Enkripsi rahasia dan dekripsi di AWS Secrets Manager - AWS Secrets Manager
Memilih AWS KMS kunciApa yang dienkripsi?Proses enkripsi dan dekripsiIzin untuk kunci KMSBagaimana Secrets Manager menggunakan kunci KMS AndaKebijakan utama dari Kunci yang dikelola AWS (aws/secretsmanager)Konteks enkripsi Secrets ManagerMemantau interaksi Secrets Manager dengan AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi rahasia dan dekripsi di AWS Secrets Manager

Secrets Manager menggunakan enkripsi amplop dengan AWS KMS kunci dan kunci data untuk melindungi setiap nilai rahasia. Setiap kali nilai rahasia dalam rahasia berubah, Secrets Manager meminta kunci data baru AWS KMS untuk melindunginya. Kunci data dienkripsi di bawah kunci KMS dan disimpan dalam metadata rahasia. Untuk mendekripsi rahasia, Secrets Manager terlebih dahulu mendekripsi kunci data terenkripsi menggunakan kunci KMS. AWS KMS

Secrets Manager tidak menggunakan kunci KMS untuk mengenkripsi nilai rahasia secara langsung. Sebaliknya, ia menggunakan kunci KMS untuk menghasilkan dan mengenkripsi kunci data simetris Advanced Encryption Standard (AES) 256-bit, dan menggunakan kunci data untuk mengenkripsi nilai rahasia. Secrets Manager menggunakan kunci data plaintext untuk mengenkripsi nilai rahasia di luar AWS KMS, dan kemudian menghapusnya dari memori. Ini menyimpan salinan terenkripsi dari kunci data dalam metadata dari rahasia.

Memilih AWS KMS kunci

Saat Anda membuat rahasia, Anda dapat memilih kunci yang dikelola pelanggan enkripsi simetris di Akun AWS dan Wilayah, atau Anda dapat menggunakan Kunci yang dikelola AWS for Secrets Manager (aws/secretsmanager). Jika Anda memilih Kunci yang dikelola AWS aws/secretsmanager dan itu belum ada, Secrets Manager membuatnya dan mengaitkannya dengan rahasia. Anda dapat menggunakan kunci KMS yang sama atau kunci KMS yang berbeda untuk setiap rahasia di akun Anda. Anda mungkin ingin menggunakan kunci KMS yang berbeda untuk mengatur izin khusus pada kunci untuk sekelompok rahasia, atau jika Anda ingin mengaudit operasi tertentu untuk kunci tersebut. Secrets Manager hanya mendukung kunci KMS enkripsi simetris. Jika Anda menggunakan kunci KMS di toko kunci eksternal, operasi kriptografi pada kunci KMS mungkin memakan waktu lebih lama dan kurang dapat diandalkan dan tahan lama karena permintaan harus melakukan perjalanan di luar. AWS

Untuk informasi tentang mengubah kunci enkripsi untuk rahasia, lihatUbah kunci enkripsi untuk AWS Secrets Manager rahasia.

Saat Anda mengubah kunci enkripsi, Secrets Manager mengenkripsi ulang AWSCURRENTAWSPENDING, dan AWSPREVIOUS versi dengan kunci baru. Untuk menghindari mengunci Anda dari rahasia, Secrets Manager menyimpan semua versi yang ada dienkripsi dengan kunci sebelumnya. Itu berarti Anda dapat mendekripsiAWSCURRENT,AWSPENDING, dan AWSPREVIOUS versi dengan kunci sebelumnya atau kunci baru.

Untuk membuatnya sehingga hanya AWSCURRENT dapat didekripsi oleh kunci enkripsi baru, buat versi baru rahasia dengan kunci baru. Kemudian untuk dapat mendekripsi versi AWSCURRENT rahasia, Anda harus memiliki izin untuk kunci baru.

Anda dapat menolak izin untuk Kunci yang dikelola AWS aws/secretsmanager dan memerlukan rahasia dienkripsi dengan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Contoh: Tolak AWS KMS kunci tertentu untuk mengenkripsi rahasia.

