Enkripsi saat istirahat: Cara menggunakan kunci yang dikelola pelanggan untuk mengenkripsi tabel di Amazon Keyspaces

Anda dapat menggunakan pernyataan konsol atau CQL untuk menetapkan tabel baru dan memperbarui kunci enkripsi tabel yang ada di Amazon Keyspaces.AWS KMS key Topik berikut menguraikan cara menerapkan kunci yang dikelola pelanggan untuk tabel baru dan yang sudah ada.

Prasyarat: Membuat kunci yang dikelola pelanggan menggunakanAWS KMS dan memberikan izin ke Amazon Keyspaces

Sebelum Anda dapat melindungi tabel Amazon Keyspaces dengan kunci yang dikelola pelanggan, Anda harus terlebih dahulu membuat kunci diAWS Key Management Service (AWS KMS) dan kemudian mengotorisasi Amazon Keyspaces untuk menggunakan kunci tersebut.

Langkah 1: Buat kunci yang dikelola pelanggan menggunakanAWS KMS

Untuk membuat kunci yang dikelola pelanggan untuk digunakan untuk melindungi tabel Amazon Keyspaces, Anda dapat mengikuti langkah-langkah dalam Membuat kunci KMS enkripsi simetris menggunakan konsol atauAWS API.

Langkah 2: Otorisasi penggunaan kunci yang dikelola pelanggan

Sebelum Anda dapat memilih kunci yang dikelola pelanggan untuk melindungi tabel Amazon Keyspaces, kebijakan pada kunci yang dikelola pelanggan harus memberikan izin Amazon Keyspaces untuk menggunakannya atas nama Anda. Anda memiliki kontrol penuh atas kebijakan dan hibah pada kunci yang dikelola pelanggan Anda dapat memberikan izin ini dalam kebijakan kunci, kebijakan IAM, atau hibah.

Amazon Keyspaces tidak memerlukan otorisasi tambahan untuk menggunakan default Kunci milik AWSuntuk melindungi tabel Amazon Keyspaces diAWS akun Anda.

Topik berikut menunjukkan cara mengonfigurasi izin yang diperlukan menggunakan kebijakan IAM dan hibah yang memungkinkan tabel Amazon Keyspaces menggunakan kunci yang dikelola pelanggan.

Topik

• Kebijakan kunci untuk kunci yang dikelola
• Contoh kebijakan kunci
• Menggunakan hibah untuk mengotorisasi Amazon Keyspaces

Kebijakan kunci untuk kunci yang dikelola

Bila Anda memilih kunci yang dikelola pelanggan untuk melindungi tabel Amazon Keyspaces, Amazon Keyspaces mendapat izin untuk menggunakan kunci yang dikelola pelanggan atas nama prinsipal yang membuat pilihan. Prinsipal, pengguna atau peran, harus memiliki izin pada kunci yang dikelola pelanggan yang diperlukan Amazon Keyspaces.

Minimal, Amazon Keyspaces memerlukan izin berikut pada kunci yang dikelola pelanggan:

• KMS: Enkripsi

• KMS:Dekripsi

• kms:ReEncrypt * (untuk kms:ReEncryptFrom dan kms:ReEncryptTo)

• kms:GenerateDataKey * (untuk kms:GenerateDataKey dan kms:GenerateDataKeyWithoutPlaintext)

• km:DescribeKey

• km:CreateGrant

Contoh kebijakan kunci

Sebagai contoh, kebijakan kunci contoh berikut menyediakan hanya izin yang diperlukan. Kebijakan ini memiliki efek sebagai berikut:

• Memungkinkan Amazon Keyspaces untuk menggunakan kunci yang dikelola pelanggan dalam operasi kriptografi dan membuat hibah — tetapi hanya ketika bertindak atas nama prinsipal di akun yang memiliki izin untuk menggunakan Amazon Keyspaces. Jika prinsipal yang ditentukan dalam pernyataan kebijakan tidak memiliki izin untuk menggunakan Amazon Keyspaces, panggilan gagal, bahkan ketika itu berasal dari layanan Amazon Keyspaces.

