データベース監査ログ作成 - Amazon Redshift

データベース監査ログ作成

Overview

Amazon Redshift は、データベースの接続とユーザーアクティビティに関する情報を記録します。これらのログは、セキュリティとトラブルシューティングの目的でデータベースを監視するのに役立ちます。このプロセスは、多くの場合データベース監査と呼ばれます。このログは Amazon S3 バケットに格納されます。このログによって、データベースでのモニタリング作業を担当するユーザーがデータセキュリティ機能を使用しやすくなります。

Amazon Redshift ログ

Amazon Redshift は、次のログファイルに情報を記録します。

  • 接続ログ — 認証の試みと、接続および切断を記録します。

  • ユーザーログ — データベースのユーザー定義への変更に関する情報を記録します。

  • ユーザーアクティビティログ — データベースで実行される前に各クエリを記録します。

接続ログとユーザーログは、主にセキュリティに役立ちます。接続ログを使用して、データベースに接続するユーザーや関連する接続情報についての情報をモニタリングできます。この情報には、ユーザーの IP アドレス、リクエストの日時、使用した認証の種類などが含まれます。ユーザーログを使用して、データベースユーザーの定義への変更を監視できます。

ユーザーアクティビティログは、主にトラブルシューティングに役立ちます。ユーザーおよびシステムによってデータベースで実行されるクエリの種類についての情報を追跡します。

接続ログとユーザーログは、データベースのシステムテーブルに保存されている情報と一致します。システムテーブルを使用して同じ情報を取得できますが、ログファイルのほうがより簡単な方法で検索および参照できます。ログファイルは、テーブルに対してクエリを実行するのに、データベースのアクセス許可ではなく Amazon S3 のアクセス許可に依存しています。また、システムテーブルに対してクエリを実行するのではなくログファイルの情報を参照するので、データベースとのやりとりによる影響が軽減されます。

注記

ログファイルは、ベースシステムログテーブル、STL_USERLOG、および STL_CONNECTION_LOG ほど最新ではありません。最新のレコードを含まない、それより古いレコードはログファイルにコピーされます。

接続ログ

認証の試みと、接続および切断を記録します。次の表に、接続ログの情報を示します。

列名 説明
event 接続または認証イベント。
recordtime イベントが発生した時刻。
remotehost リモートホストの名前または IP アドレス。
remoteport リモートホストのポート番号。
pid ステートメントに関連付けられるプロセス ID。
dbname データベース名。
username ユーザー名。
authmethod 認証方法。
duration 接続時間 (マイクロ秒)。
sslversion Secure Sockets Layer (SSL) バージョン。
sslcipher SSL 暗号。
mtu 最大送信単位 (MTU)。
sslcompression SSL 圧縮タイプ。
sslexpansion SSL 拡張タイプ。
iamauthguid CloudTrail リクエストの IAM 認証 ID。
application_name セッションのアプリケーションの初期名または更新名。
driver_version サードパーティーの SQL クライアントツールから Amazon Redshift クラスターに接続する ODBC または JDBC ドライバーのバージョン。
os_version Amazon Redshift クラスターに接続するクライアントマシン上にあるオペレーティングシステムのバージョン。
plugin_name Amazon Redshift クラスターへの接続に使用されるプラグインの名前。

ユーザーログ

データベースユーザーに対する次の変更の詳細を記録します。

  • ユーザーの作成

  • ユーザーの削除

  • ユーザーの変更 (名前の変更)

  • ユーザーの変更 (プロパティの変更)

列名 説明
userid 変更の影響を受けるユーザーの ID。
username 変更の影響を受けるユーザーのユーザー名。
oldusername 名前の変更アクションの場合、以前のユーザー名。その他のアクションの場合、このフィールドは空です。
action 実行されたアクション。有効な値:
  • Alter

  • 作成

  • Drop

  • Rename

usecreatedb true (1) の場合、ユーザーに create database 権限があることを示します。
usesuper true (1) の場合、ユーザーがスーパーユーザーであることを示します。
usecatupd true (1) の場合、ユーザーはシステムカタログを更新できることを示します。
valuntil パスワードが失効する日付。
pid プロセス ID。
xid トランザクション ID。
recordtime UTC で表されたクエリの開始時間。