Untuk menemukan kunci KMS yang terkait dengan rahasia, lihat rahasia di konsol atau panggil ListSecretsatau DescribeSecret. Ketika rahasia dikaitkan dengan Kunci yang dikelola AWS for Secrets Manager (aws/secretsmanager), operasi ini tidak mengembalikan pengenal kunci KMS.

Apa yang dienkripsi?

Secrets Manager mengenkripsi nilai rahasia, tetapi tidak mengenkripsi yang berikut:

  • Nama dan deskripsi rahasia

  • Pengaturan rotasi

  • ARN dari kunci KMS yang terkait dengan rahasia

  • Setiap AWS tag terlampir

Proses enkripsi dan dekripsi

Untuk mengenkripsi nilai rahasia dalam rahasia, Secrets Manager menggunakan proses berikut.

  1. Secrets Manager memanggil AWS KMS GenerateDataKeyoperasi dengan ID kunci KMS untuk rahasia dan permintaan untuk kunci simetris AES 256-bit. AWS KMS mengembalikan kunci data plaintext dan salinan kunci data yang dienkripsi di bawah kunci KMS.

  2. Secrets Manager menggunakan kunci data plaintext dan algoritma Advanced Encryption Standard (AES) untuk mengenkripsi nilai rahasia di luar. AWS KMS Ini akan menghapus kunci plaintext dari memori sesegera mungkin setelah menggunakannya.

  3. Secrets Manager menyimpan kunci data terenkripsi dalam metadata rahasia sehingga ini tersedia untuk mendekripsi nilai rahasia. Namun, tidak ada API Secrets Manager yang mengembalikan rahasia terenkripsi atau kunci data terenkripsi.

Untuk mendekripsi nilai rahasia terenkripsi:

  1. Secrets Manager memanggil operasi AWS KMS Dekripsi dan meneruskan kunci data terenkripsi.

  2. AWS KMS menggunakan kunci KMS untuk rahasia untuk mendekripsi kunci data. Ini mengembalikan kunci data plaintext.

  3. Secrets Manager menggunakan kunci data plaintext untuk mendekripsi nilai rahasia. Kemudian, ini menghapus kunci data dari memori sesegera mungkin.

Izin untuk kunci KMS

Ketika Secrets Manager menggunakan kunci KMS dalam operasi kriptografi, ia bertindak atas nama pengguna yang mengakses atau memperbarui nilai rahasia. Anda dapat memberikan izin dalam kebijakan IAM atau kebijakan utama. Operasi Secrets Manager berikut memerlukan AWS KMS izin.

Untuk mengizinkan kunci KMS hanya digunakan untuk permintaan yang berasal dari Secrets Manager, dalam kebijakan izin, Anda dapat menggunakan kunci ViaService kondisi kms: dengan nilainya. secretsmanager.<Region>.amazonaws.com

Anda juga dapat menggunakan kunci atau nilai dalam konteks enkripsi sebagai syarat untuk menggunakan kunci KMS untuk operasi kriptografi. Misalnya, Anda dapat menggunakan operator ketentuan string di IAM atau dokumen kebijakan kunci, atau menggunakan batasan hibah dalam hibah. Perbanyakan hibah kunci KMS dapat memakan waktu hingga lima menit. Untuk informasi lebih lanjut, lihat CreateGrant.

Bagaimana Secrets Manager menggunakan kunci KMS Anda

Secrets Manager memanggil AWS KMS operasi berikut dengan kunci KMS Anda.

GenerateDataKey

Secrets Manager memanggil AWS KMS GenerateDataKeyoperasi sebagai tanggapan atas operasi Secrets Manager berikut.

  • CreateSecret— Jika rahasia baru menyertakan nilai rahasia, Secrets Manager meminta kunci data baru untuk mengenkripsi itu.

  • PutSecretValue— Secrets Manager meminta kunci data baru untuk mengenkripsi nilai rahasia yang ditentukan.

  • ReplicateSecretToRegions— Untuk mengenkripsi rahasia yang direplikasi, Secrets Manager meminta kunci data untuk kunci KMS di Region replika.

  • UpdateSecret— Jika Anda mengubah nilai rahasia atau kunci KMS, Secrets Manager meminta kunci data baru untuk mengenkripsi nilai rahasia baru.

