Registrazione delle AWS KMS API chiamate con AWS CloudTrail - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione delle AWS KMS API chiamate con AWS CloudTrail

AWS KMS è integrato con AWS CloudTrail, un servizio che registra tutte le chiamate effettuate AWS KMS da utenti, ruoli e altri AWS servizi. CloudTrail acquisisce tutte le API chiamate AWS KMS come eventi, incluse le chiamate dalla AWS KMS console AWS KMS APIs, dai AWS CloudFormation modelli, da AWS Command Line Interface (AWS CLI) e AWS Tools for PowerShell.

CloudTrail registra tutte le AWS KMS operazioni, incluse le operazioni di sola lettura, come ListAliasesand GetKeyRotationStatus, le operazioni che gestiscono le KMS chiavi, come and, CreateKeye le operazioni crittografiche PutKeyPolicy, come e Decrypt. GenerateDataKey Registra anche le operazioni interne che AWS KMS richiedono l'utente, ad esempio, e. DeleteExpiredKeyMaterialDeleteKeySynchronizeMultiRegionKeyRotateKey

CloudTrail registra tutte le operazioni riuscite e, in alcuni scenari, i tentativi di chiamata non riusciti, ad esempio quando al chiamante viene negato l'accesso a una risorsa. Le operazioni su più account sulle KMS chiavi vengono registrate sia nell'account chiamante che nell'account del proprietario della chiave. KMS Tuttavia, AWS KMS le richieste tra più account che vengono rifiutate perché l'accesso è negato vengono registrate solo nell'account del chiamante.

Per motivi di sicurezza, alcuni campi vengono omessi dalle voci di AWS KMS registro, come il Plaintext parametro di una richiesta Encrypt e la risposta o qualsiasi operazione di GetKeyPolicycrittografia. Per semplificare la ricerca delle voci di CloudTrail registro per KMS chiavi particolari, AWS KMS aggiunge la chiave ARN della KMS chiave interessata al responseElements campo nelle voci di registro per alcune operazioni di gestione delle AWS KMS chiavi, anche quando l'APIoperazione non restituisce la chiave. ARN

Sebbene per impostazione predefinita, tutte AWS KMS le azioni vengano registrate come CloudTrail eventi, è possibile escludere AWS KMS le azioni da una CloudTrail traccia. Per informazioni dettagliate, consultare Esclusione di AWS KMS eventi da un percorso.

Ulteriori informazioni:

Ricerca AWS KMS delle voci di registro in CloudTrail

Per cercare le voci di CloudTrail registro, usa la CloudTrail console o l'CloudTrail LookupEventsoperazione. CloudTrail supporta numerosi valori di attributo per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento.

Per facilitare la ricerca delle voci di AWS KMS registro CloudTrail, AWS KMS compila i seguenti campi di immissione del CloudTrail registro.

Nota

A partire da dicembre 2022, AWS KMS compila gli attributi Tipo di risorsa e Nome risorsa in tutte le operazioni di gestione che modificano una particolare KMS chiave. Questi valori degli attributi potrebbero essere nulli nelle CloudTrail voci precedenti per le seguenti operazioni: CreateAlias, CreateGrant, DeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrantRevokeGrantUpdateAlias, e. UpdatePrimaryRegion

Attributo Valore Voci di log
Origine evento (EventSource) kms.amazonaws.com Tutte le operazioni.
Tipo di risorsa (ResourceType) AWS::KMS::Key Operazioni di gestione che modificano una KMS chiave particolare, ad esempio CreateKey andEnableKey, ma noListKeys.
Nome risorsa (ResourceName) Chiave ARN (o ID chiave e chiaveARN) Operazioni di gestione che modificano una KMS chiave particolare, ad esempio CreateKey andEnableKey, ma nonListKeys.

Per facilitare la ricerca delle voci di registro per le operazioni di gestione su KMS chiavi particolari, AWS KMS registra la chiave ARN della KMS chiave interessata nell'responseElements.keyIdelemento della voce di registro, anche quando l' AWS KMS APIoperazione non restituisce la chiaveARN.

Ad esempio, una chiamata riuscita all'DisableKeyoperazione non restituisce alcun valore nella risposta, ma anziché un valore nullo, il responseElements.keyId valore nella voce di DisableKey registro include la chiave ARN della KMS chiave disabilitata.

Questa funzionalità è stata aggiunta a dicembre 2022 e influisce sulle seguenti voci di CloudTrail registro: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, e UpdatePrimaryRegion.

Esclusione di AWS KMS eventi da un percorso

Per registrare l'uso e la gestione delle proprie AWS KMS risorse, la maggior parte AWS KMS degli utenti si affida agli eventi di un CloudTrail percorso. Il percorso può essere una preziosa fonte di dati per il controllo di eventi critici, come la creazione, la disabilitazione e l'eliminazione AWS KMS keys, la modifica della politica delle chiavi e l'uso delle KMS chiavi da parte dei AWS servizi che agiscono per conto dell'utente. In alcuni casi, i metadati contenuti in una voce di CloudTrail registro, ad esempio il contesto di crittografia in un'operazione di crittografia, possono aiutare a evitare o risolvere errori.

Tuttavia, poiché AWS KMS può generare un gran numero di eventi, AWS CloudTrail consente di escludere AWS KMS gli eventi da una traccia. Questa impostazione per percorso esclude tutti AWS KMS gli eventi; non è possibile escludere eventi particolari. AWS KMS

avvertimento

L'esclusione di AWS KMS eventi da un CloudTrail registro può oscurare le azioni che utilizzano le tue chiavi. KMS Presta attenzione quando concedi alle entità principali l'autorizzazione cloudtrail:PutEventSelectors necessaria per eseguire questa operazione.

Per escludere AWS KMS eventi da un percorso:

È possibile disattivare questa esclusione in qualsiasi momento modificando l'impostazione della console o i selettori di eventi per un trail. Il percorso inizierà quindi a registrare AWS KMS gli eventi. Tuttavia, non può recuperare AWS KMS gli eventi che si sono verificati mentre l'esclusione era effettiva.

Quando si escludono AWS KMS eventi utilizzando la console oppureAPI, l' CloudTrailPutEventSelectorsAPIoperazione risultante viene registrata anche nei registri. CloudTrail Se AWS KMS gli eventi non compaiono nei tuoi CloudTrail log, cerca un PutEventSelectors evento con l'ExcludeManagementEventSourcesattributo impostato su. kms.amazonaws.com