Enkripsi diam - Layanan Terkelola Amazon untuk Prometheus
IzinLangkah 1: Buat kunci yang dikelola pelangganLangkah 2: Tentukan kunci yang dikelola pelangganLangkah 3: Mengakses data dari layanan lainKonteks enkripsiMemantau kunci enkripsi AndaPelajari selengkapnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi diam

Secara default, Amazon Managed Service untuk Prometheus secara otomatis memberi Anda enkripsi saat istirahat dan melakukan ini menggunakan kunci enkripsi yang dimiliki. AWS

  • AWS kunci yang dimiliki — Amazon Managed Service untuk Prometheus menggunakan kunci ini untuk secara otomatis mengenkripsi data yang diunggah ke ruang kerja Anda. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan AWS Key Management Service Pengembang.

Enkripsi data saat istirahat membantu mengurangi overhead operasional dan kompleksitas yang digunakan untuk melindungi data pelanggan yang sensitif, seperti informasi yang dapat diidentifikasi secara pribadi. Ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.

Anda dapat memilih untuk menggunakan kunci terkelola pelanggan saat membuat ruang kerja:

  • Kunci terkelola pelanggan — Layanan Terkelola Amazon untuk Prometheus mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk mengenkripsi data di ruang kerja Anda. Karena Anda memiliki kontrol penuh atas enkripsi ini, Anda dapat melakukan tugas-tugas seperti:

    • Menetapkan dan memelihara kebijakan utama

    • Menetapkan dan memelihara kebijakan dan hibah IAM

    • Mengaktifkan dan menonaktifkan kebijakan utama

    • Memutar bahan kriptografi kunci

    • Menambahkan tanda

    • Membuat alias kunci

    • Kunci penjadwalan untuk penghapusan

    Untuk informasi selengkapnya, lihat kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

Pilih apakah akan menggunakan kunci yang dikelola pelanggan atau kunci AWS yang dimiliki dengan hati-hati. Ruang kerja yang dibuat dengan kunci yang dikelola pelanggan tidak dapat dikonversi untuk menggunakan kunci yang AWS dimiliki nanti (dan sebaliknya).

catatan

Layanan Terkelola Amazon untuk Prometheus secara otomatis mengaktifkan enkripsi saat istirahat AWS menggunakan kunci yang dimiliki untuk melindungi data Anda tanpa biaya.

Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS Key Management Service.

Untuk informasi lebih lanjut tentang AWS KMS, lihat Apa itu AWS Key Management Service?

catatan

Ruang kerja yang dibuat dengan kunci terkelola pelanggan tidak dapat menggunakan kolektor AWS terkelola untuk konsumsi.

Bagaimana Amazon Managed Service untuk Prometheus menggunakan hibah di AWS KMS

Amazon Managed Service untuk Prometheus memerlukan tiga hibah untuk menggunakan kunci terkelola pelanggan Anda.

Saat Anda membuat Layanan Terkelola Amazon untuk ruang kerja Prometheus yang dienkripsi dengan kunci yang dikelola pelanggan, Layanan Terkelola Amazon untuk Prometheus membuat tiga hibah atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah AWS KMS digunakan untuk memberikan Amazon Managed Service untuk Prometheus akses ke kunci KMS di akun Anda, bahkan ketika tidak dipanggil langsung atas nama Anda (misalnya, saat menyimpan data metrik yang telah dikikis dari kluster Amazon EKS.

Layanan Terkelola Amazon untuk Prometheus memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:

  • Kirim DescribeKeypermintaan AWS KMS untuk memverifikasi bahwa kunci KMS terkelola pelanggan simetris yang diberikan saat membuat ruang kerja valid.

  • Kirim GenerateDataKeypermintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.

  • Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.

Layanan Terkelola Amazon untuk Prometheus membuat tiga hibah ke AWS KMS kunci yang memungkinkan Layanan Dikelola Amazon untuk Prometheus menggunakan kunci atas nama Anda. Anda dapat menghapus akses ke kunci dengan mengubah kebijakan kunci, dengan menonaktifkan kunci, atau dengan mencabut hibah. Anda harus memahami konsekuensi dari tindakan ini sebelum melakukannya. Hal ini dapat menyebabkan hilangnya data di ruang kerja Anda.