RotateSecretOperasi tidak memanggilGenerateDataKey, karena tidak mengubah nilai rahasia. Namun, jika RotateSecret memanggil fungsi rotasi Lambda yang mengubah nilai rahasia, panggilannya ke PutSecretValue operasi memicu GenerateDataKey permintaan.

Dekripsi

Secrets Manager memanggil operasi Dekripsi sebagai respons untuk operasi Secrets Manager berikut.

  • GetSecretValuedan BatchGetSecretValue— Secrets Manager mendekripsi nilai rahasia sebelum mengembalikannya ke penelepon. Untuk mendekripsi nilai rahasia terenkripsi, Secrets Manager memanggil operasi Dekripsi untuk AWS KMS mendekripsi kunci data terenkripsi dalam rahasia. Kemudian, ini menggunakan kunci data plaintext untuk mendekripsi nilai rahasia terenkripsi. Untuk perintah batch, Secrets Manager dapat menggunakan kembali kunci yang didekripsi, sehingga tidak semua panggilan menghasilkan permintaan. Decrypt

  • PutSecretValuedan UpdateSecret— Sebagian besar PutSecretValue dan UpdateSecret permintaan tidak memicu Decrypt operasi. Namun, ketika permintaan PutSecretValue atau UpdateSecret berusaha untuk mengubah nilai rahasia dalam versi rahasia yang ada, Secrets Manager mendekripsi nilai rahasia yang ada dan membandingkannya dengan nilai rahasia dalam permintaan untuk mengonfirmasi bahwa mereka adalah sama. Tindakan ini memastikan bahwa operasi Secrets Manager adalah idempoten. Untuk mendekripsi nilai rahasia terenkripsi, Secrets Manager memanggil operasi Dekripsi untuk AWS KMS mendekripsi kunci data terenkripsi dalam rahasia. Kemudian, ini menggunakan kunci data plaintext untuk mendekripsi nilai rahasia terenkripsi.

  • ReplicateSecretToRegions— Secrets Manager pertama kali mendekripsi nilai rahasia di Wilayah utama sebelum mengenkripsi ulang nilai rahasia dengan kunci KMS di Region replika.

Enkripsi

Secrets Manager memanggil operasi Enkripsi sebagai respons terhadap operasi Secrets Manager berikut:

  • UpdateSecret— Jika Anda mengubah kunci KMS, Secrets Manager mengenkripsi ulang kunci data yang melindungiAWSCURRENT,AWSPREVIOUS, dan versi AWSPENDING rahasia dengan kunci baru.

  • ReplicateSecretToRegions— Secrets Manager mengenkripsi ulang kunci data selama replikasi menggunakan kunci KMS di Region replika.

DescribeKey

Secrets Manager memanggil DescribeKeyoperasi untuk menentukan apakah akan mencantumkan kunci KMS saat Anda membuat atau mengedit rahasia di konsol Secrets Manager.

Memvalidasi akses ke kunci KMS

Ketika Anda membuat atau mengubah kunci KMS yang terkait dengan rahasia, Secrets Manager memanggil GenerateDataKey dan Decrypt operasi dengan kunci KMS yang ditentukan. Panggilan ini mengonfirmasi bahwa penelepon memiliki izin untuk menggunakan kunci KMS untuk operasi ini. Secrets Manager membuang hasil operasi tersebut; itu tidak menggunakannya dalam operasi kriptografi.

Anda dapat mengidentifikasi panggilan validasi ini karena nilai dari kunci SecretVersionId konteks enkripsi dalam permintaan ini adalah RequestToValidateKeyAccess.

catatan

Di masa lalu, panggilan validasi Secrets Manager tidak termasuk konteks enkripsi. Anda mungkin menemukan panggilan tanpa konteks enkripsi di AWS CloudTrail log lama.

Kebijakan utama dari Kunci yang dikelola AWS (aws/secretsmanager)

Kebijakan kunci Kunci yang dikelola AWS untuk Secrets Manager (aws/secretsmanager) memberi pengguna izin untuk menggunakan kunci KMS untuk operasi tertentu hanya jika Secrets Manager membuat permintaan atas nama pengguna. Kebijakan kunci tidak mengizinkan pengguna untuk menggunakan kunci KMS secara langsung.

