Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencatat panggilan API AWS KMS dengan AWS CloudTrail
AWS KMSterintegrasi dengan AWS CloudTrail, layanan yang merekam semua panggilan AWS KMS oleh pengguna, peran, dan AWS layanan lainnya. CloudTrail menangkap semua panggilan API ke AWS KMS sebagai event, termasuk panggilan dari AWS KMS konsol, AWS KMS API, AWS CloudFormation template, AWS Command Line Interface (AWS CLI), danAWS Tools for PowerShell.
CloudTrail mencatat semua AWS KMS operasi, termasuk operasi hanya-baca, seperti ListAliasesdan GetKeyRotationStatus, operasi yang mengelola kunci KMS, seperti dan, CreateKeydan operasi kriptografi PutKeyPolicy, seperti dan Dekripsi. GenerateDataKey Ini juga mencatat operasi internal yang AWS KMS memanggil Anda, seperti DeleteExpiredKeyMaterial, DeleteKey, SynchronizeMultiRegionKey, dan RotateKey.
CloudTrail mencatat operasi yang berhasil dan percobaan panggilan yang gagal, seperti ketika pemanggil ditolak akses ke sumber daya. Operasi lintas akun pada kunci KMS dicatat di akun penelepon dan akun pemilik kunci KMS. Namun, AWS KMS permintaan lintas akun yang ditolak karena akses ditolak hanya dicatat di akun pemanggil.
Untuk alasan keamanan, beberapa bidang dihilangkan dari entri AWS KMS log, seperti Plaintext parameter permintaan Enkripsi, dan respons terhadap GetKeyPolicyatau operasi kriptografi apa pun. Untuk mempermudah pencarian entri CloudTrail log untuk kunci KMS tertentu, AWS KMS tambahkan ARN kunci dari kunci KMS yang terpengaruh ke responseElements bidang di entri log untuk beberapa operasi manajemen AWS KMS kunci, bahkan ketika operasi API tidak mengembalikan ARN kunci.
Meskipun secara default, semua AWS KMS tindakan dicatat sebagai CloudTrail peristiwa, Anda dapat mengecualikan AWS KMS tindakan dari CloudTrail jejak. Untuk detailnya, lihat Tidak termasuk peristiwa AWS KMS dari jejak.
Pelajari lebih lanjut:
-
Untuk contoh CloudTrail log AWS KMS operasi untuk kantong AWS Nitro, lihat. Memantau permintaan untuk kantong Nitro
Topik
Pencatatan peristiwa di CloudTrail
CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas terjadi diAWS KMS, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Acara. Anda dapat melihat, mencari, dan mengunduh peristiwa terbaru di Akun AWS Anda. Untuk informasi selengkapnya, lihat Melihat Acara dengan Riwayat CloudTrail Acara.
Untuk catatan berkelanjutan tentang peristiwa di Akun AWS, termasuk peristiwa untuk AWS KMS, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi lainnya Layanan AWS untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Lihat informasi yang lebih lengkap di:
Untuk mempelajari selengkapnya CloudTrail, lihat Panduan AWS CloudTrail Pengguna. Untuk mempelajari cara lain untuk memantau penggunaan tombol KMS Anda, lihatMemantau AWS KMS keys.
Setiap peristiwa atau entri log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut:
-
Jika permintaan dibuat dengan kredensi root atau kredensil pengguna IAM.
-
Jika permintaan dibuat dengan kredensil keamanan sementara untuk peran atau pengguna federasi.
-
Jika permintaan itu dibuat oleh orang lainLayanan AWS.
Untuk informasi lain, lihat Elemen userIdentity CloudTrail .
Mencari acara di CloudTrail
Untuk mencari entri CloudTrail log, gunakan CloudTrail konsol atau CloudTrail LookupEventsoperasi. CloudTrail mendukung banyak nilai atribut untuk memfilter pencarian Anda, termasuk nama acara, nama pengguna, dan sumber acara.