• KunciViaService kondisi: memungkinkan izin hanya ketika permintaan berasal dari Amazon Keyspaces atas nama prinsipal yang tercantum dalam pernyataan kebijakan. Prinsipal ini tidak dapat memanggil operasi ini secara langsung. Perhatikan bahwa nilai kms:ViaService, cassandra.*.amazonaws.com, memiliki tanda bintang (*) di posisi Wilayah. Amazon Keyspaces memerlukan izin untuk tidak bergantung pada hal-hal tertentuWilayah AWS.

• Memberikan administrator kunci yang dikelola pelanggan (pengguna yang dapat mengasumsikandb-team peran) akses hanybaca ke kunci yang dikelola pelanggan dan izin untuk mencabut hibah, termasuk hibah yang diperlukan Amazon Keyspaces untuk melindungi tabel.

• Memberikan Amazon Keyspaces akses hanya-baca ke kunci yang dikelola pelanggan Dalam kasus ini, Amazon Keyspaces dapat memanggil operasi ini secara langsung. Ini tidak harus bertindak atas nama prinspal akun.

Sebelum menggunakan kebijakan kunci contoh, ganti contoh prinsipal dengan prinsipal yang sebenarnya dari Akun AWS Anda.

{
  "Id": "key-policy-cassandra",
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "*",      
      "Condition": { 
         "StringLike": {
           "kms:ViaService" : "cassandra.*.amazonaws.com"
         }
      }
    },
    {
      "Sid":  "Allow administrators to view the customer managed key and revoke grants",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/db-team"
       },
      "Action": [
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource": "*"
    }
  ]
}

Menggunakan hibah untuk mengotorisasi Amazon Keyspaces

Selain kebijakan kunci, Amazon Keyspaces menggunakan hibah untuk menetapkan izin pada kunci yang dikelola pelanggan. Untuk melihat hibah pada kunci yang dikelola pelanggan di akun Anda, gunakan ListGrantsoperasi. Amazon Keyspaces tidak memerlukan hibah, atau izin tambahan, untuk menggunakan Kunci milik AWSuntuk melindungi tabel Anda.

Amazon Keyspaces menggunakan izin hibah ketika melakukan pemeliharaan sistem latar belakang dan tugas perlindungan data berkelanjutan. Ini juga menggunakan hibah untuk menghasilkan kunci tabel.

Setiap hibah spesifik pada tabel. Jika akun mencakup beberapa tabel dienkripsi di bawah kunci yang dikelola pelanggan, ada hibah dari setiap jenis untuk setiap tabel. Hibah dibatasi oleh konteks enkripsi Amazon Keyspaces, yang mencakup nama tabel danAkun AWS ID. Hibah termasuk izin untuk pensiun hibah jika tidak lagi diperlukan.

Untuk membuat hibah, Amazon Keyspaces harus memiliki izin untuk memanggilCreateGrant atas nama pengguna yang membuat tabel terenkripsi.

Kebijakan kunci juga dapat memungkinkan akun untuk mencabut hibah pada kunci yang dikelola pelanggan. Namun, jika Anda mencabut hibah pada tabel dienkripsi yang aktif, Amazon Keyspaces tidak akan mampu melindungi dan mempertahankan tabel.

Langkah 3: Tentukan kunci yang dikelola pelanggan untuk tabel baru

Ikuti langkah berikut untuk menetapkan kunci yang dikelola pelanggan pada tabel baru menggunakan konsol Amazon Keyspaces atau CQL.

Buat tabel terenkripsi menggunakan kunci yang dikelola pelanggan (konsol)

1. Masuklah keAWS Management Console, dan buka konsol Amazon Keyspaces di https://console.aws.amazon.com/keyspaces/home.

2. Di panel navigasi, pilih Tabel, lalu pilih Buat tabel.

3. Pada halaman Create table di bagian Table details, pilih keyspace dan berikan nama untuk tabel baru.

4. Di bagian Skema, buat skema untuk tabel Anda.

5. Di bagian Pengaturan tabel, pilih Sesuaikan pengaturan.

6. Lanjutkan ke pengaturan Enkripsi.

   Pada langkah ini, Anda memilih pengaturan enkripsi untuk tabel.

