Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registrazione delle AWS KMS API chiamate con AWS CloudTrail
AWS KMS è integrato con AWS CloudTrail, un servizio che registra tutte le chiamate effettuate AWS KMS da utenti, ruoli e altri AWS servizi. CloudTrail acquisisce tutte le API chiamate AWS KMS come eventi, incluse le chiamate dalla AWS KMS console AWS KMS APIs, dai AWS CloudFormation modelli, da AWS Command Line Interface (AWS CLI) e AWS Tools for PowerShell.
CloudTrail registra tutte le AWS KMS operazioni, incluse le operazioni di sola lettura, come ListAliasesand GetKeyRotationStatus, le operazioni che gestiscono le KMS chiavi, come and, CreateKeye le operazioni crittografiche PutKeyPolicy, come e Decrypt. GenerateDataKey Registra anche le operazioni interne che AWS KMS richiedono l'utente, ad esempio, e. DeleteExpiredKeyMaterialDeleteKeySynchronizeMultiRegionKeyRotateKey
CloudTrail registra tutte le operazioni riuscite e, in alcuni scenari, i tentativi di chiamata non riusciti, ad esempio quando al chiamante viene negato l'accesso a una risorsa. Le operazioni su più account sulle KMS chiavi vengono registrate sia nell'account chiamante che nell'account del proprietario della chiave. KMS Tuttavia, AWS KMS le richieste tra più account che vengono rifiutate perché l'accesso è negato vengono registrate solo nell'account del chiamante.
Per motivi di sicurezza, alcuni campi vengono omessi dalle voci di AWS KMS registro, come il Plaintext
parametro di una richiesta Encrypt e la risposta o qualsiasi operazione di GetKeyPolicycrittografia. Per semplificare la ricerca delle voci di CloudTrail registro per KMS chiavi particolari, AWS KMS aggiunge la chiave ARN della KMS chiave interessata al responseElements
campo nelle voci di registro per alcune operazioni di gestione delle AWS KMS chiavi, anche quando l'APIoperazione non restituisce la chiave. ARN
Sebbene per impostazione predefinita, tutte AWS KMS le azioni vengano registrate come CloudTrail eventi, è possibile escludere AWS KMS le azioni da una CloudTrail traccia. Per informazioni dettagliate, consultare Esclusione di AWS KMS eventi da un percorso.
Ulteriori informazioni:
-
Per esempi di CloudTrail log di AWS KMS operazioni per un'enclave AWS Nitro, vedi. Richieste di monitoraggio per enclavi Nitro
Argomenti
Ricerca AWS KMS delle voci di registro in CloudTrail
Per cercare le voci di CloudTrail registro, usa la CloudTrail console o l'CloudTrail LookupEventsoperazione. CloudTrail supporta numerosi valori di attributo per filtrare la ricerca, tra cui il nome dell'evento, il nome utente e l'origine dell'evento.
Per facilitare la ricerca delle voci di AWS KMS registro CloudTrail, AWS KMS compila i seguenti campi di immissione del CloudTrail registro.
Nota
A partire da dicembre 2022, AWS KMS compila gli attributi Tipo di risorsa e Nome risorsa in tutte le operazioni di gestione che modificano una particolare KMS chiave. Questi valori degli attributi potrebbero essere nulli nelle CloudTrail voci precedenti per le seguenti operazioni: CreateAlias, CreateGrant, DeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrantRevokeGrantUpdateAlias, e. UpdatePrimaryRegion
Attributo | Valore | Voci di log |
---|---|---|
Origine evento (EventSource ) |
kms.amazonaws.com |
Tutte le operazioni. |
Tipo di risorsa (ResourceType ) |
AWS::KMS::Key |
Operazioni di gestione che modificano una KMS chiave particolare, ad esempio CreateKey andEnableKey , ma noListKeys . |
Nome risorsa (ResourceName ) |
Chiave ARN (o ID chiave e chiaveARN) | Operazioni di gestione che modificano una KMS chiave particolare, ad esempio CreateKey andEnableKey , ma nonListKeys . |
Per facilitare la ricerca delle voci di registro per le operazioni di gestione su KMS chiavi particolari, AWS KMS
registra la chiave ARN della KMS chiave interessata nell'responseElements.keyId
elemento della voce di registro, anche quando l' AWS KMS APIoperazione non restituisce la chiaveARN.
Ad esempio, una chiamata riuscita all'DisableKeyoperazione non restituisce alcun valore nella risposta, ma anziché un valore nullo, il responseElements.keyId
valore nella voce di DisableKey registro include la chiave ARN della KMS chiave disabilitata.
Questa funzionalità è stata aggiunta a dicembre 2022 e influisce sulle seguenti voci di CloudTrail registro: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResourceUpdateAlias, e UpdatePrimaryRegion.
Esclusione di AWS KMS eventi da un percorso
Per registrare l'uso e la gestione delle proprie AWS KMS risorse, la maggior parte AWS KMS degli utenti si affida agli eventi di un CloudTrail percorso. Il percorso può essere una preziosa fonte di dati per il controllo di eventi critici, come la creazione, la disabilitazione e l'eliminazione AWS KMS keys, la modifica della politica delle chiavi e l'uso delle KMS chiavi da parte dei AWS servizi che agiscono per conto dell'utente. In alcuni casi, i metadati contenuti in una voce di CloudTrail registro, ad esempio il contesto di crittografia in un'operazione di crittografia, possono aiutare a evitare o risolvere errori.
Tuttavia, poiché AWS KMS può generare un gran numero di eventi, AWS CloudTrail consente di escludere AWS KMS gli eventi da una traccia. Questa impostazione per percorso esclude tutti AWS KMS gli eventi; non è possibile escludere eventi particolari. AWS KMS
avvertimento
L'esclusione di AWS KMS eventi da un CloudTrail registro può oscurare le azioni che utilizzano le tue chiavi. KMS Presta attenzione quando concedi alle entità principali l'autorizzazione cloudtrail:PutEventSelectors
necessaria per eseguire questa operazione.
Per escludere AWS KMS eventi da un percorso:
-
Nella CloudTrail console, utilizza l'impostazione degli eventi del servizio Log Key Management quando crei un percorso o lo aggiorni. Per istruzioni, consulta Logging Management Events with the AWS Management Console nella Guida per l' AWS CloudTrail utente.
-
In CloudTrail API, utilizzare l'PutEventSelectorsoperazione. Aggiungere l'attributo
ExcludeManagementEventSources
ai selettori di eventi con un valorekms.amazonaws.com
. Per un esempio, vedi Esempio: un percorso che non registra AWS Key Management Service gli eventi nella Guida per l' AWS CloudTrail utente.
È possibile disattivare questa esclusione in qualsiasi momento modificando l'impostazione della console o i selettori di eventi per un trail. Il percorso inizierà quindi a registrare AWS KMS gli eventi. Tuttavia, non può recuperare AWS KMS gli eventi che si sono verificati mentre l'esclusione era effettiva.
Quando si escludono AWS KMS eventi utilizzando la console oppureAPI, l' CloudTrailPutEventSelectors
APIoperazione risultante viene registrata anche nei registri. CloudTrail Se AWS KMS
gli eventi non compaiono nei tuoi CloudTrail log, cerca un PutEventSelectors
evento con l'ExcludeManagementEventSources
attributo impostato su. kms.amazonaws.com