Untuk membantu Anda mencari entri AWS KMS log di CloudTrail, AWS KMS isi kolom entri CloudTrail log berikut.
catatan
Mulai Desember 2022, AWS KMS mengisi atribut tipe Sumber Daya dan nama Sumber Daya di semua operasi manajemen yang mengubah kunci KMS tertentu. Nilai atribut ini mungkin null dalam CloudTrail entri lama untuk operasi berikut: CreateAlias,, CreateGrant, DeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrantRevokeGrantUpdateAlias, dan. UpdatePrimaryRegion
| Atribut | Nilai | Entri log |
|---|---|---|
Sumber acara (EventSource) |
kms.amazonaws.com |
Semua operasi. |
Jenis sumber daya (ResourceType) |
AWS::KMS::Key |
Operasi manajemen yang mengubah kunci KMS tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys. |
Nama sumber daya (ResourceName) |
ARN kunci (atau ID kunci dan kunci ARN) | Operasi manajemen yang mengubah kunci KMS tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys. |
Untuk membantu Anda menemukan entri log untuk operasi manajemen pada kunci KMS tertentu, AWS KMS mencatat ARN kunci dari kunci KMS yang terpengaruh dalam responseElements.keyId elemen entri log, bahkan ketika operasi AWS KMS API tidak mengembalikan kunci ARN.
Misalnya, panggilan yang berhasil ke DisableKeyoperasi tidak mengembalikan nilai apa pun dalam respons, tetapi alih-alih nilai nol, responseElements.keyId nilai dalam entri DisableKey log menyertakan ARN kunci dari kunci KMS yang dinonaktifkan.
Fitur ini ditambahkan pada Desember 2022 dan memengaruhi entri CloudTrail log berikut: CreateAlias,,,, CreateGrant, DeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, dan UpdatePrimaryRegion.
Tidak termasuk peristiwa AWS KMS dari jejak
Untuk memberikan catatan penggunaan dan pengelolaan AWS KMS sumber daya mereka, sebagian besar AWS KMS pengguna mengandalkan peristiwa dalam CloudTrail jejak. Jejak dapat menjadi sumber data yang berharga untuk mengaudit peristiwa penting, seperti membuat, menonaktifkan, dan menghapus, mengubah kebijakan utamaAWS KMS keys, dan penggunaan kunci KMS Anda oleh AWS layanan atas nama Anda. Dalam beberapa kasus, metadata dalam entri CloudTrail log, seperti konteks enkripsi dalam operasi enkripsi, dapat membantu Anda menghindari atau menyelesaikan kesalahan.
Namun, karena AWS KMS dapat menghasilkan sejumlah besar peristiwa, AWS CloudTrail memungkinkan Anda mengecualikan peristiwa AWS KMS dari jejak. Pengaturan per-jejak ini mengecualikan semua peristiwa AWS KMS; Anda tidak dapat mengecualikan peristiwa AWS KMS tertentu.
Awas
Mengecualikan AWS KMS peristiwa dari CloudTrail Log dapat mengaburkan tindakan yang menggunakan kunci KMS Anda. Berhati-hatilah saat memberikan cloudtrail:PutEventSelectors kepada perwakilan yang diperlukan untuk melakukan operasi ini.
Untuk mengecualikan peristiwa AWS KMS dari jejak:
-
Di CloudTrail konsol, gunakan setelan peristiwa Layanan Manajemen Kunci Log saat Anda membuat jejak atau memperbarui jejak. Untuk mendapatkan petunjuk, lihat Peristiwa Pengelolaan Pencatatan dengan AWS Management Console di Panduan Pengguna AWS CloudTrail.
-
Di CloudTrail API, gunakan PutEventSelectorsoperasi. Tambahkan atribut
ExcludeManagementEventSourcesuntuk pemilih peristiwa Anda dengan nilaikms.amazonaws.com. Sebagai contoh, lihat Contoh: Sebuah jejak yang tidak mencatat peristiwa AWS Key Management Service dalam Panduan Pengguna AWS CloudTrail.
Anda dapat menonaktifkan pengecualian ini kapan saja dengan mengubah pengaturan konsol atau pemilih peristiwa untuk jejak. Jejak kemudian akan mulai mencatat peristiwa AWS KMS. Namun, jejak tidak dapat memulihkan peristiwa AWS KMS yang terjadi sementara pengecualian tersebut berfungsi dengan efektif.
Saat Anda mengecualikan AWS KMS peristiwa dengan menggunakan konsol atau API, operasi CloudTrail PutEventSelectors API yang dihasilkan juga dicatat di CloudTrail Log Anda. Jika AWS KMS peristiwa tidak muncul di CloudTrail Log Anda, cari PutEventSelectors acara dengan ExcludeManagementEventSources atribut yang disetel kekms.amazonaws.com.
