기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 모니터링 AWS KMS keys
모니터링은에서의 가용성, 상태 및 사용량을 이해하고 AWS 솔루션의 신뢰성, 가용성 및 성능을 AWS KMS keys AWS KMS 유지하는 데 중요한 부분입니다. AWS 솔루션의 모든 부분으로부터 모니터링 데이터를 수집하면 다중 지점 실패가 발생할 경우 디버깅하는 데 도움을 줍니다. 하지만 KMS 키 모니터링을 시작하기 전에 다음 질문에 대한 답변을 포함하는 모니터링 계획을 작성하십시오.
+ 모니터링의 목표
+ 모니터링할 리소스
+ 이러한 리소스를 모니터링하는 빈도
+ 사용할 [모니터링 도구](#monitoring-tools)
+ 모니터링 작업을 수행할 사람
+ 문제 발생 시 알려야 할 대상
다음 단계는 시간 경과에 따라 KMS 키를 모니터링하여 현재 환경에서 통상적인 AWS KMS 사용량과 기대치의 기준선을 설정하는 것입니다. KMS 키를 모니터링하면서 모니터링 데이터 기록을 저장합니다. 그러면 현재 데이터를 이 과거 데이터와 비교하여 일반적인 패턴과 이상을 식별하고 이를 해결할 방법을 모색할 수 있습니다.
예를 들어 KMS 키에 영향을 미치는 AWS KMS API 활동 및 이벤트를 모니터링할 수 있습니다. 데이터가 정해진 기준을 초과하거나 미달하는 경우, 조사를 실시하거나 시정 조치를 취해야 할 수 있습니다.
정상 패턴의 기준선을 설정하려면 다음 항목을 모니터링합니다.
+ AWS KMS *데이터 영역* 작업을 위한 API 활동입니다. 이는 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html), [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html), [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 등 KMS 키를 사용하는 [암호화 작업](kms-cryptography.md#cryptographic-operations)입니다.
+ AWS KMS 중요한 *컨트롤 플레*인 작업에 대한 API 활동입니다. 이러한 작업은 KMS 키를 관리합니다. 사용자는 KMS 키의 가용성을 변경하는 항목들(예: [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html), [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html), [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html), [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html))이나 KMS 키의 액세스 컨트롤을 변경하는 항목들(예: [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 및 [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html))을 모니터링하고 싶을 수 있습니다.
+ 기타 AWS KMS 지표(예: [가져온 키 구성](importing-keys.md) 요소가 만료될 때까지 남은 시간) 및 이벤트(예: 가져온 키 구성 요소의 만료 또는 KMS 키의 삭제 또는 키 교체).
## 모니터링 도구
AWS 는 KMS 키를 모니터링하는 데 사용할 수 있는 다양한 도구를 제공합니다. 이들 도구 중에는 모니터링을 자동으로 수행하도록 구성할 수 있는 도구도 있지만, 수동 작업이 필요한 도구도 있습니다. 모니터링 작업은 최대한 자동화하는 것이 좋습니다.
### 자동 모니터링 도구
다음과 같은 자동 모니터링 도구를 사용하여 KMS 키를 관찰하고 변경 사항 발생 시 보고할 수 있습니다.
+ **AWS CloudTrail 로그 모니터링** - 계정 간에 로그 파일을 공유하고, CloudTrail CloudWatch 로그 파일을 실시간으로 모니터링하고, [CloudTrail Processing Library](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html)를 사용하여 로그 처리 애플리케이션을 작성하고, CloudTrail에서 전송한 후 로그 파일이 변경되지 않았는지 확인합니다. 자세한 내용은AWS CloudTrail 사용 설명서**의 [CloudTrail 로그 파일 작업](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html)을 참조하세요.
+ **Amazon CloudWatch 경보** – 지정한 기간 동안 단일 지표를 감시하고, 여러 기간에 대해 지정된 임곗값과 관련하여 지표 값을 기준으로 하나 이상의 작업을 수행합니다. 이 작업은 Amazon Simple Notification Service(Amazon SNS) 주제 또는 Amazon EC2 Auto Scaling 정책에 전송되는 알림입니다. CloudWatch 경보는 특정 상태에 있다는 이유만으로는 작업을 호출하지 않습니다. 상태가 변경되고 지정한 기간 동안 유지되어야 합니다. 자세한 내용은 [Amazon CloudWatch를 사용하여 KMS 키 모니터링](monitoring-cloudwatch.md) 단원을 참조하십시오.
+ **Amazon EventBridge** – 이벤트를 일치시키고 하나 이상의 대상 함수 또는 스트림으로 라우팅하여 상태 정보를 캡처하거나 필요한 경우 변경 또는 수정 작업을 수행합니다. 자세한 내용은 [Amazon EventBridge를 사용하여 KMS 키 모니터링](kms-events.md) 및 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/)를 참조하세요.
+ **Amazon CloudWatch Logs** - AWS CloudTrail 또는 기타 소스에서 로그 파일을 모니터링, 저장 및 액세스합니다. 자세한 내용은 [Amazon CloudWatch Logs 사용자 안내서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)를 참조하세요.
