データベース監査ログ作成 - Amazon Redshift

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

データベース監査ログ作成

Overview

Amazon Redshift は、データベースの接続とユーザーアクティビティに関する情報を記録します。これらのログは、セキュリティとトラブルシューティングの目的でデータベースを監視するのに役立ちます。このプロセスは、多くの場合データベース監査と呼ばれます。このログは Amazon S3 バケットに格納されます。このログによって、データベースでのモニタリング作業を担当するユーザーがデータセキュリティ機能を使用しやすくなります。

Amazon Redshift ログ

Amazon Redshift は、次のログファイルに情報を記録します。

  • 接続ログ — 認証の試みと、接続および切断を記録します。

  • ユーザーログ — データベースのユーザー定義への変更に関する情報を記録します。

  • ユーザーアクティビティログ — データベースで実行される前に各クエリを記録します。

接続ログとユーザーログは、主にセキュリティに役立ちます。接続ログを使用して、データベースに接続するユーザーや関連する接続情報についての情報をモニタリングできます。この情報には、ユーザーの IP アドレス、リクエストの日時、使用した認証の種類などが含まれます。ユーザーログを使用して、データベースユーザーの定義への変更を監視できます。

ユーザーアクティビティログは、主にトラブルシューティングに役立ちます。ユーザーおよびシステムによってデータベースで実行されるクエリの種類についての情報を追跡します。

接続ログとユーザーログは、データベースのシステムテーブルに保存されている情報と一致します。システムテーブルを使用して同じ情報を取得できますが、ログファイルのほうがより簡単な方法で検索および参照できます。ログファイルは、テーブルに対してクエリを実行するのに、データベースのアクセス許可ではなく Amazon S3 のアクセス許可に依存しています。また、システムテーブルに対してクエリを実行するのではなくログファイルの情報を参照するので、データベースとのやりとりによる影響が軽減されます。

注記

ログファイルは、ベースシステムログテーブル、STL_USERLOG、および STL_CONNECTION_LOG ほど最新ではありません。最新のレコードを含まない、それより古いレコードはログファイルにコピーされます。

接続ログ

認証の試みと、接続および切断を記録します。次の表に、接続ログの情報を示します。

列名 説明
event 接続または認証イベント。
recordtime イベントが発生した時刻。
remotehost リモートホストの名前または IP アドレス。
remoteport リモートホストのポート番号。
pid ステートメントに関連付けられるプロセス ID。
dbname データベース名。
username ユーザー名。
authmethod 認証方法。
duration 接続時間 (マイクロ秒)。
sslversion Secure Sockets Layer (SSL) バージョン。
sslcipher SSL 暗号。
mtu 最大送信単位 (MTU)。
sslcompression SSL 圧縮タイプ。
sslexpansion SSL 拡張タイプ。
iamauthguid リクエストの IAM 認証 ID。CloudTrail
application_name セッションのアプリケーションの初期名または更新名。
ドライバーのバージョン サードパーティー SQL クライアントツールから Amazon Redshift クラスターに接続する ODBC または JDBC ドライバーのバージョン。
OS バージョン クラスターに接続するクライアントマシン上にあるオペレーティングシステムのバージョン。Amazon Redshift
plugin_name クラスターへの接続に使用されるプラグインの名前。Amazon Redshift

ユーザーログ

データベースユーザーに対する次の変更の詳細を記録します。

  • ユーザーの作成

  • ユーザーの削除

  • ユーザーの変更 (名前の変更)

  • ユーザーの変更 (プロパティの変更)

列名 説明
userid 変更の影響を受けるユーザーの ID。
username 変更の影響を受けるユーザーのユーザー名。
oldusername 名前の変更アクションの場合、以前のユーザー名。その他のアクションの場合、このフィールドは空です。
action 実行されたアクション。有効な値:
  • Alter

  • 作成

  • Drop

  • Rename

usecreatedb true (1) の場合、ユーザーに create database 権限があることを示します。
usesuper true (1) の場合、ユーザーがスーパーユーザーであることを示します。
usecatupd true (1) の場合、ユーザーはシステムカタログを更新できることを示します。
valuntil パスワードが失効する日付。
pid プロセス ID。
xid トランザクション ID。
recordtime UTC で表されたクエリの開始時間。