ユーザーアクティビティログ

データベースで実行される前に各クエリを記録します。

列名 説明
recordtime イベントが発生した時刻。
db データベース名。
ユーザー ユーザー名。
pid ステートメントに関連付けられるプロセス ID。
userid ユーザー ID
xid トランザクション ID。
query プレフィックス LOG の後に、改行を含むクエリのテキストが続きます。

ロギングの有効化

Amazon Redshift の監査ログ作成はデフォルトで有効ではありません。クラスターでログ作成を有効にすると、Amazon Redshift は、監査ログが有効になった時点から現在までのデータをキャプチャするログを作成して Amazon S3 にアップロードします。ログ作成の更新は、すでに記録された情報の続きになります。

注記

Amazon S3 への監査ログ作成は、任意で、手動のプロセスです。クラスターでログ作成を有効にすると、Amazon S3 へのログ作成のみ有効になります。システムテーブルへのログ作成は任意ではなく、クラスターに対して自動的に作成されます。システムテーブルへのログ記録の詳細については、Amazon Redshift データベースデベロッパーガイドのシステムテーブルのリファレンスを参照してください。

接続ログ、ユーザーログ、およびユーザーアクティビティログは、AWS マネジメントコンソール、Amazon Redshift API リファレンス、または AWS Command Line Interface (AWS CLI) を使用して、同時に有効になります。ユーザーアクティビティログについては、enable_user_activity_logging データベースパラメータも有効にする必要があります。監査ログ作成機能のみを有効にし、関連するパラメータを有効にしない場合、データベース監査ログは接続ログとユーザーログの情報のみ記録し、ユーザーアクティビティログの情報は記録しません。この enable_user_activity_logging パラメータはデフォルトでは有効になっていません (false)。ユーザーアクティビティログを有効にするには、このパラメータを true に設定します。詳細については、Amazon Redshift パラメータグループを作成します。 を参照してください。

注記

現在、Amazon S3 管理キー (SSE-S3) 暗号化 (AES-256) のみを監査ログ記録に使用できます。

ログファイルの管理

Amazon S3 の Amazon Redshift のログファイルの数とサイズは、クラスターのアクティビティによって大きく異なります。大量のログを生成しているアクティブなクラスターがある場合、Amazon Redshift はより頻繁にログファイルを生成することがあります。同じ時間に複数の接続ログがあるなど、同じタイプのアクティビティに対して一連のログファイルが存在する場合があります。

Amazon Redshift は Amazon S3 を使用してログを保存するため、Amazon S3 で使用するストレージの料金が発生します。ログ記録の設定を行う前に、ログファイルをどのくらいの期間保管する必要があるかを必ず計画してください。この作業の一環として、監査の必要性に応じてログファイルをいつ削除またはアーカイブできるかを決定します。作成する予定は、コンプライアンス要件または規制要件に従ったデータなど、保管するデータの種類によって大きく異なります。Amazon S3 料金の詳細については、Amazon Simple Storage Service (S3) の料金を参照してください。

Amazon Redshift 監査ログ作成のためのバケットのアクセス許可

ログ作成を有効にすると、Amazon Redshift はログ作成情報を収集し、Amazon S3 に格納されたログファイルにアップロードします。新しいバケットを作成することも、既存のバケットを使用することもできます。Amazon Redshift には、バケットに対して以下の IAM アクセス許可が必要です。

  • s3:GetBucketAcl サービスは、Amazon S3 バケットに対して読み取りのアクセス許可が必要です。これにより、バケット所有者を識別できます。

  • s3:PutObject サービスは、ログをアップロードするため、put object のアクセス許可が必要です。また、ログ記録を有効にする IAM ユーザーまたは IAM ロールには、Amazon S3 バケットへの s3:PutObject アクセス許可を持っている必要があります。ログがアップロードされるたびに、サービスは現在のバケット所有者がログ作成に有効になったときのバケット所有者と一致するかどうかを判定します。これらの所有者が一致しない場合は、エラーが発生します。