Jika Anda menghapus akses ke salah satu hibah dengan cara apa pun, Layanan Terkelola Amazon untuk Prometheus tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, atau menyimpan data baru yang dikirim ke ruang kerja, yang memengaruhi operasi yang bergantung pada data tersebut. Data baru yang dikirim ke ruang kerja tidak akan dapat diakses dan mungkin hilang secara permanen.

Awas

  • Jika Anda menonaktifkan kunci, atau menghapus Layanan Terkelola Amazon untuk akses Prometheus dalam kebijakan kunci, data ruang kerja tidak lagi dapat diakses. Data baru yang dikirim ke ruang kerja tidak akan dapat diakses dan mungkin hilang secara permanen.

    Anda bisa mendapatkan akses ke data ruang kerja dan mulai menerima data baru lagi dengan memulihkan akses Amazon Managed Service untuk Prometheus ke kunci.

  • Jika Anda mencabut hibah, hibah tidak dapat dibuat ulang, dan data di ruang kerja akan hilang secara permanen.

Langkah 1: Buat kunci yang dikelola pelanggan

Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau AWS KMS API. Kuncinya tidak harus berada di akun yang sama dengan Layanan Terkelola Amazon untuk ruang kerja Prometheus, selama Anda memberikan akses yang benar melalui kebijakan, seperti yang dijelaskan di bawah ini.

Untuk membuat kunci terkelola pelanggan simetris

Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service Pengembang.

Kebijakan utama

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kunci terkelola pelanggan dengan Layanan Terkelola Amazon untuk ruang kerja Prometheus, operasi API berikut harus diizinkan dalam kebijakan kunci:

  • kms:CreateGrant— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke kunci KMS tertentu, yang memungkinkan akses untuk memberikan operasi yang diperlukan Amazon Managed Service untuk Prometheus. Untuk informasi selengkapnya, lihat Menggunakan Hibah di Panduan AWS Key Management Service Pengembang.

    Hal ini memungkinkan Amazon Managed Service untuk Prometheus untuk melakukan hal berikut:

    • Panggilan GenerateDataKey untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.

    • Panggilan Decrypt untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.

  • kms:DescribeKey— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Layanan Terkelola Amazon untuk Prometheus memvalidasi kunci.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Amazon Managed Service for Prometheus:

  "Statement" : [ 
    {
      "Sid" : "Allow access to Amazon Managed Service for Prometheus principal within your account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "aps.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators - not required for Amazon Managed Service for Prometheus",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    <other statements needed for other non-Amazon Managed Service for Prometheus scenarios>
  ]

Langkah 2: Menentukan kunci yang dikelola pelanggan untuk Amazon Managed Service untuk Prometheus

Saat membuat ruang kerja, Anda dapat menentukan kunci yang dikelola pelanggan dengan memasukkan ARN Kunci KMS, yang digunakan Amazon Managed Service for Prometheus untuk mengenkripsi data yang disimpan oleh ruang kerja.

Langkah 3: Mengakses data dari layanan lain, seperti Grafana yang Dikelola Amazon

Langkah ini opsional — hanya diperlukan jika Anda perlu mengakses Layanan Terkelola Amazon untuk data Prometheus dari layanan lain.

Data terenkripsi Anda tidak dapat diakses dari layanan lain, kecuali mereka juga memiliki akses untuk menggunakan kunci. AWS KMS Misalnya, jika Anda ingin menggunakan Grafana Terkelola Amazon untuk membuat dasbor atau peringatan pada data Anda, Anda harus memberi Amazon Managed Grafana akses ke kunci tersebut.

Untuk memberi Amazon Managed Grafana akses ke kunci terkelola pelanggan Anda

  1. Di daftar ruang kerja Amazon Managed Grafana, pilih nama untuk ruang kerja yang ingin Anda akses ke Amazon Managed Service for Prometheus. Ini menunjukkan kepada Anda informasi ringkasan tentang ruang kerja Grafana Terkelola Amazon Anda.