### 수동 모니터링 도구
KMS 키 모니터링의 또 한 가지 중요한 부분은 CloudWatch 경보 및 이벤트에 포함되지 않는 항목을 수동으로 모니터링해야 한다는 점입니다. AWS Trusted Advisor, AWS KMS CloudWatch 및 기타 AWS 대시보드는 환경 상태를 at-a-glance 볼 수 있습니다 AWS .
[AWS KMS 콘솔](https://console.aws.amazon.com/kms)의 **AWS 관리형 키** 및 **고객 관리형 키** 페이지를 [사용자 지정](viewing-console-customize.md#console-customize-tables)하여 각 KMS 키에 대한 다음 정보를 표시할 수 있습니다.
+ 키 ID
+ Status
+ Creation(생성) 날짜
+ 만료 날짜([가져온 키 구성 요소](importing-keys.md)가 있는 KMS 키의 경우)
+ 출처(Origin)
+ 사용자 지정 키 스토어 ID([사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)에 있는 KMS 키의 경우)
[CloudWatch 콘솔 대시보드](https://console.aws.amazon.com/cloudwatch/home)는 다음 정보를 보여줍니다.
+ 현재 경보 및 상태
+ 경보 및 리소스 그래프
+ 서비스 상태
또한 CloudWatch를 사용하여 다음을 수행할 수 있습니다.
+ [맞춤 대시보드](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html)를 생성하여 관심 있는 서비스 모니터링
+ 지표 데이터를 그래프로 작성하여 문제를 해결하고 추세 파악
+ 모든 AWS 리소스 지표 검색 및 찾아보기
+ 문제에 대해 알려주는 경보 생성 및 편집
AWS Trusted Advisor 를 사용하면 AWS 리소스를 모니터링하여 성능, 신뢰성, 보안 및 비용 효율성을 개선할 수 있습니다. 모든 사용자는 네 가지 Trusted Advisor 검사를 사용할 수 있습니다. Business 또는 Enterprise 지원 플랜을 보유한 사용자는 50개 이상의 검사를 사용할 수 있습니다. 자세한 내용은 [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 단원을 참조하십시오.
# 를 사용하여 AWS KMS API 호출 로깅 AWS CloudTrail
AWS KMS 는 사용자[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/), 역할 및 기타 서비스 AWS KMS 별로에 대한 모든 호출을 기록하는 AWS 서비스인와 통합됩니다. CloudTrail은 AWS KMS 콘솔, API, CloudFormation 템플릿, AWS Command Line Interface (AWS CLI) 및의 호출을 포함하여에 대한 모든 AWS KMS APIs 호출을 이벤트 AWS KMS 로 캡처합니다 AWS Tools for PowerShell.
CloudTrail은 [ListAliases](ct-listaliases.md) 및 [GetKeyRotationStatus](ct-getkeyrotationstatus.md)와 같은 읽기 전용 작업, [CreateKey](ct-createkey.md) 및 [PutKeyPolicy](ct-put-key-policy.md)와 같은 KMS 키를 관리하는 작업, [GenerateDataKey](ct-generatedatakey.md) 및 [Decrypt](ct-decrypt.md)와 같은 암호화 작업을 AWS KMS 포함한 모든 작업을 로깅합니다. [암호화 작업](kms-cryptography.md#cryptographic-operations) 또한 [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md), DeleteKey, [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) [DeleteKey](ct-delete-key.md) 및 [RotateKey](ct-rotatekey.md)와 같이가 자동으로 AWS KMS 호출하는 내부 작업을 로깅합니다.
CloudTrail은 모든 성공적인 작업을 로그로 기록하며, 호출자가 리소스 액세스가 거부되는 경우와 같이 실패한 직접 호출 시도도 일부 시나리오에서 기록합니다. [KMS 키에 대한 크로스 계정 작업](key-policy-modifying-external-accounts.md)은 호출자 계정과 KMS 키 소유자 계정 모두에 기록됩니다. 그러나 액세스가 거부되어 거부된 교차 계정 AWS KMS 요청은 호출자의 계정에만 로깅됩니다.
보안상의 이유로 [암호화](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 요청의 `Plaintext` 파라미터, [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)에 대한 응답 또는 암호화 작업과 같은 일부 필드는 AWS KMS 로그 항목에서 생략됩니다. 특정 KMS 키에 대한 CloudTrail 로그 항목을 더 쉽게 검색할 수 있도록는 API 작업이 [키 ARN](concepts.md#key-id-key-ARN)을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN을 일부 AWS KMS 키 관리 작업에 대한 로그 항목의 `responseElements` 필드에 AWS KMS 추가합니다.
기본적으로 모든 AWS KMS 작업은 CloudTrail 이벤트로 로깅되지만 CloudTrail 추적에서 작업을 제외 AWS KMS 할 수 있습니다. 자세한 내용은 [추적에서 AWS KMS 이벤트 제외](#filtering-kms-events)을 참조하세요.
**자세히 알아보기:**
+ 증명된 플랫폼에 대한 AWS KMS 작업의 CloudTrail 로그 예제는 섹션을 참조하세요[증명된 요청 모니터링](ct-attestation.md).