Kebijakan utama ini, seperti kebijakan semua Kunci yang dikelola AWS, ditetapkan oleh layanan. Anda tidak dapat mengubah kebijakan kunci, tetapi Anda dapat melihatnya kapan saja. Untuk detailnya, lihat Melihat kebijakan utama.

Pernyataan kebijakan dalam kebijakan kunci memiliki efek sebagai berikut:

  • Izinkan pengguna di akun untuk menggunakan kunci KMS untuk operasi kriptografi hanya ketika permintaan berasal dari Secrets Manager atas nama mereka. Kunci kondisi kms:ViaService memberlakukan pembatasan ini.

  • Memungkinkan AWS akun untuk membuat kebijakan IAM yang memungkinkan pengguna untuk melihat properti kunci KMS dan mencabut hibah.

  • Meskipun Secrets Manager tidak menggunakan hibah untuk mendapatkan akses ke kunci KMS, kebijakan ini juga memungkinkan Secrets Manager untuk membuat hibah untuk kunci KMS atas nama pengguna dan memungkinkan akun untuk mencabut hibah yang memungkinkan Secrets Manager untuk menggunakan kunci KMS. Ini adalah elemen standar dokumen kebijakan untuk sebuah Kunci yang dikelola AWS.

Berikut ini adalah kebijakan utama untuk Kunci yang dikelola AWS contoh Secrets Manager.

{
  "Id": "auto-secretsmanager-2",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "*"
        ]
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "111122223333",
          "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "*"
        ]
      },
      "Action": "kms:GenerateDataKey*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "111122223333"
        },
        "StringLike": {
          "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Allow direct access to key metadata to the account",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:root"
        ]
      },
      "Action": [
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource": "*"
    }
  ]
}

Konteks enkripsi Secrets Manager

Konteks enkripsi adalah seperangkat pasangan nilai kunci yang berisi data non-rahasia yang berubah-ubah. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Dalam permintaannya GenerateDataKeydan Dekripsi ke AWS KMS, Secrets Manager menggunakan konteks enkripsi dengan dua pasangan nama-nilai yang mengidentifikasi rahasia dan versinya, seperti yang ditunjukkan pada contoh berikut. Nama-nama tidak bervariasi, tetapi nilai-nilai konteks enkripsi gabungan akan berbeda untuk setiap nilai rahasia.

"encryptionContext": {
    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
    "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
}

Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi operasi kriptografi ini dalam catatan audit dan log, seperti AWS CloudTraildan Amazon CloudWatch Logs, dan sebagai syarat untuk otorisasi dalam kebijakan dan hibah.

Enkripsi konteks Secrets Manager terdiri dari dua pasangan nama-nilai.

  • SecretARN — Pasangan nama-nilai pertama mengidentifikasi rahasia. Kuncinya adalah SecretARN. Nilai tersebut adalah Amazon Resource Name (ARN) dari rahasia.

    "SecretARN": "ARN of an Secrets Manager secret"

    Sebagai contoh, jika ARN dari rahasia adalah arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3, maka konteks enkripsi akan mencakup pasangan berikut.

    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3"

  • SecretVersionId— Pasangan nama-nilai kedua mengidentifikasi versi rahasia. Kuncinya adalah SecretVersionId. Nilai adalah ID versi.

    "SecretVersionId": "<version-id>"

    Sebagai contoh, jika ID versi dari rahasia adalah EXAMPLE1-90ab-cdef-fedc-ba987SECRET1, maka konteks enkripsi akan mencakup pasangan berikut.

    "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"

Saat Anda membuat atau mengubah kunci KMS untuk rahasia, Secrets Manager mengirim GenerateDataKeydan Mendekripsi permintaan AWS KMS untuk memvalidasi bahwa pemanggil memiliki izin untuk menggunakan kunci KMS untuk operasi ini. Ini membuang tanggapan; tidak menggunakannya pada nilai rahasia.