設定の一環として Amazon Redshift に新規バケットを作成させると、正確なアクセス許可がバケットに適用されます。ただし、Amazon S3 で独自にバケットを作成する、または既存のバケットを使用する場合、バケット名を含むバケットポリシーを追加する必要があります。また、以下のテーブルから該当する AWS リージョン に対応する Amazon Redshift アカウント ID が必要になります。

リージョン名 リージョン アカウント ID
米国東部 (バージニア北部) リージョン 600 us-east-1 193672423079
米国東部 (オハイオ) リージョン us-east-2 391106570357
米国西部 (北カリフォルニア) リージョン us-west-1 262260360010
米国西部 (オレゴン) リージョン - 600 us-west-2 902366379725
アフリカ (ケープタウン) リージョン af-south-1 365689465814
アジアパシフィック (香港) リージョン ap-east-1 313564881002
アジアパシフィック (ムンバイ) リージョン ap-south-1 865932855811
アジアパシフィック (大阪: ローカル) リージョン ap-northeast-3 090321488786
アジアパシフィック (ソウル) リージョン ap-northeast-2 760740231472
アジアパシフィック (シンガポール) リージョン ap-southeast-1 361669875840
アジアパシフィック (シドニー) リージョン ap-southeast-2 762762565011
アジアパシフィック (東京) リージョン ap-northeast-1 404641285394
カナダ (中部) リージョン ca-central-1 907379612154
欧州 (フランクフルト) リージョン eu-central-1 053454850223
リージョン ‐ 欧州 (アイルランド) eu-west-1 210876761215
欧州 (ロンドン) リージョン eu-west-2 307160386991
欧州 (ミラノ) リージョン eu-south-1 945612479654
欧州 (パリ) リージョン eu-west-3 915173422425
欧州 (ストックホルム) リージョン eu-north-1 729911121831
中東 (バーレーン) リージョン me-south-1 013126148197
南米 (サンパウロ) リージョン sa-east-1 075028567923

バケットポリシーは次の形式を使用します。ここで、BucketName は、個人の値のプレースホルダーです。AccountId は、AWS リージョンに対応する Amazon Redshift アカウント ID のテーブルから取得されます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountId:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::BucketName/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountID:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::BucketName" } ] }

次の例は、米国東部 (バージニア北部) リージョン、および AuditLogs という名前のバケットのバケットポリシーです。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::AuditLogs/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::AuditLogs" } ] }

Amazon S3 バケットの作成とバケットポリシー追加の詳細については、Amazon Simple Storage Service コンソールユーザーガイドのバケットの作成バケット許可の編集を参照してください。

Amazon Redshift 監査ログ作成のバケットの構造

デフォルトでは、Amazon Redshift は Amazon S3 バケット内のログファイルの整理に以下のバケットおよびオブジェクト構造 AWSLogs/AccountID/ServiceName/Region/Year/Month/Day/AccountID_ServiceName_Region_ClusterName_LogType_Timestamp.gz を使用します。

例: AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Amazon S3 のキープレフィックスを指定すると、キーの冒頭にプレフィックスが挿入されます。

たとえば、myprefix のプレフィックスを指定する場合。myprefix/AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Amazon S3 のキープレフィックスは 512 文字を超えることはできません。スペース ( )、二重引用符 (“)、一重引用符 (‘)、バックスラッシュ (\) を含めることはできません。また、許可されない特殊文字、および制御文字もいくつかあります。これらの文字の 16 進コードは次のとおりです。

  • x00 から x20

  • x 22

  • x 27

  • x5c

  • x7f 以上

Amazon Redshift 監査ログ作成のトラブルシューティング

Amazon Redshift 監査ログ作成は、以下の理由で中断されることがあります。

  • Amazon Redshift には、Amazon S3 バケットにログをアップロードするアクセス許可がありません。バケットに正しい IAM ポリシーが設定されていることを確認します。詳細については、Amazon Redshift 監査ログ作成のためのバケットのアクセス許可 を参照してください。