**Topics**
+ [CloudTrail에서 AWS KMS 로그 항목 찾기](#searching-kms-ct)
+ [추적에서 AWS KMS 이벤트 제외](#filtering-kms-events)
+ [AWS KMS 로그 항목의 예](understanding-kms-entries.md)
## CloudTrail에서 AWS KMS 로그 항목 찾기
CloudTrail 로그 항목을 검색하려면 [CloudTrail 콘솔](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) 또는 [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) 작업을 사용합니다. CloudTrail은 이벤트 이름, 사용자 이름, 이벤트 소스 등 검색 필터링을 위한 다양한 [속성 값](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events)을 지원합니다.
CloudTrail에서 AWS KMS 로그 항목을 검색하는 데 도움이 되도록는 다음 CloudTrail 로그 항목 필드를 AWS KMS 채웁니다.
**참고**
2022년 12월부터는 특정 KMS 키를 변경하는 모든 관리 작업에서 **리소스 유형** 및 **리소스 이름** 속성을 AWS KMS 채웁니다. 이러한 속성 값은 [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html), [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html), [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) 및 [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) 작업에 대한 이전 CloudTrail 항목에서 null일 수 있습니다.
| 속성 | 값 | 로그 항목 |
| --- | --- | --- |
| 이벤트 소스(EventSource) | kms.amazonaws.com | 모든 작업 |
| 리소스 유형(ResourceType) | AWS::KMS::Key | 특정 KMS 키(예: CreateKey 및 EnableKey)는 변경하지만 ListKeys는 변경하지 않는 관리 작업 |
| 리소스 이름(ResourceName) | 키 ARN(또는 키 ID 및 키 ARN) | 특정 KMS 키(예: CreateKey 및 EnableKey)는 변경하지만 ListKeys는 변경하지 않는 관리 작업 |
특정 KMS 키에 대한 관리 작업의 로그 항목을 찾는 데 도움이 되도록 AWS KMS 는 AWS KMS API 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN을 로그 항목의 `responseElements.keyId` 요소에 기록합니다.
예를 들어 [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) 작업을 성공적으로 호출해도 응답에 값이 반환되지 않지만 [DisableKey 로그 항목](ct-disablekey.md)의 `responseElements.keyId` 값에는 null 값 대신 비활성화된 KMS 키의 키 ARN이 포함됩니다.
이 기능은 2022년 12월에 추가되었으며 CloudTrail 로그 항목 [CreateAlias](ct-createalias.md), [CreateGrant](ct-creategrant.md), [DeleteAlias](ct-deletealias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource](ct-untagresource.md), [UpdateAlias](ct-updatealias.md) 및 [UpdatePrimaryRegion](ct-update-primary-region.md)에 영향을 줍니다.
## 추적에서 AWS KMS 이벤트 제외
AWS KMS 리소스의 사용 및 관리에 대한 기록을 제공하기 위해 대부분의 AWS KMS 사용자는 CloudTrail 추적의 이벤트에 의존합니다. 추적은 생성, 비활성화 및 삭제, 키 정책 AWS KMS keys변경, AWS 서비스에서 사용자를 대신하여 KMS 키 사용 등 중요한 이벤트를 감사하는 데 유용한 데이터 소스가 될 수 있습니다. 경우에 따라 CloudTrail 로그 항목의 메타데이터(예: 암호화 작업의 [암호화 컨텍스트](encrypt_context.md))는 오류를 방지하거나 해결하는 데 도움이 될 수 있습니다.
그러나는 많은 수의 이벤트를 생성할 AWS KMS 수 있으므로 추적에서 AWS KMS 이벤트를 제외할 수 AWS CloudTrail 있습니다. 이 추적별 설정은 모든 AWS KMS 이벤트를 제외하며 특정 AWS KMS 이벤트를 제외할 수는 없습니다.
**주의**
CloudTrail 로그에서 AWS KMS 이벤트를 제외하면 KMS 키를 사용하는 작업이 가려질 수 있습니다. 보안 주체에게 이 작업을 수행하는 데 필요한 `cloudtrail:PutEventSelectors` 권한을 부여할 때는 주의해야 합니다.
추적에서 AWS KMS 이벤트를 제외하려면:
+ CloudTrail 콘솔에서 [추적 생성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) 또는 [추적 업데이트](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)를 수행할 때 **키 관리 서비스 이벤트 로그** 설정을 사용합니다. 지침은 AWS CloudTrail 사용 설명서의 [를 사용하여 관리 이벤트 로깅 AWS Management Console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html)을 참조하세요.
+ CloudTrail API에서 [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html) 작업을 사용합니다. `ExcludeManagementEventSources`의 값을 사용하여 이벤트 선택기에 `kms.amazonaws.com` 속성을 추가합니다. 예제는 AWS CloudTrail 사용 설명서의 [예제: AWS Key Management Service 이벤트를 로깅하지 않는 추적](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms)을 참조하세요.