ユーザーアクティビティログ

データベースで実行される前に各クエリを記録します。

列名 説明
recordtime イベントが発生した時刻。
db データベース名。
ユーザー ユーザー名。
pid ステートメントに関連付けられるプロセス ID。
userid ユーザー ID
xid トランザクション ID。
query プレフィックス LOG の後に、改行を含むクエリのテキストが続きます。

ロギングの有効化

Amazon Redshift の監査ログ作成はデフォルトで有効ではありません。クラスターでログ作成を有効にすると、Amazon Redshift は、監査ログが有効になった時点から現在までのデータをキャプチャするログを作成して Amazon S3 にアップロードします。ログ作成の更新は、すでに記録された情報の続きになります。

注記

Amazon S3 への監査ログ作成は、任意で、手動のプロセスです。クラスターでログ作成を有効にすると、Amazon S3 へのログ作成のみ有効になります。システムテーブルへのログ作成は任意ではなく、クラスターに対して自動的に作成されます。システムテーブルへのログ作成に関する詳細については、 の「システムテーブルのリファレンスAmazon Redshift Database Developer Guide」を参照してください。

接続ログ、ユーザーログ、およびユーザーアクティビティログは、AWS マネジメントコンソール、Amazon Redshift API リファレンス、または AWS Command Line Interface(AWS CLI)を使用すると同時に有効になります。ユーザーアクティビティログについては、enable_user_activity_logging データベースパラメータも有効にする必要があります。監査ログ作成機能のみを有効にし、関連するパラメータを有効にしない場合、データベース監査ログは接続ログとユーザーログの情報のみ記録し、ユーザーアクティビティログの情報は記録しません。この enable_user_activity_logging パラメータはデフォルトでは有効になっていません (false)。ユーザーアクティビティログを有効にするには、このパラメータを true に設定します。詳細については、「Amazon Redshift パラメータグループ」を参照してください。

注記

現在、Amazon S3 管理キー (SSE-S3) 暗号化 (AES-256) のみを監査ログ記録に使用できます。

ログファイルの管理

Amazon S3 の Amazon Redshift のログファイルの数とサイズは、クラスターのアクティビティによって大きく異なります。大量のログを生成しているアクティブなクラスターがある場合、Amazon Redshift はより頻繁にログファイルを生成することがあります。同じ時間に複数の接続ログがあるなど、同じタイプのアクティビティに対して一連のログファイルが存在する場合があります。

Amazon Redshift は、Amazon S3 を使用してログを保存するため、Amazon S3 で使用するストレージの料金が発生します。ログ記録の設定を行う前に、ログファイルをどのくらいの期間保管する必要があるかを必ず計画してください。この作業の一環として、監査の必要性に応じてログファイルをいつ削除またはアーカイブできるかを決定します。作成する予定は、コンプライアンス要件または規制要件に従ったデータなど、保管するデータの種類によって大きく異なります。Amazon S3 の料金の詳細については、Amazon Simple Storage Service(S3)料金表をご覧ください。

Amazon Redshift 監査ログ作成のためのバケットのアクセス許可

ログ作成を有効にすると、Amazon Redshift はログ作成情報を収集し、Amazon S3 に格納されたログファイルにアップロードします。既存のバケットか、新しいバケットを使用できます。Amazon Redshift では、バケットに対して以下の IAM アクセス許可が必要です。

  • s3:GetBucketAcl サービスは、Amazon S3 バケットに対して読み取りのアクセス許可が必要です。これにより、バケット所有者を識別できます。

  • s3:PutObject サービスは、ログをアップロードするために put object のアクセス許可が必要です。 また、ロギングを有効にする IAM ユーザーまたは IAM ロールには、s3:PutObject バケットへの Amazon S3 アクセス許可が必要です。ログがアップロードされるたびに、サービスは現在のバケット所有者がログ作成に有効になったときのバケット所有者と一致するかどうかを判定します。これらの所有者が一致しない場合、エラーが発生します。

