AWS CloudTrail를 사용하여 AWS KMS API 호출 로깅 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudTrail를 사용하여 AWS KMS API 호출 로깅

AWS KMS와 통합됩니다.AWS CloudTrail에 대한 모든 호출을 기록하는 서비스AWS KMS사용자, 역할 및 기타AWS서비스. CloudTrail 은 에 대한 모든 API 호출을 캡처합니다.AWS KMS의 호출을 포함하여 이벤트로AWS KMS콘솔AWS KMSAPI 사용AWS Command Line Interface(AWS CLI) 및AWS Tools for PowerShell.

CloudTrail 로그AWS KMS같은 읽기 전용 작업을 포함한 작업ListAliasesGetKeyRotationStatus, CMK를 관리하는 작업 (예:CreateKeyPutKeyPolicy, 및암호화 작업(예:GenerateDataKey암호화 해제.

CloudTrail 은 호출자가 리소스에 대한 액세스를 거부하는 경우와 같이 실패한 작업 및 시도된 호출을 기록합니다. 에 대한 작업다른 계정의 CMK는 발신자 계정과 CMK 소유자의 계정 모두에 기록됩니다.

보안상의 이유로 일부 필드는AWS KMS로그 항목 (예:Plaintext의 매개 변수Encrypt요청에 대한 응답과GetKeyPolicy또는 모든 암호화 작업을 수행할 수 있습니다.

기본적으로 모든AWS KMS작업이 CloudTrail 이벤트로 기록되는 경우AWS KMSCloudTrail 추적에서 작업을 수행할 수 있습니다. 세부 정보는 추적에서 AWS KMS 이벤트 제외 단원을 참조하십시오.

CloudTrail 에서 이벤트 로깅

CloudTrail 이 사용자의 AWS 계정 은 계정을 만들 때. 에서 활동이 발생하는 경우AWS KMS와 함께, 해당 활동은 CloudTrail 이벤트에 다른AWS의 서비스 이벤트이벤트 기록. 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. AWS 계정 . 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기를 참조하십시오.

의 이벤트 기록을 보유하려면 AWS 계정 에 대한 이벤트를 포함하여AWS KMS에서 추적을 생성합니다. 추적은 CloudTrail이 Amazon S3 버킷으로 로그 파일을 전송할 수 있도록 합니다. 콘솔에서 추적을 생성하면 기본적으로 모든 리전에 추적이 적용됩니다. 추적은 에 있는 모든 리전의 이벤트를 기록합니다.AWS파티션을 생성하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 다른 구성 할 수 있습니다.AWS서비스를 사용하여 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리할 수 있습니다. 자세한 내용은 다음을 참조하십시오.

CloudTrail 에 대한 자세한 내용은 단원을 참조하십시오.AWS CloudTrail사용 설명서. CMK 사용을 모니터링하는 다른 방법에 대해 알아보려면 고객 마스터 키 모니터링 단원을 참조하십시오.

모든 이벤트 및 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.

  • 요청을 루트로 했는지 아니면 IAM 사용자 자격 증명으로 했는지 여부.

  • 역할 또는 연합된 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부.

  • 다른 AWS 서비스에서 요청했는지 여부.

자세한 내용은 CloudTrail userIdentity 요소를 참조하십시오.

추적에서 AWS KMS 이벤트 제외

모스트AWS KMS사용자는 CloudTrail 추적의 이벤트에 의존하여AWS KMS있습니다. 추적은 고객 마스터 키(CMK) 생성, 비활성화 및 삭제, 키 정책 변경, 고객 대신 AWS 서비스에서 CMK 사용 등 중요한 이벤트를 감사하는 데 중요한 데이터 소스가 될 수 있습니다. CloudTrail 로그 항목의 메타데이터 (예:암호화 컨텍스트를 사용하면 오류를 방지하거나 해결하는 데 도움이 될 수 있습니다.

그러나 AWS KMS는 수많은 이벤트를 생성할 수 있으므로 AWS CloudTrail을 사용하여 추적에서 AWS KMS 이벤트를 제외할 수 있습니다. 이 추적별 설정은 모든 AWS KMS 이벤트를 제외하며 특정 AWS KMS 이벤트를 제외할 수는 없습니다.

주의

제외AWS KMS이벤트는 CMK를 사용하는 작업을 모호하게 만들 수 있습니다. 보안 주체에게 이 작업을 수행하는 데 필요한 cloudtrail:PutEventSelectors 권한을 부여할 때는 주의해야 합니다.

추적에서 AWS KMS 이벤트를 제외하려면

콘솔 설정 또는 추적용 이벤트 선택기를 변경하여 언제든지 이 제외를 비활성화할 수 있습니다. 그러면 추적이 AWS KMS 이벤트 기록을 시작합니다. 그러나 제외가 유효한 동안 발생한 AWS KMS 이벤트는 복구할 수 없습니다.

제외할 때AWS KMS이벤트, 결과 CloudTrailPutEventSelectorsAPI 작업도 CloudTrail 로그에도 기록됩니다. 다음의 경우,AWS KMS이벤트가 CloudTrail 로그에 나타나지 않으면,PutEventSelectors이벤트를 트리거하는ExcludeManagementEventSources속성을 다음으로 설정합니다.kms.amazonaws.com.