콘솔 설정 또는 추적용 이벤트 선택기를 변경하여 언제든지 이 제외를 비활성화할 수 있습니다. 그러면 추적이 AWS KMS 이벤트 기록을 시작합니다. 그러나 제외가 유효한 동안 발생한 AWS KMS 이벤트는 복구할 수 없습니다.
콘솔 또는 API를 사용하여 AWS KMS 이벤트를 제외하면 결과 CloudTrail `PutEventSelectors` API 작업도 CloudTrail Logs에 로깅됩니다. AWS KMS 이벤트가 CloudTrail Logs에 나타나지 않으면 `ExcludeManagementEventSources`속성이 `kms.amazonaws.com`으로 설정된 `PutEventSelectors` 이벤트를 찾습니다.
# AWS KMS 로그 항목의 예
AWS KMS 는 사용자가 AWS KMS 작업을 호출할 때와 서비스가 사용자를 대신하여 작업을 호출할 때 AWS CloudTrail 로그에 항목을 기록합니다. AWS KMS 또한는 사용자를 대신하여 작업을 호출할 때 항목을 작성합니다. 예를 들어, 삭제하도록 예약한 [KMS 키를 삭제](ct-delete-key.md)할 때 항목을 씁니다.
다음 주제에서는 AWS KMS 작업에 대한 CloudTrail 로그 항목의 예를 보여줍니다.
증명된 플랫폼에서 AWS KMS 에 대한 요청의 CloudTrail 로그 항목의 예는 섹션을 참조하세요[증명된 요청 모니터링](ct-attestation.md).
**Topics**
+ [CancelKeyDeletion](ct-cancel-key-deletion.md)
+ [ConnectCustomKeyStore](ct-connect-keystore.md)
+ [CreateAlias](ct-createalias.md)
+ [CreateCustomKeyStore](ct-create-keystore.md)
+ [CreateGrant](ct-creategrant.md)
+ [CreateKey](ct-createkey.md)
+ [Decrypt](ct-decrypt.md)
+ [DeleteAlias](ct-deletealias.md)
+ [DeleteCustomKeyStore](ct-delete-keystore.md)
+ [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)
+ [DeleteImportedKeyMaterial](ct-deleteimportedkeymaterial.md)
+ [DeleteKey](ct-delete-key.md)
+ [DescribeCustomKeyStores](ct-describe-keystores.md)
+ [DescribeKey](ct-describekey.md)
+ [DisableKey](ct-disablekey.md)
+ [DisableKeyRotation](ct-disable-key-rotation.md)
+ [DisconnectCustomKeyStore](ct-disconnect-keystore.md)
+ [EnableKey](ct-enablekey.md)
+ [EnableKeyRotation](ct-enablekeyrotation.md)
+ [암호화](ct-encrypt.md)
+ [GenerateDataKey](ct-generatedatakey.md)
+ [GenerateDataKeyPair](ct-generatedatakeypair.md)
+ [GenerateDataKeyPairWithoutPlaintext](ct-generatedatakeypairwithoutplaintext.md)
+ [GenerateDataKeyWithoutPlaintext](ct-generatedatakeyplaintext.md)
+ [GenerateMac](ct-generatemac.md)
+ [GenerateRandom](ct-generaterandom.md)
+ [GetKeyPolicy](ct-getkeypolicy.md)
+ [GetKeyRotationStatus](ct-getkeyrotationstatus.md)
+ [GetParametersForImport](ct-getparametersforimport.md)
+ [ImportKeyMaterial](ct-importkeymaterial.md)
+ [ListAliases](ct-listaliases.md)
+ [ListGrants](ct-listgrants.md)
+ [ListKeyRotations](ct-listkeyrotations.md)
+ [PutKeyPolicy](ct-put-key-policy.md)
+ [ReEncrypt](ct-reencrypt.md)
+ [ReplicateKey](ct-replicate-key.md)
+ [RetireGrant](ct-retire-grant.md)
+ [RevokeGrant](ct-revoke-grant.md)
+ [RotateKey](ct-rotatekey.md)
+ [RotateKeyOnDemand](ct-rotatekeyondemand.md)
+ [ScheduleKeyDeletion](ct-schedule-key-deletion.md)
+ [Sign](ct-sign.md)
+ [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)
+ [TagResource](ct-tagresource.md)
+ [UntagResource](ct-untagresource.md)
+ [UpdateAlias](ct-updatealias.md)
+ [UpdateCustomKeyStore](ct-update-keystore.md)
+ [UpdateKeyDescription](ct-update-key-description.md)
+ [UpdatePrimaryRegion](ct-update-primary-region.md)
+ [VerifyMac](ct-verifymac.md)
+ [확인](ct-verify.md)
+ [Amazon EC2 예제 1](ct-ec2one.md)
+ [Amazon EC2 예제 2](ct-ec2two.md)
# CancelKeyDeletion
다음 예제는 [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 삭제에 대한 자세한 내용은 섹션을 AWS KMS keys참조하세요[삭제 AWS KMS key](deleting-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T21:53:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CancelKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "e3452e68-d4b0-4ec7-a768-7ae96c23764f",
"eventID": "d818bf03-6655-48e9-8b26-f279a07075fd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ConnectCustomKeyStore
다음 예제는 [https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 사용자 지정 키 스토어 연결에 대한 자세한 내용은 [AWS CloudHSM 키 스토어 연결 해제](connect-keystore.md) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ConnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateAlias
다음 예제에서는 [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. `resources` 요소에는 별칭 및 KMS 키 리소스에 대한 필드가 포함됩니다. 에서 별칭을 생성하는 방법에 대한 자세한 내용은 섹션을 AWS KMS참조하세요[별칭 생성](alias-create.md).