設定の一環として Amazon Redshift に新規バケットを作成させると、正確なアクセス許可がバケットに適用されます。ただし、Amazon S3 で独自にバケットを作成する、または既存のバケットを使用する場合、バケット名を含むバケットポリシーを追加する必要があります。また、以下のテーブルから 該当する AWS リージョン に対応するAmazon Redshift アカウント ID が必要になります。

リージョン名 リージョン アカウント ID
米国東部 (バージニア北部) リージョン us-east-1 193672423079
米国東部 (オハイオ) リージョン us-east-2 391106570357
米国西部 (北カリフォルニア) リージョン us-west-1 262260360010
米国西部 (オレゴン) リージョン us-west-2 902366379725
アフリカ (ケープタウン) リージョン af-south-1 365689465814
アジアパシフィック (香港) リージョン ap-east-1 313564881002
アジアパシフィック (ムンバイ) リージョン ap-south-1 865932855811
アジアパシフィック (大阪: ローカル) リージョン ap-northeast-3 090321488786
アジアパシフィック (ソウル) リージョン ap-northeast-2 760740231472
アジアパシフィック (シンガポール) リージョン ap-southeast-1 361669875840
アジアパシフィック (シドニー) リージョン ap-southeast-2 762762565011
アジアパシフィック (東京) リージョン ap-northeast-1 404641285394
カナダ (中部) リージョン ca-central-1 907379612154
欧州 (フランクフルト) リージョン eu-central-1 053454850223
欧州 (アイルランド) リージョン eu-west-1 210876761215
欧州 (ロンドン) リージョン eu-west-2 307160386991
欧州 (ミラノ) リージョン eu-south-1 945612479654
欧州 (パリ) リージョン eu-west-3 915173422425
欧州 (ストックホルム) リージョン eu-north-1 729911121831
中東 (バーレーン) リージョン me-south-1 013126148197
南米 (サンパウロ) リージョン sa-east-1 075028567923

バケットポリシーは次の形式を使用します。BucketName および AccountId は、独自の値のプレースホルダーです。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountId:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::BucketName/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountID:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::BucketName" } ] }

次の例は、米国東部 (バージニア北部) リージョン のバケットポリシーと、AuditLogs という名前のバケットです。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::AuditLogs/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::AuditLogs" } ] }

バケットの作成とバケットポリシーの追加の詳細については、Amazon S3 の「バケットの作成」と「バケットのアクセス許可の編集」を参照してください。Amazon Simple Storage Service コンソールユーザーガイド

Amazon Redshift 監査ログ作成のバケットの構造

デフォルトでは、Amazon Redshift は Amazon S3 バケット内のログファイルの整理に以下のバケットおよびオブジェクト構造を使用します。AWSLogs/AccountID/ServiceName/Region/Year/Month/Day/AccountID_ServiceName_Region_ClusterName_LogType_Timestamp.gz

例: AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Amazon S3 のキープレフィックスを指定すると、キーの冒頭にプレフィックスが挿入されます。

たとえば、myprefix のプレフィックスを指定する場合。myprefix/AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Amazon S3 のキープレフィックスは 512 文字を超えることはできません。スペース ( )、二重引用符 (“)、一重引用符 (‘)、バックスラッシュ (\) を含めることはできません。また、許可されない特殊文字、および制御文字もいくつかあります。これらの文字の 16 進コードは次のとおりです。

  • x00 から x20

  • x 22

  • x 27

  • x5c

  • x7f 以上

Amazon Redshift 監査ログ作成のトラブルシューティング

Amazon Redshift 監査ログ作成は、以下の理由で中断されることがあります。

  • Amazon S3 バケットにログをアップロードするアクセス許可が Amazon Redshift にありません。バケットに正しい IAM ポリシーが設定されていることを確認します。詳細については、「Amazon Redshift 監査ログ作成のためのバケットのアクセス許可」を参照してください。