Dalam permintaan validasi ini, nilai dari SecretARN adalah ARN sebenarnya dari rahasia, tetapi nilai SecretVersionId adalah RequestToValidateKeyAccess, seperti yang ditunjukkan dalam konteks enkripsi contoh berikut. Nilai khusus ini membantu Anda untuk mengidentifikasi permintaan validasi di log dan jejak audit.

"encryptionContext": {
    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
    "SecretVersionId": "RequestToValidateKeyAccess"
}
catatan

Di masa lalu, permintaan validasi Secrets Manager tidak termasuk konteks enkripsi. Anda mungkin menemukan panggilan tanpa konteks enkripsi di AWS CloudTrail log lama.

Memantau interaksi Secrets Manager dengan AWS KMS

Anda dapat menggunakan AWS CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang dikirimkan Secrets Manager atas nama Anda. AWS KMS Untuk informasi tentang pemantauan penggunaan rahasia, lihatMemantau AWS Secrets Manager rahasia.

GenerateDataKey

Saat Anda membuat atau mengubah nilai rahasia dalam rahasia, Secrets Manager mengirimkan GenerateDataKeypermintaan AWS KMS yang menentukan kunci KMS untuk rahasia tersebut.

Peristiwa yang mencatat operasi GenerateDataKey serupa dengan peristiwa contoh berikut. Permintaan dipanggil oleh secretsmanager.amazonaws.com. Parameter termasuk Nama Sumber Daya Amazon (ARN) dari kunci KMS untuk rahasia, penentu kunci yang memerlukan kunci 256-bit, dan konteks enkripsi yang mengidentifikasi rahasia dan versi.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-05-31T23:23:41Z"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2018-05-31T23:23:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "keySpec": "AES_256",
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
            "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
        }
    },
    "responseElements": null,
    "requestID": "a7d4dd6f-6529-11e8-9881-67744a270888",
    "eventID": "af7476b6-62d7-42c2-bc02-5ce86c21ed36",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
Dekripsi

Ketika Anda mendapatkan atau mengubah nilai rahasia rahasia, Secrets Manager mengirimkan permintaan Dekripsi AWS KMS untuk mendekripsi kunci data terenkripsi. Untuk perintah batch, Secrets Manager dapat menggunakan kembali kunci yang didekripsi, sehingga tidak semua panggilan menghasilkan permintaan. Decrypt

Peristiwa yang mencatat operasi Decrypt serupa dengan peristiwa contoh berikut. Pengguna adalah kepala sekolah di AWS akun Anda yang mengakses tabel. Parameter termasuk kunci tabel terenkripsi (sebagai gumpalan ciphertext) dan konteks enkripsi yang mengidentifikasi tabel dan akun. AWS AWS KMS memperoleh ID kunci KMS dari ciphertext. 

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-05-31T23:36:09Z"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2018-05-31T23:36:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
            "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
        }
    },
    "responseElements": null,
    "requestID": "658c6a08-652b-11e8-a6d4-ffee2046048a",
    "eventID": "f333ec5c-7fc1-46b1-b985-cbda13719611",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
Enkripsi

Ketika Anda mengubah kunci KMS yang terkait dengan rahasia, Secrets Manager mengirimkan permintaan Enkripsi AWS KMS untuk mengenkripsi ulangAWSCURRENT,AWSPREVIOUS, dan versi AWSPENDING rahasia dengan kunci baru. Saat Anda mereplikasi rahasia ke Wilayah lain, Secrets Manager juga mengirimkan permintaan Enkripsi ke. AWS KMS

Peristiwa yang mencatat operasi Encrypt serupa dengan peristiwa contoh berikut. Pengguna adalah kepala sekolah di AWS akun Anda yang mengakses tabel. 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-06-09T18:11:34Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2023-06-09T18:11:34Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:ChangeKeyTest-5yKnKS",
            "SecretVersionId": "EXAMPLE1-5c55-4d7c-9277-1b79a5e8bc50"
        }
    },
    "responseElements": null,
    "requestID": "129bd54c-1975-4c00-9b03-f79f90e61d60",
    "eventID": "f7d9ff39-15ab-47d8-b94c-56586de4ab68",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}