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-14T23:08:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/ExampleAlias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "caec1e0c-ce03-419e-bdab-6ab1f7c57c01",
"eventID": "2dd6e784-8286-46a6-befd-d64e5a02fb28",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# CreateCustomKeyStore
다음 예제는 AWS CloudHSM 키 스토어에서 [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 사용자 지정 키 스토어 생성에 대한 자세한 내용은 [AWS CloudHSM 키 스토어 생성](create-keystore.md) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateGrant
다음 예제에서는 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 에서 권한 부여를 생성하는 방법에 대한 자세한 내용은 섹션을 AWS KMS참조하세요[의 권한 부여 AWS KMS](grants.md).
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:53:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"constraints": {
"encryptionContextSubset": {
"ContextKey1": "Value1"
}
},
"operations": ["Encrypt",
"RetireGrant"],
"granteePrincipal": "EX_PRINCIPAL_ID"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# CreateKey
이 예제에서는 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
`CreateKey` 로그 항목은 `CreateKey` 요청이나 [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 요청에 대한 `CreateKey` 작업의 결과일 수 있습니다.
다음 예제는 [대칭 암호화 KMS 키](symm-asymm-choose-key-spec.md#symmetric-cmks)를 생성하는 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업에 대한 CloudTrail 로그 항목을 보여줍니다. KMS 키 생성에 대한 자세한 내용은 [KMS 키 생성](create-keys.md) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-10T22:38:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"description": "",
"origin": "EXTERNAL",
"bypassPolicyLockoutSafetyCheck": false,
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"keyUsage": "ENCRYPT_DECRYPT"
},
"responseElements": {
"keyMetadata": {
"AWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Aug 10, 2022, 10:38:27 PM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "PendingImport",
"origin": "EXTERNAL",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"requestID": "1aef6713-0223-4ff7-9a6d-781360521930",
"eventID": "36327b37-f4f6-40a9-92ab-48064ec905a2",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
다음 예제는 [AWS CloudHSM 키 스토어](keystore-cloudhsm.md)에서 대칭 암호화 KMS 키를 생성하는 `CreateKey` 작업의 CloudTrail 로그를 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-14T17:39:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyUsage": "ENCRYPT_DECRYPT",
"bypassPolicyLockoutSafetyCheck": false,
"origin": "AWS_CLOUDHSM",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"customKeyStoreId": "cks-1234567890abcdef0",
"description": ""
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"creationDate": "Oct 14, 2021, 5:39:50 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "AWS_CLOUDHSM",
"customKeyStoreId": "cks-1234567890abcdef0",
"cloudHsmClusterId": "cluster-1a23b4cdefg",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"additionalEventData": {
"backingKey": "{\"backingKeyId\":\"backing-key-id\"}"
},
"requestID": "4f0b185c-588c-4767-9e90-c618f7e13cad",
"eventID": "c73964b8-703d-49e4-bd9e-f773d0ee1e65",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
다음 예제는 [외부 키 스토어](keystore-external.md)에서 대칭 KMS 키를 생성하는 `CreateKey` 작업의 CloudTrail 로그를 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-07T22:37:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"tags": [],
"keyUsage": "ENCRYPT_DECRYPT",
"description": "",
"origin": "EXTERNAL_KEY_STORE",
"multiRegion": false,
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"bypassPolicyLockoutSafetyCheck": false,
"customKeyStoreId": "cks-1234567890abcdef0",
"xksKeyId": "bb8562717f809024"
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Dec 7, 2022, 10:37:45 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "EXTERNAL_KEY_STORE",
"customKeyStoreId": "cks-1234567890abcdef0",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false,
"xksKeyConfiguration": {
"id": "bb8562717f809024"
}
}
},
"requestID": "ba197c82-3ac7-487a-8ff4-7736bbeb1316",
"eventID": "838ad5f4-5fdd-4044-afd7-4dbd88c6af56",
"readOnly": false,
"resources": [
{
"accountId": "227179770375",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:227179770375:key/39c5eb22-f37c-4956-92ca-89e8f8b57ab2"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Decrypt
이 예제에서는 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
`Decrypt` 작업에 대한 CloudTrail 로그 항목에는 요청에 암호화 알고리즘이 지정되지 않은 경우라도 항상 `requestParameters`에 `encryptionAlgorithm`이 포함되어 있습니다. 요청의 암호문과 응답의 일반 텍스트는 생략됩니다.