  • バケット所有者が変更されました。Amazon Redshift がログをアップロードするとき、バケット所有者がログが有効になった時と同じであることを確認します。バケット所有者を変更した場合、Amazon Redshift は、監査ログ作成に使用する別のバケットを設定するまでログをアップロードできません。詳細については、「監査ログ作成のバケットを変更する」を参照してください。

  • バケットが見つかりません。バケットが Amazon S3 で削除された場合、Amazon Redshift はログをアップロードできません。バケットを再作成するか、別のバケットにログをアップロードするように Amazon Redshift を設定する必要があります。詳細については、「監査ログ作成のバケットを変更する」を参照してください。

AWS CloudTrail による Amazon Redshift API コールのログ記録

Amazon Redshift は、Amazon Redshift のユーザー、ロール、または AWS のサービスによって実行されたアクションを記録するサービスである AWS CloudTrail と統合されています。CloudTrail は、Amazon Redshift のすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、Amazon Redshift コンソールの呼び出しと、Amazon Redshift API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Amazon S3 バケットへの CloudTrail イベント (Amazon Redshift のイベントなど) の継続的デリバリーを有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail により収集された情報を使用して、特定の詳細を判断できます。これには、Amazon Redshift に対して実行されたリクエスト、その送信元の IP アドレス、実行者、実行日時などの詳細が含まれます。

CloudTrail は、Amazon Redshift データベース監査ログ作成から独立して、または加えて使用できます。

CloudTrail の詳細については、「AWS CloudTrail User Guide」を参照してください。

CloudTrail での Amazon Redshift 情報

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Amazon Redshift でアクティビティが発生すると、そのアクティビティは CloudTrail イベントとして AWS の他のサービスのイベントと共に [Event history (イベント履歴)] に記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS アカウントのイベント (Amazon Redshift のイベントなど) を継続的に記録するには、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と AWS ログで収集されたデータに基づいた行動のためにその他の CloudTrail サービスを設定できます。詳細については、以下のトピックを参照してください。

すべての Amazon Redshift アクションは CloudTrail でログに記録されます。これらのアクションは Amazon Redshift API リファレンスで説明されています。たとえば、CreateClusterDeleteCluster、および DescribeCluster の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

  • リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

  • リクエストが、別の AWS サービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

Amazon Redshift ログファイルエントリについて

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。

サンプルの CreateCluster 呼び出しの CloudTrail ログエントリの例を以下に示します。

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:51:56Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T16:56:09Z", "eventSource": "redshift.amazonaws.com", "eventName": "CreateCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "allowVersionUpgrade": true, "enhancedVpcRouting": false, "encrypted": false, "clusterVersion": "1.0", "masterUsername": "awsuser", "masterUserPassword": "****", "automatedSnapshotRetentionPeriod": 1, "port": 5439, "dBName": "mydbtest", "clusterType": "single-node", "nodeType": "dc1.large", "publiclyAccessible": true, "vpcSecurityGroupIds": [ "sg-95f606fc" ] }, "responseElements": { "nodeType": "dc1.large", "preferredMaintenanceWindow": "sat:05:30-sat:06:00", "clusterStatus": "creating", "vpcId": "vpc-84c22aed", "enhancedVpcRouting": false, "masterUsername": "awsuser", "clusterSecurityGroups": [], "pendingModifiedValues": { "masterUserPassword": "****" }, "dBName": "mydbtest", "clusterVersion": "1.0", "encrypted": false, "publiclyAccessible": true, "tags": [], "clusterParameterGroups": [ { "parameterGroupName": "default.redshift-1.0", "parameterApplyStatus": "in-sync" } ], "allowVersionUpgrade": true, "automatedSnapshotRetentionPeriod": 1, "numberOfNodes": 1, "vpcSecurityGroups": [ { "status": "active", "vpcSecurityGroupId": "sg-95f606fc" } ], "iamRoles": [], "clusterIdentifier": "my-dw-instance", "clusterSubnetGroupName": "default" }, "requestID": "4c506036-0032-11e7-b8bf-d7aa466e9920", "eventID": "13ba5550-56ac-405b-900a-8a42b0f43c45", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

