AWS CloudTrail을 사용하여 AWS KMS API 직접 호출 로깅 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudTrail을 사용하여 AWS KMS API 직접 호출 로깅

AWS KMS는 사용자 AWS CloudTrail, 역할 및 기타 서비스의 모든 호출을 기록하는 AWS KMS AWS 서비스와 통합됩니다. CloudTrail AWS KMS콘솔, API, AWS CloudFormation 템플릿, AWS Command Line Interface (AWS CLI) 및 AWS Tools for PowerShell 에서의 호출을 포함하여 as에 대한 모든 API 호출을 AWS KMS 이벤트로 캡처합니다. AWS KMS

CloudTrail 읽기 전용 AWS KMS 작업 (예: ListAliases및) 과 GetKeyRotationStatus같은 KMS 키를 관리하는 작업과 암호 CreateKey해독과 PutKeyPolicy같은 암호화 작업을 비롯한 모든 작업을 기록합니다. GenerateDataKey 또한,,, 등 DeleteExpiredKeyMaterial사용자를 대신해 AWS KMS 호출하는 내부 작업도 기록합니다. DeleteKeySynchronizeMultiRegionKeyRotateKey

CloudTrail 호출자의 리소스 액세스가 거부된 경우와 같이 성공한 작업과 실패한 호출 시도를 기록합니다. KMS 키에 대한 크로스 계정 작업은 호출자 계정과 KMS 키 소유자 계정 모두에 기록됩니다. 하지만 액세스가 거부되어 교차 계정 AWS KMS 요청은 발신자 계정에만 기록됩니다.

보안상의 이유로 암호화 요청의 Plaintext 매개 변수, 응답 GetKeyPolicy또는 암호화 작업과 같은 일부 필드는 AWS KMS 로그 항목에서 생략됩니다. 특정 KMS 키의 CloudTrail 로그 항목을 더 쉽게 검색할 수 있도록 API 작업에서 키 ARN을 반환하지 않는 경우에도 AWS KMS 일부 키 관리 작업의 로그 항목 필드에 영향을 받는 KMS 키의 키 ARN을 AWS KMS 추가합니다. responseElements

기본적으로 모든 AWS KMS 작업은 CloudTrail 이벤트로 기록되지만 추적에서 AWS KMS 작업을 제외할 수 있습니다. CloudTrail 자세한 내용은 추적에서 AWS KMS 이벤트 제외 단원을 참조하세요.

자세히 알아보기:

이벤트 로깅 CloudTrail

CloudTrail 계정을 만들 AWS 계정 때 활성화됩니다. 에서 AWS KMS 활동이 발생하면 해당 활동이 CloudTrail 이벤트 기록의 다른 AWS 서비스 이벤트와 함께 이벤트에 기록됩니다. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 이벤트 기록으로 CloudTrail 이벤트 보기를 참조하십시오.

AWS KMS에 대한 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. 트레일을 사용하면 CloudTrail Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 영역의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 이에 따라 조치를 AWS 서비스 취하도록 기타를 구성할 수 있습니다. 자세한 내용은 다음을 참조하십시오.

에 대해 자세히 CloudTrail 알아보려면 AWS CloudTrail사용 설명서를 참조하십시오. KMS 키 사용을 모니터링하는 다른 방법에 대해 알아보려면 AWS KMS keys 모니터링 섹션을 참조하십시오.

모든 이벤트 및 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 보안 인증 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.

  • 요청이 루트 자격 증명 또는 IAM 사용자의 보안 인증 정보로 이루어졌는지.

  • 역할 또는 페더레이션 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지.

  • 요청이 다른 AWS 서비스를 통해 이루어졌는지.

자세한 내용은 CloudTrail userIdentity 요소를 참조하세요.

에서 이벤트 검색하기 CloudTrail

CloudTrail 로그 항목을 검색하려면 CloudTrail 콘솔 또는 CloudTrail LookupEvents작업을 사용하십시오. CloudTrail 이벤트 이름, 사용자 이름, 이벤트 소스 등 검색을 필터링하기 위한 다양한 속성 값을 지원합니다.

에서 AWS KMS CloudTrail 로그 항목을 쉽게 검색할 수 있도록 다음 CloudTrail 로그 입력 필드를 AWS KMS 채웁니다.