  • バケット所有者が変更されました。Amazon Redshift がログをアップロードするとき、バケット所有者がログが有効になった時と同じであることを確認します。バケット所有者を変更した場合、Amazon Redshift は、監査ログ作成に使用する別のバケットを設定するまでログをアップロードできません。詳細については、監査ログ作成のバケットを変更する を参照してください。

  • バケットが見つかりません。Amazon S3 でバケットが削除された場合、Amazon Redshift はログをアップロードできません。バケットを再作成するか、別のバケットにログをアップロードするように Amazon Redshift を設定する必要があります。詳細については、監査ログ作成のバケットを変更する を参照してください。

AWS CloudTrail を使用した Amazon Redshift API コールのログ記録

Amazon Redshift は、Amazon Redshift のユーザー、ロール、または AWS のサービスによって実行されたアクションを記録するサービスである AWS CloudTrail と統合されています。CloudTrail のすべての API コールをイベントとして Amazon Redshift にキャプチャします。これには、Amazon Redshift コンソールからの呼び出しと、Amazon Redshift API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Amazon Redshift のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail により収集された情報を使用して、特定の詳細を判断できます。これには、Amazon Redshift に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細情報が含まれます。

CloudTrail は、Amazon Redshift データベース監査ログ作成から独立して、または加えて使用できます。

CloudTrail に関する詳細は、AWS CloudTrail ユーザーガイドを参照してください。

CloudTrail 内の Amazon Redshift 情報

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Amazon Redshift でアクティビティが発生すると、そのアクティビティは [Event history (イベント履歴)] の他の AWS のサービスのイベントとともに CloudTrail イベントに記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Amazon Redshift のイベントなど、AWS アカウントイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、その他の AWS サービスを設定して、CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うことができます。詳細については、以下を参照してください。

すべての Amazon Redshift アクションは CloudTrail が記録します。これらのアクションは Amazon Redshift API リファレンスで説明されています。例えば、CreateClusterDeleteClusterDescribeCluster の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

  • リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

  • リクエストが AWS の別のサービスによって生成されたかどうか。

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

Amazon Redshift ログファイルエントリの概要

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail ログファイルには、1 つ以上のログエントリがあります。イベントは任意の発生元からの 1 つのリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

サンプルの CreateCluster 呼び出しの CloudTrail ログエントリの例を以下に示します。

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:51:56Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T16:56:09Z", "eventSource": "redshift.amazonaws.com", "eventName": "CreateCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "allowVersionUpgrade": true, "enhancedVpcRouting": false, "encrypted": false, "clusterVersion": "1.0", "masterUsername": "awsuser", "masterUserPassword": "****", "automatedSnapshotRetentionPeriod": 1, "port": 5439, "dBName": "mydbtest", "clusterType": "single-node", "nodeType": "dc1.large", "publiclyAccessible": true, "vpcSecurityGroupIds": [ "sg-95f606fc" ] }, "responseElements": { "nodeType": "dc1.large", "preferredMaintenanceWindow": "sat:05:30-sat:06:00", "clusterStatus": "creating", "vpcId": "vpc-84c22aed", "enhancedVpcRouting": false, "masterUsername": "awsuser", "clusterSecurityGroups": [], "pendingModifiedValues": { "masterUserPassword": "****" }, "dBName": "mydbtest", "clusterVersion": "1.0", "encrypted": false, "publiclyAccessible": true, "tags": [], "clusterParameterGroups": [ { "parameterGroupName": "default.redshift-1.0", "parameterApplyStatus": "in-sync" } ], "allowVersionUpgrade": true, "automatedSnapshotRetentionPeriod": 1, "numberOfNodes": 1, "vpcSecurityGroups": [ { "status": "active", "vpcSecurityGroupId": "sg-95f606fc" } ], "iamRoles": [], "clusterIdentifier": "my-dw-instance", "clusterSubnetGroupName": "default" }, "requestID": "4c506036-0032-11e7-b8bf-d7aa466e9920", "eventID": "13ba5550-56ac-405b-900a-8a42b0f43c45", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