**Topics**
+ [표준 대칭 암호화 키로 복호화](#ct-decrypt-default)
+ [표준 대칭 암호화 키로 복호화 실패](#ct-decrypt-fail)
+ [키 스토어의 KMS AWS CloudHSM 키로 복호화](#ct-decrypt-hsm)
+ [외부 키 스토어에서 KMS 키로 복호화](#ct-decrypt-xks)
+ [외부 키 스토어에서 KMS 키로 복호화 실패](#ct-decrypt-xks-fail)
+ [포스트 양자 TLS 연결을 통해 표준 대칭 암호화 키로 복호화](#ct-decrypt-default-pqtls)
## 표준 대칭 암호화 키로 복호화
다음은 표준 대칭 암호화 키를 사용한 `Decrypt` 작업에 대한 예제 CloudTrail 로그 항목입니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## 표준 대칭 암호화 키로 복호화 실패
다음 예제 CloudTrail 로그 항목은 표준 대칭 암호화 KMS 키를 사용하여 실패한 `Decrypt` 작업을 기록합니다. 예외(`errorCode`)와 오류 메시지(`errorMessage`)가 포함되어 있어 오류를 해결하는 데 도움이 됩니다.
이 경우 `Decrypt` 요청에 지정된 대칭 KMS 키는 데이터를 암호화하는 데 사용된 대칭 KMS 키가 아닙니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## 키 스토어의 KMS AWS CloudHSM 키로 복호화
다음 예제 CloudTrail 로그 항목은 [AWS CloudHSM 키 스토어](keystore-cloudhsm.md)에서 KMS 키를 사용한 `Decrypt` 작업을 기록합니다. 사용자 지정 키 저장소의 KMS 키를 사용하는 암호화 작업에 대한 모든 로그 항목에는 `customKeyStoreId` 및 `backingKeyId`가 있는 `additionalEventData` 필드가 포함됩니다. `backingKeyId` 필드에 반환되는 값은 CloudHSM 키 `id` 속성입니다. `additionalEventData`가 요청에 지정되지 않았습니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 외부 키 스토어에서 KMS 키로 복호화
다음 예제 CloudTrail 로그 항목은 [외부 키 스토어](keystore-external.md)에서 대칭 KMS 키를 사용한 `Decrypt` 작업을 기록합니다. `additionalEventData` 필드에는 `customKeyStoreId` 외에도 [외부 키 ID](keystore-external.md#concept-external-key)(`XksKeyId`)가 포함됩니다. `additionalEventData`가 요청에 지정되지 않았습니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 외부 키 스토어에서 KMS 키로 복호화 실패
다음 예제 CloudTrail 로그 항목은 [외부 키 스토어](keystore-external.md)에서 KMS 키를 사용한 `Decrypt` 작업에 대한 실패한 요청을 기록합니다. CloudWatch는 성공한 요청 외에도 실패한 요청을 기록합니다. 실패를 기록할 때 CloudTrail 로그 항목에는 예외(errorCode)와 함께 제공되는 오류 메시지(errorMessage)가 포함됩니다.
이 예제와 같이 실패한 요청이 외부 키 스토어 프록시에 도달한 경우 `requestId` 값을 사용하여 실패한 요청을 외부 키 스토어 프록시가 기록하는 해당 요청과 연결할 수 있습니다(프록시가 제공하는 경우).
외부 키 스토어의 `Decrypt` 요청에 대한 도움말은 [복호화 오류](xks-troubleshooting.md#fix-xks-decrypt) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 포스트 양자 TLS 연결을 통해 표준 대칭 암호화 키로 복호화
다음은 포스트 양자 TLS 연결을 통해 표준 대칭 암호화 키를 사용하는 `Decrypt` 작업에 대한 CloudTrail 로그 항목의 예입니다. `tlsDetails` 섹션의 keyExchange 필드에는가 언급되어 있습니다`X25519MLKEM768`. 이 하이브리드 알고리즘은 오늘날 TLS에 사용되는 클래식 키 교환 알고리즘인 [Curve 25519](https://en.wikipedia.org/wiki/Curve25519)를 통한 [타원 곡선 디피-헬만](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman)(ECDH)과 미국 국립 표준 기술 연구소(NIST)[가 첫 번째 표준 포스트 양자 키-합의 알고리즘으로 지정한](https://csrc.nist.gov/pubs/fips/203/final) ML-KEM퍼블릭 키 암호화 및 키 설정 알고리즘인 [Module-Lattice-Based 키 캡슐화 메커니즘](https://csrc.nist.gov/pubs/fips/203/final)()을 결합하는 *하이브리드* 알고리즘입니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```
# DeleteAlias
다음 예제에서는 [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 별칭을 삭제하는 방법에 대한 자세한 내용은 [별칭 삭제](alias-delete.md) 단원을 참조하십시오.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-04T00:52:27Z"
}
}
},
"eventTime": "2014-11-04T00:52:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteAlias",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9542792-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "12f48554-bb04-4991-9cfc-e7e85f68eda0",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-east-1:111122223333:alias/my_alias",
"accountId": "111122223333"
},
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DeleteCustomKeyStore
다음 예제는 [https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 사용자 지정 키 스토어 생성에 대한 자세한 내용은 [AWS CloudHSM 키 스토어 삭제](delete-keystore.md) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DeleteExpiredKeyMaterial
키 구성 요소를 AWS KMS key (KMS 키)로 가져올 때 해당 키 구성 요소의 만료 날짜 및 시간을 설정할 수 있습니다.는 키 구성 요소를 [가져올 때(만료 설정 사용)와가 만료된 키 구성 요소를](ct-importkeymaterial.md) AWS KMS 삭제할 때 CloudTrail 로그에 항목을 AWS KMS 기록합니다. 가져온 키 구성 요소가 있는 KMS 키를 생성하는 방법은 [키의 AWS KMS 키 구성 요소 가져오기](importing-keys.md) 단원을 참조하세요.
