AWS CloudTrail을 사용하여 AWS KMS API 호출 로깅 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS CloudTrail을 사용하여 AWS KMS API 호출 로깅

AWS KMS 은(는) AWS CloudTrail, 에 대한 모든 호출을 기록하는 서비스 AWS KMS 사용자, 역할 및 기타 AWS 서비스. CloudTrail 에 대한 모든 API 호출을 캡처합니다. AWS KMS 이벤트로 AWS KMS 콘솔, AWS KMS API, AWS Command Line Interface (AWS CLI), 및 PowerShell용 AWS 도구.

CloudTrail은 모든 AWS KMS 다음과 같은 읽기 전용 작업을 포함한 작업 별칭 나열키 변환 상태 가져오기, 관리 작업 CMKs, 예: 키 생성풋키 정책, 및 암호화 작업, 예: 데이터 키 생성복호화.

CloudTrail 가 성공한 작업 및 실패한 호출 시도를 기록합니다(예: 발신자가 리소스에 대한 액세스를 거부한 경우). 운영 CMKs 다른 계좌에서 발신자의 계정과 CMK 소유자의 계정 모두에 로그인됩니다.

보안상의 이유로 일부 필드는 AWS KMS 로그 항목(예: Plaintext 매개 변수 암호화 요청 및 응답 키 가져오기 정책 또는 암호화 작업.

기본적으로 모든 AWS KMS 작업은 CloudTrail 이벤트로 기록되지만 CloudTrail 추적에서 AWS KMS 작업을 제외할 수 있습니다. 자세한 내용은 추적에서 AWS KMS 이벤트 제외 단원을 참조하십시오.

이벤트 로깅 CloudTrail

CloudTrail은 계정 생성 시 AWS 계정에서 활성화됩니다. AWS KMS에서 활동이 수행되면 해당 활동은 이벤트 기록에서 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기 단원을 참조하십시오.

AWS KMS 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려는 경우 추적을 생성합니다. 추적은 CloudTrail이 Amazon S3 버킷으로 로그 파일을 전송할 수 있도록 합니다. 콘솔에서 추적을 생성하면 기본적으로 모든 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 정보는 단원을 참조하십시오.

CloudTrail에 대해 자세히 알아보려면 AWS CloudTrail User Guide를 참조하십시오. 귀하의 CMKs, 참조 고객 마스터 키 모니터링.

모든 이벤트 또는 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.

  • 요청을 루트로 했는지 아니면 IAM 사용자 자격 증명으로 했는지 여부

  • 역할 또는 연합된 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부.

  • 다른 AWS 서비스에서 요청했는지 여부.

자세한 정보는 CloudTrail userIdentity 요소를 참조하십시오.

추적에서 AWS KMS 이벤트 제외

대부분의 AWS KMS 사용자는 CloudTrail 추적의 이벤트에 의존하여 AWS KMS 리소스의 사용 및 관리에 대한 기록을 제공합니다. 추적은 생성, 비활성화 및 삭제와 같은 중요한 이벤트를 감사하기 위한 중요한 데이터 소스가 될 수 있습니다. 고객 마스터 키 (CMKs), 주요 정책 변경 및 CMKs 에 의해 AWS 귀하를 대신한 서비스입니다. 경우에 따라 암호화 작업의 암호화 컨텍스트와 같은 CloudTrail 로그 항목의 메타데이터가 오류를 방지하거나 해결하는 데 도움이 될 수 있습니다.

그러나 AWS KMS는 수많은 이벤트를 생성할 수 있으므로 AWS CloudTrail을 사용하여 추적에서 AWS KMS 이벤트를 제외할 수 있습니다. 이 추적별 설정은 모든 AWS KMS 이벤트를 제외하며 특정 AWS KMS 이벤트를 제외할 수는 없습니다.

주의

제외 AWS KMS 이벤트 CloudTrail 로그는 CMKs. 보안 주체에게 이 작업을 수행하는 데 필요한 cloudtrail:PutEventSelectors 권한을 부여할 때는 주의해야 합니다.

추적에서 AWS KMS 이벤트를 제외하려면

콘솔 설정 또는 추적용 이벤트 선택기를 변경하여 언제든지 이 제외를 비활성화할 수 있습니다. 그러면 추적이 AWS KMS 이벤트 기록을 시작합니다. 그러나 제외가 유효한 동안 발생한 AWS KMS 이벤트는 복구할 수 없습니다.

콘솔 또는 API를 사용하여 KMS 이벤트를 제외하면 결과 CloudTrail PutEventSelectors API 작업도 CloudTrail Logs에 기록됩니다. KMS 이벤트가 CloudTrail Logs에 나타나지 않으면 ExcludeManagementEventSources 속성이 kms.amazonaws.com으로 설정된 PutEventSelectors 이벤트를 찾습니다.

예시 AWS KMS 로그 항목

AWS KMS 에 항목을 씁니다. CloudTrail 전화할 때 로그 AWS KMS 작동 중일 때 AWS 서비스에서는 귀하를 대신하여 작업을 호출합니다. AWS KMS 또한 작업을 호출할 때 항목을 씁니다. 예를 들어, 삭제 CMK 을(를) 삭제하도록 예약했습니다.

다음 항목에는 다음 항목의 예가 표시됩니다. CloudTrail 로그 항목 AWS KMS 작업.