Logging panggilan AWS KMS API dengan AWS CloudTrail

AWS KMS terintegrasi dengan AWS CloudTrail, layanan yang merekam semua panggilan AWS KMS oleh pengguna, peran, dan AWS layanan lainnya. CloudTrail menangkap semua panggilan API ke AWS KMS sebagai event, termasuk panggilan dari AWS KMS konsol, AWS KMS API, AWS CloudFormation template, AWS Command Line Interface (AWS CLI), dan AWS Tools for PowerShell.

CloudTrail mencatat semua AWS KMS operasi, termasuk operasi hanya-baca, seperti ListAliasesdan GetKeyRotationStatus, operasi yang mengelola kunci KMS, seperti dan, CreateKeydan operasi kriptografi PutKeyPolicy, seperti dan Dekripsi. GenerateDataKey Ini juga mencatat operasi internal yang AWS KMS memanggil Anda, seperti DeleteExpiredKeyMaterial, DeleteKey, SynchronizeMultiRegionKey, dan RotateKey.

CloudTrail mencatat operasi yang berhasil dan percobaan panggilan yang gagal, seperti ketika pemanggil ditolak akses ke sumber daya. Operasi lintas akun pada kunci KMS dicatat di akun penelepon dan akun pemilik kunci KMS. Namun, AWS KMS permintaan lintas akun yang ditolak karena akses ditolak hanya dicatat di akun pemanggil.

Untuk alasan keamanan, beberapa bidang dihilangkan dari entri AWS KMS log, seperti Plaintext parameter permintaan Enkripsi, dan respons terhadap GetKeyPolicyatau operasi kriptografi apa pun. Untuk mempermudah pencarian entri CloudTrail log untuk kunci KMS tertentu, AWS KMS tambahkan ARN kunci dari kunci KMS yang terpengaruh ke responseElements bidang di entri log untuk beberapa operasi manajemen AWS KMS kunci, bahkan ketika operasi API tidak mengembalikan ARN kunci.

Meskipun secara default, semua AWS KMS tindakan dicatat sebagai CloudTrail peristiwa, Anda dapat mengecualikan AWS KMS tindakan dari CloudTrail jejak. Lihat perinciannya di Tidak termasuk AWS KMS acara dari jejak.

Pelajari lebih lanjut:

• Untuk contoh CloudTrail log AWS KMS operasi untuk kantong AWS Nitro, lihat. Memantau permintaan untuk kantong Nitro

Topik

• Logging peristiwa di CloudTrail
• Mencari acara di CloudTrail
• Tidak termasuk AWS KMS acara dari jejak
• Contoh entri AWS KMS log

Logging peristiwa di CloudTrail

CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas terjadi di AWS KMS, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Acara. Anda dapat melihat, mencari, dan mengunduh peristiwa terbaru di Akun AWS Anda. Untuk informasi selengkapnya, lihat Melihat Acara dengan Riwayat CloudTrail Acara.

Untuk catatan acara yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk AWS KMS, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi lainnya Layanan AWS untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Lihat informasi yang lebih lengkap di:

• Ikhtisar untuk membuat jejak

• CloudTrail layanan dan integrasi yang didukung

• Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail

• Menerima file CloudTrail log dari beberapa Wilayah dan Menerima file CloudTrail log dari beberapa akun

Untuk mempelajari selengkapnya CloudTrail, lihat Panduan AWS CloudTrail Pengguna. Untuk mempelajari cara lain untuk memantau penggunaan tombol KMS Anda, lihatMemantau AWS KMS keys.

Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut ini:

• Jika permintaan dibuat dengan kredensi root atau kredensil pengguna IAM.

• Jika permintaan dibuat dengan kredensil keamanan sementara untuk peran atau pengguna federasi.

• Jika permintaan itu dibuat oleh orang lain Layanan AWS.

Untuk informasi selengkapnya, lihat Elemen CloudTrail UserIdentity.

Mencari acara di CloudTrail

Untuk mencari entri CloudTrail log, gunakan CloudTrail konsol atau CloudTrail LookupEventsoperasi. CloudTrail mendukung banyak nilai atribut untuk memfilter pencarian Anda, termasuk nama acara, nama pengguna, dan sumber acara.