   Di bagian Enkripsi saat istirahat di bawah Pilih sebuahAWS KMS key, pilih opsi Pilih kunci KMS yang berbeda (lanjutan), dan di bidang pencarian, pilihAWS KMS key atau masukkan Amazon Resource Name (ARN).

   catatan

   Jika kunci yang Anda pilih tidak dapat diakses atau kehilangan izin yang diperlukan, lihat Pemecahan masalah akses kunci di PanduanAWS Key Management Service Pengembang.

7. Pilih Buat untuk membuat tabel yang dienkripsi.

Buat tabel baru menggunakan kunci yang dikelola pelanggan untuk enkripsi saat istirahat (CQL)

Untuk membuat tabel baru yang menggunakan kunci yang dikelola pelanggan untuk enkripsi saat diam, Anda dapat menggunakanCREATE TABLE pernyataan seperti yang ditunjukkan dalam contoh berikut. Pastikan untuk mengganti ARN kunci dengan ARN untuk kunci yang valid dengan izin yang diberikan ke Amazon Keyspaces.

CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
        'encryption_specification':{
                'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY', 
                'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
            }
    };

Jika Anda menerimaInvalid Request Exception, Anda perlu mengonfirmasi bahwa kunci yang dikelola pelanggan valid dan Amazon Keyspaces memiliki izin yang diperlukan. Untuk mengonfirmasi bahwa kunci telah dikonfigurasi dengan benar, lihat Memecahkan masalah akses kunci di PanduanAWS Key Management Service Pengembang.

Langkah 4: Perbarui kunci enkripsi dari tabel yang ada

Anda juga dapat menggunakan konsol Amazon Keyspaces atau CQL untuk mengubah kunci enkripsi dari tabel yang ada antara kunci KMS yang dikelola pelanggan atau kunci KMS yang dikelola pelanggan atau CQL untuk mengubah kunci enkripsi dari tabel yangKunci milik AWS ada antara kunci KMS yang dikelola pelanggan atau kunci KMS yang dikelola setiap saat.

Perbarui tabel yang ada dengan kunci terkelola pelanggan baru (konsol)

1. Masuklah keAWS Management Console, dan buka konsol Amazon Keyspaces di https://console.aws.amazon.com/keyspaces/home.

2. Di panel navigasi, pilih Tables (Tabel).

3. Pilih tabel yang ingin Anda perbarui, lalu pilih tab Pengaturan tambahan.

4. Di bagian Enkripsi saat istirahat, pilih Kelola Enkripsi untuk mengedit pengaturan enkripsi untuk tabel.

   Di bawah Pilih sebuahAWS KMS key, pilih opsi Pilih tombol KMS yang berbeda (lanjutan), dan di bidang pencarian, pilihAWS KMS key atau masukkan Amazon Resource Name (ARN).

   catatan

   Jika kunci yang Anda pilih tidak valid, lihat Pemecahan masalah akses kunci di PanduanAWS Key Management Service Pengembang.

   Atau, Anda dapat memilihKunci milik AWS untuk tabel yang dienkripsi dengan kunci yang dikelola pelanggan

5. Pilih Simpan perubahan untuk menyimpan perubahan Anda ke tabel.

Memperbarui kunci enkripsi yang digunakan untuk tabel yang ada

Untuk mengubah kunci enkripsi tabel yang ada, Anda menggunakanALTER TABLE pernyataan tersebut untuk menentukan kunci yang dikelola pelanggan untuk enkripsi saat istirahat. Pastikan untuk mengganti ARN kunci dengan ARN untuk kunci yang valid dengan izin yang diberikan ke Amazon Keyspaces.

ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {     
              'encryption_specification':{ 
                      'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY', 
                      'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'     
                  } 
         };

Jika Anda menerimaInvalid Request Exception, Anda perlu mengonfirmasi bahwa kunci yang dikelola pelanggan valid dan Amazon Keyspaces memiliki izin yang diperlukan. Untuk mengonfirmasi bahwa kunci telah dikonfigurasi dengan benar, lihat Memecahkan masalah akses kunci di PanduanAWS Key Management Service Pengembang.

Untuk mengubah kunci enkripsi kembali ke opsi enkripsi default saat istirahatKunci milik AWS, Anda dapat menggunakanALTER TABLE pernyataan seperti yang ditunjukkan pada contoh berikut.

ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
                'encryption_specification':{
                      'encryption_type' : 'AWS_OWNED_KMS_KEY' 
                    } 
         };

Langkah 5: Gunakan konteks enkripsi Amazon Keyspaces di log

Konteks enkripsi adalah seperangkat pasangan nilai kunci yang berisi data non-rahasia yang berubah-ubah. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS secara kriptografi mengikat konteks enkripsi untuk data terenkripsi tersebut. Untuk mendekripsi data, Anda harus lulus dalam konteks enkripsi yang sama.

Amazon Keyspaces menggunakan konteks enkripsi yang sama di semua operasiAWS KMS kriptografi. Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi tabel Amazon Keyspaces Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan kunci yang dikelola pelanggan untuk melindungi tabel Amazon Keyspaces, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan kunci yang dikelola pelanggan dalam catatan dan log audit dan log. Ini juga muncul dalam plaintext dalam log, seperti di log untuk AWS CloudTraildan Amazon CloudWatch Logs.

Dalam permintaannya untukAWS KMS, Amazon Keyspaces menggunakan konteks enkripsi dengan tiga pasangan kunci-nilai.

"encryptionContextSubset": {
    "aws:cassandra:keyspaceName": "my_keyspace",
    "aws:cassandra:tableName": "mytable"
    "aws:cassandra:subscriberId": "111122223333"
}

• Keyspace — Pasangan kunci-nilai mengidentifikasi keyspace yang mencakup tabel yang dienkripsi Amazon Keyspaces. Kuncinya adalah aws:cassandra:keyspaceName. Nilai adalah nama keyspace.

  "aws:cassandra:keyspaceName": "<keyspace-name>"

  Misalnya:

  "aws:cassandra:keyspaceName": "my_keyspace"

• Tabel — Pasangan kunci-nilai mengidentifikasi tabel yang dienkripsi Amazon Keyspaces. Kuncinya adalah aws:cassandra:tableName. Nilai adalah nama tabel.

  "aws:cassandra:tableName": "<table-name>"

  Misalnya:

  "aws:cassandra:tableName": "my_table"

• Akun — Pasangan kunci-nilai mengidentifikasiAkun AWS. Kuncinya adalah aws:cassandra:subscriberId. Nilai adalah ID akun.

  "aws:cassandra:subscriberId": "<account-id>"

  Misalnya:

  "aws:cassandra:subscriberId": "111122223333"

Langkah 6: Mengonfigurasi pemantauanAWS CloudTrail

Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi tabel Amazon Keyspaces, Anda dapat menggunakanAWS CloudTrail log untuk melacak permintaan yang Amazon Keyspaces kirim keAWS KMS atas nama Anda.

CreateGrantPermintaanGenerateDataKey,DescribeKey,Decrypt, dan dibahas di bagian ini. Selain itu, Amazon Keyspaces menggunakan RetireGrantoperasi untuk menghapus hibah ketika Anda menghapus tabel.

GenerateDataKey

Amazon Keyspaces membuat kunci tabel unik untuk mengenkripsi data saat istirahat. Ia mengirimkan GenerateDataKeypermintaan untukAWS KMS yang menentukan kunci KMS untuk tabel.