サンプルの DeleteCluster 呼び出しの CloudTrail ログエントリの例を以下に示します。

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:58:23Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T17:02:34Z", "eventSource": "redshift.amazonaws.com", "eventName": "DeleteCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "skipFinalClusterSnapshot": true }, "responseElements": null, "requestID": "324cb76a-0033-11e7-809b-1bbbef7710bf", "eventID": "59bcc3ce-e635-4cce-b47f-3419a36b3fa5", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

Amazon Redshift ログの IDs アカウントAWS CloudTrail

Amazon Redshift が別の AWS のサービスを呼び出した場合、その呼び出しは、Amazon Redshift に属するアカウント ID で記録されます。自分のアカウント ID では記録されません。たとえば、Amazon Redshift が AWS Key Management Service、Decrypt、Encrypt、AWS KMS などの CreateGrant (RetireGrant) アクションを呼び出して、クラスターの暗号化を管理するとします。この場合、この呼び出しは、AWS CloudTrail により、Amazon Redshift アカウント ID を使用して記録されます。

Amazon Redshift は、他の AWS サービスを呼び出すときに、以下の表のアカウント IDs を使用します。

リージョン リージョン アカウント ID
米国東部 (バージニア北部) リージョン us-east-1 368064434614
米国東部 (オハイオ) リージョン us-east-2 790247189693
米国西部 (北カリフォルニア) リージョン us-west-1 703715109447
米国西部 (オレゴン) リージョン us-west-2 473191095985
アフリカ (ケープタウン) リージョン af-south-1 420376844563
アジアパシフィック (香港) リージョン ap-east-1 651179539253
アジアパシフィック (ムンバイ) リージョン ap-south-1 408097707231
アジアパシフィック (大阪: ローカル) リージョン ap-northeast-3 398671365691
アジアパシフィック (ソウル) リージョン ap-northeast-2 713597048934
アジアパシフィック (シンガポール) リージョン ap-southeast-1 960118270566
アジアパシフィック (シドニー) リージョン ap-southeast-2 485979073181
アジアパシフィック (東京) リージョン ap-northeast-1 615915377779
カナダ (中部) リージョン ca-central-1 764870610256
欧州 (フランクフルト) リージョン eu-central-1 434091160558
欧州 (アイルランド) リージョン eu-west-1 246478207311
欧州 (ロンドン) リージョン eu-west-2 885798887673
欧州 (ミラノ) リージョン eu-south-1 041313461515
欧州 (パリ) リージョン eu-west-3 694668203235
欧州 (ストックホルム) リージョン eu-north-1 553461782468
中東 (バーレーン) リージョン me-south-1 051362938876
南米 (サンパウロ) リージョン sa-east-1 392442076723

次の例は、Amazon Redshift から呼び出された AWS KMS Decrypt オペレーションの CloudTrail ログエントリを示しています。

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AROAI5QPCMKLTL4VHFCYY:i-0f53e22dbe5df8a89", "arn": "arn:aws:sts::790247189693:assumed-role/prod-23264-role-wp/i-0f53e22dbe5df8a89", "accountId": "790247189693", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:24:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAI5QPCMKLTL4VHFCYY", "arn": "arn:aws:iam::790247189693:role/prod-23264-role-wp", "accountId": "790247189693", "userName": "prod-23264-role-wp" } } }, "eventTime": "2017-03-03T17:16:51Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-2", "sourceIPAddress": "52.14.143.61", "userAgent": "aws-internal/3", "requestParameters": { "encryptionContext": { "aws:redshift:createtime": "20170303T1710Z", "aws:redshift:arn": "arn:aws:redshift:us-east-2:123456789012:cluster:my-dw-instance-2" } }, "responseElements": null, "requestID": "30d2fe51-0035-11e7-ab67-17595a8411c8", "eventID": "619bad54-1764-4de4-a786-8898b0a7f40c", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:us-east-2:123456789012:key/f8f4f94f-e588-4254-b7e8-078b99270be7", "accountId": "123456789012", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012", "sharedEventID": "c1daefea-a5c2-4fab-b6f4-d8eaa1e522dc" }