다음 예제는가 만료된 키 구성 요소를 AWS KMS 삭제할 때 생성된 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-22T19:55:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteExpiredKeyMaterial",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "cfa932fd-0d3a-4a76-a8b8-616863a2b547",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"eventCategory": "Management"
}
```
# DeleteImportedKeyMaterial
키 구성 요소를 KMS 키로 가져오는 경우 [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) 작업을 사용하여 언제든지 가져온 키 구성 요소를 삭제할 수 있습니다. KMS 키에서 가져온 키 구성 요소를 삭제하면 KMS 키의 키 상태가 `PendingImport`로 변경되고 KMS 키를 암호화 작업에 사용할 수 없습니다. 자세한 내용은 [가져온 키 구성 요소 삭제](importing-keys-delete-key-material.md)을 참조하세요.
다음 예제에서는 `DeleteImportedKeyMaterial` 작업에 대해 생성된 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteImportedKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "dcf0e82f-dad0-4622-a378-a5b964ad42c1",
"eventID": "2afbb991-c668-4641-8a00-67d62e1fecbd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# DeleteKey
이 예제는 KMS 키가 삭제될 때 생성되는 AWS CloudTrail 로그 항목을 보여줍니다. KMS 키를 삭제하려면 [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) 작업을 사용합니다. 지정된 대기 기간이 만료되면 AWS KMS 는 KMS 키를 삭제하고 CloudTrail 로그에 다음과 같은 항목을 기록하여 해당 이벤트를 기록합니다.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
`ScheduleKeyDeletion` 작업에 대한 CloudTrail 로그 항목의 예는 [ScheduleKeyDeletion](ct-schedule-key-deletion.md) 단원을 참조하십시오. KMS 키 삭제에 대한 자세한 내용은 [삭제 AWS KMS key](deleting-keys.md) 단원을 참조하십시오.
다음 예제 CloudTrail 로그 항목은 AWS KMS의 키 구성 요소가 있는 대칭 KMS 키의 `DeleteKey` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-07-31T00:07:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "b25f9cda-74e1-4458-847b-4972a0bf9668",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
다음 CloudTrail 로그 항목은 AWS CloudHSM [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)에서 KMS 키의 `DeleteKey` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"SUCCESS\"}]"
},
"eventID": "1234585c-4b0c-4340-ab11-662414b79239",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
# DescribeCustomKeyStores
다음 예제는 [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 사용자 지정 키 스토어 보기에 대한 자세한 내용은 [AWS CloudHSM 키 스토어 보기](view-keystore.md) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeCustomKeyStores",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "2ea1735f-628d-43e3-b2ee-486d02913a78",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DescribeKey
다음 예제는 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.는 `DescribeKey` 작업을 호출하거나 AWS KMS 콘솔에서 [KMS 키를 볼](viewing-keys.md) 때 다음과 같은 항목을 AWS KMS 기록합니다. 이 호출은 AWS KMS 관리 콘솔에서 키를 확인한 결과입니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-26T18:01:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKey
다음 예제에서는 [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 활성화 및 비활성화 AWS KMS keys 에 대한 자세한 내용은 섹션을 AWS KMS참조하세요[KMS 키 활성화 및 비활성화](enabling-keys.md).
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKeyRotation
다음 예제에서는 [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 자동 키 교체에 대한 자세한 내용은 [회전 AWS KMS keys](rotate-keys.md) 단원을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:31:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "d6a9351a-ed6e-4581-88d1-2a9a8a538497",
"eventID": "6313164c-83aa-4cc3-9e1a-b7c426f7a5b1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# DisconnectCustomKeyStore
다음 예제는 [https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 사용자 지정 키 스토어 연결 해제에 대한 자세한 내용은 [AWS CloudHSM 키 스토어 연결 해제](disconnect-keystore.md) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisconnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# EnableKey
다음 예제에서는 [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 활성화 및 비활성화 AWS KMS keys 에 대한 자세한 내용은 단원을 AWS KMS참조하십시오[KMS 키 활성화 및 비활성화](enabling-keys.md).
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:20Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d528a6fb-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "be393928-3629-4370-9634-567f9274d52e",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# EnableKeyRotation
다음 예제에서는 [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) 작업에 대한 호출의 AWS CloudTrail 로그 항목을 보여줍니다. 키가 교체될 때 기록되는 CloudTrail 로그 항목의 예는 [RotateKey](ct-rotatekey.md) 단원을 참조하십시오. AWS KMS keys교체에 대한 정보는 [회전 AWS KMS keys](rotate-keys.md) 단원을 참조하십시오.
