource et Nom de ressource dans toutes les opérations de gestion qui modifient une KMS clé particulière. Ces valeurs d'attribut peuvent être nulles dans les anciennes CloudTrail entrées pour les opérations suivantes : CreateAliasCreateGrantDeleteAliasDeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias, et UpdatePrimaryRegion.
Attribut | Valeur | Entrées de journal |
---|---|---|
Source de l'événement (EventSource ) |
kms.amazonaws.com |
Toutes les opérations. |
Type de ressource (ResourceType ) |
AWS::KMS::Key |
Opérations de gestion qui modifient une KMS clé particulière, telles que CreateKey etEnableKey , mais nonListKeys . |
Nom de ressource (ResourceName ) |
Clé ARN (ou identifiant de clé et cléARN) | Opérations de gestion qui modifient une KMS clé particulière, telles que CreateKey etEnableKey , mais nonListKeys . |
Pour vous aider à trouver les entrées du journal pour les opérations de gestion portant sur ARN des KMS clés spécifiques, AWS KMS
enregistre la KMS clé affectée dans l'responseElements.keyId
élément de l'entrée du journal, même si l' AWS KMS APIopération ne renvoie pas la cléARN.
Par exemple, un appel réussi à l'DisableKeyopération ne renvoie aucune valeur dans la réponse, mais au lieu d'une valeur nulle, la responseElements.keyId
valeur de l'entrée du DisableKey journal inclut la clé ARN de la KMS clé désactivée.
Cette fonctionnalité a été ajoutée en décembre 2022 et concerne les entrées de CloudTrail journal suivantes : CreateAliasCreateGrantDeleteAliasDeleteKey, DisableKey, EnableKey, EnableKeyRotationImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias, et UpdatePrimaryRegion.
Exclure AWS KMS des événements d'un parcours
Pour fournir un enregistrement de l'utilisation et de la gestion de leurs AWS KMS ressources, la plupart des AWS KMS utilisateurs s'appuient sur les événements d'un CloudTrail sentier. Le journal peut être une source de données précieuse pour l'audit d'événements critiques, tels que la création, la désactivation et la suppression AWS KMS keys, la modification de la politique en matière de clés et l'utilisation de vos KMS clés par les AWS services en votre nom. Dans certains cas, les métadonnées d'une entrée de CloudTrail journal, telles que le contexte de chiffrement d'une opération de chiffrement, peuvent vous aider à éviter ou à résoudre les erreurs.
Cependant, comme il AWS KMS peut générer un grand nombre d'événements, vous AWS CloudTrail permet d'exclure AWS KMS des événements d'un suivi. Ce paramètre par parcours exclut tous les AWS KMS événements ; vous ne pouvez pas exclure AWS KMS des événements particuliers.
Avertissement
L'exclusion d' AWS KMS événements d'un CloudTrail journal peut masquer les actions qui utilisent vos KMS clés. Soyez prudent lorsque vous accordez aux principaux l'autorisation cloudtrail:PutEventSelectors
nécessaire pour effectuer cette opération.
Pour exclure AWS KMS des événements d'un parcours :
-
Dans la CloudTrail console, utilisez le paramètre des événements du service Log Key Management lorsque vous créez un journal ou que vous le mettez à jour. Pour obtenir des instructions, reportez-vous à la section Logging Management Events AWS Management Console dans le guide de AWS CloudTrail l'utilisateur.
-
Dans le CloudTrail API, utilisez l'PutEventSelectorsopération. Ajoutez l'attribut
ExcludeManagementEventSources
à vos sélecteurs d'événements avec la valeurkms.amazonaws.com
. Pour un exemple, voir Exemple : un journal qui n'enregistre pas les AWS Key Management Service événements dans le guide de AWS CloudTrail l'utilisateur.
Vous pouvez désactiver cette exclusion à tout moment en modifiant le paramètres de la console ou les sélecteurs d'événements d'un journal de suivi. Le sentier commencera alors à enregistrer AWS KMS les événements. Cependant, il ne peut pas récupérer les AWS KMS événements survenus pendant que l'exclusion était effective.
Lorsque vous excluez AWS KMS des événements à l'aide de la console ouAPI, l' CloudTrailPutEventSelectors
APIopération qui en résulte est également enregistrée dans vos CloudTrail journaux. Si AWS KMS
les événements n'apparaissent pas dans vos CloudTrail journaux, recherchez un PutEventSelectors
événement dont l'ExcludeManagementEventSources
attribut est défini surkms.amazonaws.com
.