참고

2022년 12월부터 AWS KMS는 특정 KMS 키를 변경하는 모든 관리 작업에서 Resource type(리소스 유형) 및 Resource name(리소스 이름) 속성을 채웁니다. CreateAlias,,,,,, CreateGrantDeleteAliasDeleteImportedKeyMaterialImportKeyMaterialReplicateKeyRetireGrantRevokeGrantUpdateAlias, 및 작업에 대한 이전 CloudTrail 항목의 경우 이러한 속성 값이 null일 수 있습니다. UpdatePrimaryRegion

속성 로그 항목
이벤트 소스(EventSource) kms.amazonaws.com 모든 작업
리소스 유형(ResourceType) AWS::KMS::Key 특정 KMS 키(예: CreateKeyEnableKey)는 변경하지만 ListKeys는 변경하지 않는 관리 작업
리소스 이름(ResourceName) 키 ARN(또는 키 ID 및 키 ARN) 특정 KMS 키(예: CreateKeyEnableKey)는 변경하지만 ListKeys는 변경하지 않는 관리 작업

특정 KMS 키에 대한 관리 작업의 로그 항목을 찾는 데 도움이 되도록 AWS KMS는 AWS KMS API 작업이 키 ARN을 반환하지 않는 경우에도 영향을 받는 KMS 키의 키 ARN을 로그 항목의 responseElements.keyId 요소에 기록합니다.

예를 들어 DisableKey작업을 성공적으로 호출해도 응답에는 어떤 값도 반환되지 않지만 DisableKey 로그 항목의 값에는 null 값 대신 비활성화된 KMS 키의 키 ARN이 포함됩니다. responseElements.keyId

이 기능은 2022년 12월에 추가되었으며 CreateAlias,,,,,,,, CreateGrant, DeleteAlias, DeleteKey, DisableKeyEnableKeyEnableKeyRotationImportKeyMaterialRotateKeySynchronizeMultiRegionKeyTagResourceUntagResource, UpdateAlias및 등의 CloudTrail 로그 항목에 영향을 줍니다. UpdatePrimaryRegion

추적에서 AWS KMS 이벤트 제외

AWS KMS리소스 사용 및 관리 기록을 제공하기 위해 대부분의 AWS KMS 사용자는 CloudTrail 트레일의 이벤트를 활용합니다. 추적은 AWS KMS keys 생성, 비활성화 및 삭제, 키 정책 변경, 고객 대신 AWS 서비스에서 KMS 키 사용 등 중요한 이벤트를 감사하는 데 중요한 데이터 소스가 될 수 있습니다. 경우에 따라 암호화 작업의 암호화 컨텍스트와 같이 CloudTrail 로그 항목의 메타데이터가 오류를 방지하거나 해결하는 데 도움이 될 수 있습니다.

그러나 AWS KMS는 수많은 이벤트를 생성할 수 있으므로 AWS CloudTrail을 사용하여 추적에서 AWS KMS 이벤트를 제외할 수 있습니다. 이 추적별 설정은 모든 AWS KMS 이벤트를 제외하며 특정 AWS KMS 이벤트를 제외할 수는 없습니다.

주의

CloudTrail 로그에서 AWS KMS 이벤트를 제외하면 KMS 키를 사용하는 작업이 가려질 수 있습니다. 보안 주체에게 이 작업을 수행하는 데 필요한 cloudtrail:PutEventSelectors 권한을 부여할 때는 주의해야 합니다.

추적에서 AWS KMS 이벤트를 제외하려면

콘솔 설정 또는 추적용 이벤트 선택기를 변경하여 언제든지 이 제외를 비활성화할 수 있습니다. 그러면 추적이 AWS KMS 이벤트 기록을 시작합니다. 그러나 제외가 유효한 동안 발생한 AWS KMS 이벤트는 복구할 수 없습니다.

콘솔 또는 API를 사용하여 AWS KMS 이벤트를 제외하면 결과 CloudTrail PutEventSelectors API 작업도 로그에 기록됩니다. CloudTrail AWS KMS이벤트가 CloudTrail 로그에 표시되지 않는 경우 ExcludeManagementEventSources 속성이 로 설정된 PutEventSelectors 이벤트를 찾아보세요kms.amazonaws.com.