  2. Perhatikan nama peran IAM yang digunakan oleh ruang kerja Anda. Namanya ada dalam formatAmazonGrafanaServiceRole-<unique-id>. Konsol menunjukkan ARN lengkap untuk peran tersebut. Anda akan menentukan nama ini di AWS KMS konsol di langkah selanjutnya.

  3. Dalam daftar kunci terkelola AWS KMS Pelanggan, pilih kunci terkelola pelanggan yang Anda gunakan selama pembuatan Layanan Terkelola Amazon untuk ruang kerja Prometheus. Ini membuka halaman detail konfigurasi utama.

  4. Di sebelah Pengguna utama, pilih tombol Tambah.

  5. Dari daftar nama, pilih peran IAM Grafana Terkelola Amazon yang Anda sebutkan di atas. Untuk membuatnya lebih mudah ditemukan, Anda dapat mencari berdasarkan nama, juga.

  6. Pilih Tambah untuk menambahkan peran IAM ke daftar pengguna Kunci.

Ruang kerja Grafana Terkelola Amazon Anda sekarang dapat mengakses data di Layanan Terkelola Amazon untuk ruang kerja Prometheus. Anda dapat menambahkan pengguna atau peran lain ke pengguna utama untuk mengaktifkan layanan lain mengakses ruang kerja Anda.

Layanan Terkelola Amazon untuk konteks enkripsi Prometheus

Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.

AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.

Layanan Terkelola Amazon untuk konteks enkripsi Prometheus

Amazon Managed Service untuk Prometheus menggunakan konteks enkripsi yang sama di AWS KMS semua operasi kriptografi, di mana kuncinya aws:amp:arn dan nilainya adalah Nama Sumber Daya Amazon (ARN) ruang kerja.

"encryptionContext": {
    "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
}

Menggunakan konteks enkripsi untuk pemantauan

Bila Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi data ruang kerja Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs.

Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda

Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM conditions untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.

Layanan Terkelola Amazon untuk Prometheus menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.

Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
          }
     }
}

Memantau kunci enkripsi Anda untuk Amazon Managed Service untuk Prometheus

Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan Layanan Terkelola Amazon untuk ruang kerja Prometheus, Anda dapat menggunakan AWS CloudTrailatau CloudWatch Log Amazon untuk melacak permintaan yang dikirimkan oleh Layanan Terkelola Amazon untuk Prometheus. AWS KMS

Contoh berikut adalah AWS CloudTrail peristiwa untukCreateGrant,, GenerateDataKeyDecrypt, dan DescribeKey untuk memantau operasi KMS yang dipanggil oleh Amazon Managed Service untuk Prometheus untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:

CreateGrant

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi ruang kerja Anda, Amazon Managed Service for Prometheus mengirimkan tiga CreateGrant permintaan atas nama Anda untuk mengakses kunci KMS yang Anda tentukan. Hibah yang dibuat oleh Amazon Managed Service for Prometheus khusus untuk sumber daya yang terkait dengan kunci yang dikelola pelanggan. AWS KMS

Contoh peristiwa berikut mencatat CreateGrant operasi:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "aps.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "aps.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}
GenerateDataKey

Saat Anda mengaktifkan kunci terkelola AWS KMS pelanggan untuk ruang kerja Anda, Amazon Managed Service untuk Prometheus akan membuat kunci unik. Ini mengirimkan GenerateDataKey permintaan ke AWS KMS yang menentukan kunci yang dikelola AWS KMS pelanggan untuk sumber daya.

Contoh peristiwa berikut mencatat GenerateDataKey operasi:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
Decrypt

Saat kueri dibuat di ruang kerja terenkripsi, Amazon Managed Service for Prometheus memanggil Decrypt operasi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.

Contoh peristiwa berikut mencatat Decrypt operasi:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
DescribeKey

Layanan Terkelola Amazon untuk Prometheus menggunakan operasi untuk memverifikasi apakah kunci DescribeKey terkelola pelanggan AWS KMS yang terkait dengan ruang kerja Anda ada di akun dan wilayah.

Contoh peristiwa berikut mencatat DescribeKey operasi:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Pelajari selengkapnya

Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.