Peristiwa yang mencatat operasi GenerateDataKey serupa dengan peristiwa contoh berikut. Pengguna adalah akun layanan Amazon Keyspaces. Parameter termasuk Amazon Resource Name (ARN) dari kunci yang dikelola pelanggan, penentu kunci yang memerlukan kunci 256-bit, dan konteks enkripsi yang mengidentifikasi keyspace, tabel, danAkun AWS.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T04:56:05Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:cassandra:keyspaceName": "my_keyspace",
            "aws:cassandra:tableName": "my_table",
            "aws:cassandra:subscriberId": "123SAMPLE012"
        },
        "keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
    },
    "responseElements": null,
    "requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
    "eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012",
    "sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}

DescribeKey

Amazon Keyspaces menggunakan DescribeKeyoperasi untuk menentukan apakah kunci KMS yang Anda pilih ada di akun dan Wilayah.

Peristiwa yang mencatat operasi DescribeKey serupa dengan peristiwa contoh berikut. Pengguna adalah akun layanan Amazon Keyspaces. Parameter termasuk ARN kunci yang dikelola pelanggan dan penentu kunci yang memerlukan kunci 256-bit.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
        "arn": "arn:aws:iam::123SAMPLE012:user/admin",
        "accountId": "123SAMPLE012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "admin",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-16T04:55:42Z"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T04:55:58Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
    },
    "responseElements": null,
    "requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
    "eventID": "0d96420e-707e-41b9-9118-56585a669658",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012"
}

Dekripsi

Saat Anda mengakses tabel Amazon Keyspaces, Amazon Keyspaces perlu mendekripsi kunci tabel sehingga dapat mendekripsi kunci di bawahnya dalam hierarki. Kemudian ini mendekripsi data dalam tabel. Untuk mendekripsi kunci tabel, Amazon Keyspaces mengirimkan permintaan Decrypt keAWS KMS yang menentukan kunci KMS untuk tabel.

Peristiwa yang mencatat operasi Decrypt serupa dengan peristiwa contoh berikut. Pengguna adalah prinsipal di Akun AWS Anda yang mengakses tabel. Parameter termasuk kunci tabel dienkripsi (sebagai kumpulan ciphertext) dan konteks enkripsi yang mengidentifikasi tabel danAkun AWS. AWS KMSmengambil ID kunci yang dikelola pelanggan dari kunci yang dikelola dari kunci dari pelanggan dari kunci yang dikelola dari kunci dari pelanggan dari kunci dari ciphertext.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T05:29:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:cassandra:keyspaceName": "my_keyspace",
            "aws:cassandra:tableName": "my_table",
            "aws:cassandra:subscriberId": "123SAMPLE012"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
    "eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012",
    "sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}

CreateGrant

Saat Anda menggunakan kunci yang dikelola pelanggan untuk melindungi tabel Amazon Keyspaces Anda, Amazon Keyspaces menggunakan hibah untuk mengizinkan layanan untuk melakukan perlindungan dan pemeliharaan data berkelanjutan dan ketahanan tugas. Hibah ini tidak diperlukan pada Kunci milik AWS.

Hibah yang dibuat Amazon Keyspaces spesifik pada tabel. Prinsipal dalam CreateGrantpermintaan adalah pengguna yang membuat tabel.

Peristiwa yang mencatat operasi CreateGrant serupa dengan peristiwa contoh berikut. Parameter termasuk ARN kunci yang dikelola pelanggan untuk tabel, prinsipal pemberi izin dan prinsipal pensiun (layanan Amazon Keyspaces), dan operasi yang dicakup hibah. Ini juga mencakup kendala yang mengharuskan semua operasi enkripsi menggunakan konteks enkripsi yang ditentukan.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
        "arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
        "accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "userName": "admin",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-16T04:55:42Z"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T05:11:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "a7d328af-215e-4661-9a69-88c858909f20",
        "operations": [
            "DescribeKey",
            "GenerateDataKey",
            "Decrypt",
            "Encrypt",
            "ReEncryptFrom",
            "ReEncryptTo",
            "RetireGrant"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:cassandra:keyspaceName": "my_keyspace",
                "aws:cassandra:tableName": "my_table",
                "aws:cassandra:subscriberId": "123SAMPLE012"
            }
        },
        "retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
        "granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
    },
    "requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
    "eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012"
}