サンプルの DeleteCluster 呼び出しの CloudTrail ログエントリの例を以下に示します。

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:58:23Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T17:02:34Z", "eventSource": "redshift.amazonaws.com", "eventName": "DeleteCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "skipFinalClusterSnapshot": true }, "responseElements": null, "requestID": "324cb76a-0033-11e7-809b-1bbbef7710bf", "eventID": "59bcc3ce-e635-4cce-b47f-3419a36b3fa5", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

AWS CloudTrail ログ内の Amazon Redshift アカウント ID

Amazon Redshift が別の AWS のサービスを呼び出した場合、その呼び出しは、Amazon Redshift に属するアカウント ID で記録されます。自分のアカウント ID では記録されません。たとえば、Amazon Redshift が、CreateGrant、Decrypt、Encrypt、RetireGrant などの AWS Key Management Service (AWS KMS) アクションを呼び出してクラスターで暗号化を管理するとします。この場合、この呼び出しは、AWS CloudTrail により、Amazon Redshift アカウント ID を使用して記録されます。

Amazon Redshift は他の AWS サービスを呼び出すときに、以下の表のアカウント ID を使用します。

リージョン リージョン アカウント ID
米国東部 (バージニア北部) リージョン 600 us-east-1 368064434614
米国東部 (オハイオ) リージョン us-east-2 790247189693
米国西部 (北カリフォルニア) リージョン us-west-1 703715109447
米国西部 (オレゴン) リージョン - 600 us-west-2 473191095985
アフリカ (ケープタウン) リージョン af-south-1 420376844563
アジアパシフィック (香港) リージョン ap-east-1 651179539253
アジアパシフィック (ムンバイ) リージョン ap-south-1 408097707231
アジアパシフィック (大阪: ローカル) リージョン ap-northeast-3 398671365691
アジアパシフィック (ソウル) リージョン ap-northeast-2 713597048934
アジアパシフィック (シンガポール) リージョン ap-southeast-1 960118270566
アジアパシフィック (シドニー) リージョン ap-southeast-2 485979073181
アジアパシフィック (東京) リージョン ap-northeast-1 615915377779
カナダ (中部) リージョン ca-central-1 764870610256
欧州 (フランクフルト) リージョン eu-central-1 434091160558
リージョン ‐ 欧州 (アイルランド) eu-west-1 246478207311
欧州 (ロンドン) リージョン eu-west-2 885798887673
欧州 (ミラノ) リージョン eu-south-1 041313461515
欧州 (パリ) リージョン eu-west-3 694668203235
欧州 (ストックホルム) リージョン eu-north-1 553461782468
中東 (バーレーン) リージョン me-south-1 051362938876
南米 (サンパウロ) リージョン sa-east-1 392442076723

次の例は、Amazon Redshift から呼び出された AWS KMS Decrypt オペレーションの CloudTrail ログエントリを示しています。

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AROAI5QPCMKLTL4VHFCYY:i-0f53e22dbe5df8a89", "arn": "arn:aws:sts::790247189693:assumed-role/prod-23264-role-wp/i-0f53e22dbe5df8a89", "accountId": "790247189693", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:24:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAI5QPCMKLTL4VHFCYY", "arn": "arn:aws:iam::790247189693:role/prod-23264-role-wp", "accountId": "790247189693", "userName": "prod-23264-role-wp" } } }, "eventTime": "2017-03-03T17:16:51Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-2", "sourceIPAddress": "52.14.143.61", "userAgent": "aws-internal/3", "requestParameters": { "encryptionContext": { "aws:redshift:createtime": "20170303T1710Z", "aws:redshift:arn": "arn:aws:redshift:us-east-2:123456789012:cluster:my-dw-instance-2" } }, "responseElements": null, "requestID": "30d2fe51-0035-11e7-ab67-17595a8411c8", "eventID": "619bad54-1764-4de4-a786-8898b0a7f40c", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:us-east-2:123456789012:key/f8f4f94f-e588-4254-b7e8-078b99270be7", "accountId": "123456789012", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012", "sharedEventID": "c1daefea-a5c2-4fab-b6f4-d8eaa1e522dc" }