기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CloudTrail 로그에서 별칭 찾기
별칭을 사용하여 AWS KMS key API 작업에서 AWS KMS를 지칭할 수 있습니다. 그러면 KMS 키의 별칭과 키 ARN이 이벤트에 대한 AWS CloudTrail 로그 항목에 기록됩니다. 별칭이 requestParameters 필드에 나타납니다. 키 ARN이 resources 필드에 나타납니다. AWS 서비스가 계정에서 AWS 관리형 키를 사용하는 경우에도 마찬가지입니다.
예를 들어 다음 GenerateDataKey요청은 project-key 별칭을 사용하여 KMS 키를 나타냅니다.
$aws kms generate-data-key --key-id alias/project-key --key-spec AES_256
이 요청이 로그에 기록되면 CloudTrail 로그 항목에는 사용된 실제 KMS 키의 별칭과 키 ARN이 모두 포함됩니다.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "ABCDE", "arn": "arn:aws:iam::111122223333:role/ProjectDev", "accountId": "111122223333", "accessKeyId": "FFHIJ", "userName": "example-dev" }, "eventTime": "2020-06-29T23:36:41Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "205.205.123.000", "userAgent": "aws-cli/1.18.89 Python/3.6.10 Linux/4.9.217-0.1.ac.205.84.332.metal1.x86_64 botocore/1.17.12", "requestParameters": { "keyId": "alias/project-key", "keySpec": "AES_256" }, "responseElements": null, "requestID": "d93f57f5-d4c5-4bab-8139-5a1f7824a363", "eventID": "d63001e2-dbc6-4aae-90cb-e5370aca7125", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
CloudTrail 로그의 로깅 AWS KMS 작업에 대한 자세한 내용은 을 참조하십시오. AWS CloudTrail을 사용하여 AWS KMS API 직접 호출 로깅