Untuk membantu Anda mencari entri AWS KMS log di CloudTrail, AWS KMS isi kolom entri CloudTrail log berikut.

catatan

Mulai Desember 2022, AWS KMS mengisi atribut tipe Sumber Daya dan nama Sumber Daya di semua operasi manajemen yang mengubah kunci KMS tertentu. Nilai atribut ini mungkin null dalam CloudTrail entri lama untuk operasi berikut: CreateAlias,, CreateGrant, DeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrantRevokeGrantUpdateAlias, dan. UpdatePrimaryRegion

Atribut	Nilai	Entri log
Sumber acara (EventSource)	kms.amazonaws.com	Semua operasi.
Jenis sumber daya (ResourceType)	AWS::KMS::Key	Operasi manajemen yang mengubah kunci KMS tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys.
Nama sumber daya (ResourceName)	ARN kunci (atau ID kunci dan kunci ARN)	Operasi manajemen yang mengubah kunci KMS tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys.

Untuk membantu Anda menemukan entri log untuk operasi manajemen pada kunci KMS tertentu, AWS KMS mencatat ARN kunci dari kunci KMS yang terpengaruh dalam responseElements.keyId elemen entri log, bahkan ketika operasi AWS KMS API tidak mengembalikan kunci ARN.

Misalnya, panggilan yang berhasil ke DisableKeyoperasi tidak mengembalikan nilai apa pun dalam respons, tetapi alih-alih nilai nol, responseElements.keyId nilai dalam entri DisableKey log menyertakan ARN kunci dari kunci KMS yang dinonaktifkan.

Fitur ini ditambahkan pada Desember 2022 dan memengaruhi entri CloudTrail log berikut: CreateAlias,,,, CreateGrant, DeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, dan UpdatePrimaryRegion.

Tidak termasuk AWS KMS acara dari jejak

Untuk memberikan catatan penggunaan dan pengelolaan AWS KMS sumber daya mereka, sebagian besar AWS KMS pengguna mengandalkan peristiwa dalam CloudTrail jejak. Jejak dapat menjadi sumber data yang berharga untuk mengaudit peristiwa penting, seperti membuat, menonaktifkan, dan menghapus, mengubah kebijakan utama AWS KMS keys, dan penggunaan kunci KMS Anda oleh AWS layanan atas nama Anda. Dalam beberapa kasus, metadata dalam entri CloudTrail log, seperti konteks enkripsi dalam operasi enkripsi, dapat membantu Anda menghindari atau menyelesaikan kesalahan.

Namun, karena AWS KMS dapat menghasilkan sejumlah besar peristiwa, AWS CloudTrail memungkinkan Anda mengecualikan AWS KMS acara dari jejak. Pengaturan per-jejak ini mengecualikan semua AWS KMS peristiwa; Anda tidak dapat mengecualikan acara tertentu. AWS KMS

Awas

Mengecualikan AWS KMS peristiwa dari CloudTrail Log dapat mengaburkan tindakan yang menggunakan kunci KMS Anda. Berhati-hatilah saat memberikan cloudtrail:PutEventSelectors kepada pengguna utama yang diperlukan untuk melakukan operasi ini.

Untuk mengecualikan AWS KMS acara dari jejak:

• Di CloudTrail konsol, gunakan setelan peristiwa Layanan Manajemen Kunci Log saat Anda membuat jejak atau memperbarui jejak. Untuk petunjuknya, lihat Logging Management Events dengan AWS Management Console di Panduan AWS CloudTrail Pengguna.

• Di CloudTrail API, gunakan PutEventSelectorsoperasi. Tambahkan atribut ExcludeManagementEventSources pada pemilih peristiwa Anda dengan nilai kms.amazonaws.com. Sebagai contoh, lihat Contoh: Jejak yang tidak mencatat AWS Key Management Service peristiwa di Panduan AWS CloudTrail Pengguna.

Anda dapat menonaktifkan pengecualian ini kapan saja dengan mengubah pengaturan konsol atau pemilih peristiwa untuk jejak. Jejak kemudian akan mulai merekam AWS KMS acara. Namun, itu tidak dapat memulihkan AWS KMS peristiwa yang terjadi saat pengecualian efektif.

Saat Anda mengecualikan AWS KMS peristiwa dengan menggunakan konsol atau API, operasi CloudTrail PutEventSelectors API yang dihasilkan juga dicatat di CloudTrail Log Anda. Jika AWS KMS peristiwa tidak muncul di CloudTrail Log Anda, cari PutEventSelectors acara dengan ExcludeManagementEventSources atribut yang disetel kekms.amazonaws.com.