를 사용하여 통화 로깅 AWS KMS API AWS CloudTrail - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 통화 로깅 AWS KMS API AWS CloudTrail

AWS KMS 는 사용자AWS CloudTrail, 역할 및 기타 서비스의 모든 호출 AWS KMS 을 기록하는 AWS 서비스인 와 통합됩니다. 는 AWS KMS 콘솔, AWS KMS APIs AWS CloudFormation 템플릿, AWS Command Line Interface (AWS CLI) 및 의 API 호출을 포함하여 에 대한 모든 호출을 이벤트 AWS KMS 로 CloudTrail 캡처합니다 AWS Tools for PowerShell.

CloudTrail 는 ListAliases 및 와 같은 읽기 전용 작업GetKeyRotationStatus, 및 와 같은 KMS 키를 관리하는 작업CreateKeyPutKeyPolicy, GenerateDataKey호화와 같은 암호화 작업 을 AWS KMS 포함한 모든 작업을 기록합니다. 또한 , , 및 와 같이 에서 직접 AWS KMS 호출하는 내부 작업도 로깅DeleteExpiredKeyMaterialDeleteKeySynchronizeMultiRegionKey합니다RotateKey.

CloudTrail 는 발신자가 리소스에 대한 액세스가 거부되는 경우와 같이 실패한 모든 성공 작업과 일부 시나리오에서 시도된 호출을 기록합니다. KMS 키에 대한 교차 계정 작업은 호출자 계정과 KMS 키 소유자 계정 모두에 기록됩니다. 그러나 액세스가 거부되어 거부된 교차 계정 AWS KMS 요청은 발신자의 계정에만 기록됩니다.

보안상의 이유로 암호화 요청의 Plaintext 파라미터, GetKeyPolicy 또는 암호화 작업에 대한 응답과 같은 일부 필드는 AWS KMS 로그 항목에서 생략됩니다. 특정 KMS 키에 대한 CloudTrail 로그 항목을 더 쉽게 검색할 수 있도록 는 API 작업이 키를 ARN 반환하지 않더라도 일부 AWS KMS 키 관리 작업의 로그 항목 KMS responseElements 필드에 영향을 받는 키의 키를 AWS KMS 추가합니다ARN.

기본적으로 모든 AWS KMS 작업은 CloudTrail 이벤트로 기록되지만 CloudTrail 추적에서 작업을 제외 AWS KMS 할 수 있습니다. 세부 정보는 추적에서 AWS KMS 이벤트 제외을 참조하세요.

자세히 알아보기:

에서 AWS KMS 로그 항목 찾기 CloudTrail

CloudTrail 로그 항목을 검색하려면 CloudTrail 콘솔 또는 CloudTrail LookupEvents 작업을 사용합니다. 는 이벤트 이름, 사용자 이름 및 이벤트 소스를 포함하여 검색을 필터링하기 위한 다양한 속성 값을 CloudTrail 지원합니다.

에서 AWS KMS 로그 항목을 검색하는 데 도움이 되도록 는 다음 CloudTrail 로그 항목 필드를 CloudTrail AWS KMS 채웁니다.

참고

2022년 12월부터 는 특정 KMS 키를 변경하는 모든 관리 작업에서 리소스 유형리소스 이름 속성을 AWS KMS 채웁니다. CreateAlias, , , , , , , CreateGrant, DeleteAliasDeleteImportedKeyMaterialImportKeyMaterialReplicateKey, RetireGrantRevokeGrantUpdateAlias, , , 에 대한 이전 CloudTrail 항목에서 이러한 속성 값은 null일 수 있습니다UpdatePrimaryRegion.

속성 로그 항목
이벤트 소스(EventSource) kms.amazonaws.com 모든 작업
리소스 유형(ResourceType) AWS::KMS::Key CreateKey 및 와 같은 특정 KMS 키를 변경EnableKey하지만 는 변경하지 않는 관리 작업입니다ListKeys.
리소스 이름(ResourceName) 키ARN(또는 키 ID 및 키ARN) CreateKey 및 와 같은 특정 KMS 키를 변경EnableKey하지만 는 변경하지 않는 관리 작업입니다ListKeys.

특정 KMS 키에 대한 관리 작업ARN의 로그 항목을 찾는 데 도움이 되도록 는 AWS KMS 작업이 키 를 반환하지 않더라도 AWS KMS API 로그 항목 KMS responseElements.keyId 요소에 영향을 받는 키의 키를 기록합니다ARN.

예를 들어 DisableKey 작업에 대한 성공적인 호출은 응답의 값을 반환하지 않지만 null 값 대신 DisableKey 로그 항목의 responseElements.keyId 값에는 비활성화된 KMS 키ARN의 키가 포함됩니다.

이 기능은 2022년 12월에 추가되었으며 CreateAlias, CreateGrant, , , DeleteAlias, DeleteKeyDisableKey, EnableKeyEnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UpdateAlias, UntagResource및 CloudTrail 로그 항목에 영향을 미칩니다UpdatePrimaryRegion.

추적에서 AWS KMS 이벤트 제외

AWS KMS 리소스의 사용 및 관리에 대한 레코드를 제공하기 위해 대부분의 AWS KMS 사용자는 CloudTrail 추적의 이벤트에 의존합니다. 추적은 생성, 비활성화 및 삭제, 키 정책 AWS KMS keys변경, AWS 서비스에서 사용자를 대신하여 KMS 키를 사용하는 등 중요한 이벤트를 감사하는 데 유용한 데이터 소스가 될 수 있습니다. 경우에 따라 암호화 작업의 암호화 컨텍스트와 같은 CloudTrail 로그 항목의 메타데이터가 오류를 피하거나 해결하는 데 도움이 될 수 있습니다.

그러나 는 많은 수의 이벤트를 생성할 AWS KMS 수 있으므로 추적에서 AWS KMS 이벤트를 제외할 수 AWS CloudTrail 있습니다. 이 추적별 설정은 모든 AWS KMS 이벤트를 제외하며 특정 AWS KMS 이벤트를 제외할 수는 없습니다.

주의

CloudTrail 로그에서 AWS KMS 이벤트를 제외하면 KMS 키를 사용하는 작업이 가려질 수 있습니다. 보안 주체에게 이 작업을 수행하는 데 필요한 cloudtrail:PutEventSelectors 권한을 부여할 때는 주의해야 합니다.

추적에서 AWS KMS 이벤트를 제외하려면:

콘솔 설정 또는 추적용 이벤트 선택기를 변경하여 언제든지 이 제외를 비활성화할 수 있습니다. 그러면 추적이 AWS KMS 이벤트 기록을 시작합니다. 그러나 제외가 유효한 동안 발생한 AWS KMS 이벤트는 복구할 수 없습니다.

콘솔 또는 를 사용하여 AWS KMS 이벤트를 제외하면 API결과 CloudTrail PutEventSelectors API 작업도 CloudTrail 로그에 로깅됩니다. CloudTrail 로그에 이벤트가 표시되지 않는 경우 AWS KMS ExcludeManagementEventSources 속성이 로 설정된 PutEventSelectors 이벤트를 찾습니다kms.amazonaws.com.