**참고**
[rotation-period](rotate-keys.md#rotation-period)는 선택적 요청 파라미터입니다. 자동 키 교체를 활성화할 때 교체 기간을 지정하지 않으면 기본값은 365일입니다.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:41:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"rotationPeriodInDays": 180
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "81f5b794-452b-4d6a-932b-68c188165273",
"eventID": "fefc43a7-8e06-419f-bcab-b3bf18d6a401",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# 암호화
다음 예제에서는 [암호화](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"Department": "Engineering"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "f3423043-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "91235988-eb87-476a-ac2c-0cdc244e6dca",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKey
다음 예제에서는 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKeyPair
다음 예제에서는 [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 이 예에서는 대칭 암호화 AWS KMS key으로 암호화된 RSA 키 페어를 생성하는 작업을 기록합니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyPairWithoutPlaintext
다음 예제에서는 [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 이 예에서는 대칭 암호화 AWS KMS key으로 암호화된 RSA 키 페어를 생성하는 작업을 기록합니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPairWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_4096",
"encryptionContext": {
"Index": "5"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyWithoutPlaintext
다음 예제에서는 [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "d6b8e411-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f7734272-9ec5-4c80-9f36-528ebbe35e4a",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateMac
다음 예제에서는 [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-12-23T19:26:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_512",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# GenerateRandom
다음 예제에서는 [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 이 작업은를 사용하지 않으므로 AWS KMS key`resources` 필드가 비어 있습니다.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyPolicy
다음 예제에서는 [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. KMS 키의 키 정책을 보는 방법은 [키 정책 보기](key-policy-viewing.md) 단원을 참조하십시오.
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:50:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default"
},
"responseElements": null,
"requestID": "93746dd6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "4aa7e4d5-d047-452a-a5a6-2cce282a7e82",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyRotationStatus
다음 예제에서는 [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. KMS 키의 키 구성 요소 자동 교체 및 온디맨드 교체에 대한 자세한 내용은 [회전 AWS KMS keys](rotate-keys.md) 단원을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T19:16:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyRotationStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12f9b7e8-49b9-4c1c-a7e3-34ac0cdf0467",
"eventID": "3d082126-9e7d-4167-8372-a6cfcbed4be6",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GetParametersForImport
다음 예제에서는 [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) 작업을 사용할 때 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 이 작업은 KMS 키로 키 자료를 가져올 때 사용하는 퍼블릭 키와 가져오기 토큰을 반환합니다. `GetParametersForImport` 작업을 사용하거나 AWS KMS 콘솔을 사용하여 [퍼블릭 키와 가져오기 토큰을 다운로드할](importing-keys-get-public-key-and-token.md) 때 동일한 CloudTrail 항목이 기록됩니다.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:58:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetParametersForImport",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"wrappingAlgorithm": "RSAES_OAEP_SHA_256",
"wrappingKeySpec": "RSA_2048"
},
"responseElements": null,
"requestID": "b5786406-e3c7-43d6-8d3c-6d5ef96e2278",
"eventID": "4023e622-0c3e-4324-bdef-7f58193bba87",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ImportKeyMaterial
다음 예제에서는 [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) 작업을 사용할 때 생성된 AWS CloudTrail 로그 항목을 보여줍니다. `ImportKeyMaterial` 작업을 사용하거나 AWS KMS 콘솔을 사용하여 [키 구성 요소를 로 가져올](importing-keys-import-key-material.md) 때 동일한 CloudTrail 항목이 기록됩니다 AWS KMS key.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ImportKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"validTo": "May 21, 2025, 5:47:45 AM",
"expirationModel": "KEY_MATERIAL_EXPIRES",
"importType": "NEW_KEY_MATERIAL",
"keyMaterialDescription": "ExampleKeyMaterialA"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "89e10ee7-a612-414d-95a2-a128346969fd",
"eventID": "c7abd205-a5a2-4430-bbfa-fc10f3e2d79f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ListAliases
다음 예제에서는 [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 이 작업은 특정 별칭 또는를 사용하지 않으므로 AWS KMS key`resources` 필드가 비어 있습니다. 에서 별칭을 보는 방법에 대한 자세한 내용은 섹션을 AWS KMS참조하세요[KMS 키의 별칭 이름 및 별칭 ARN 찾기](alias-view.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:51:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListAliases",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"limit": 5,
"marker": "eyJiIjoiYWxpYXMvZTU0Y2MxOTMtYTMwNC00YzEwLTliZWItYTJjZjA3NjA2OTJhIiwiYSI6ImFsaWFzL2U1NGNjMTkzLWEzMDQtNGMxMC05YmViLWEyY2YwNzYwNjkyYSJ9"
},
"responseElements": null,
"requestID": "bfe6c190-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a27dda7b-76f1-4ac3-8b40-42dfba77bcd6",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListGrants
다음 예제에서는 [ListGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 의 권한 부여에 대한 자세한 내용은 섹션을 AWS KMS참조하세요[의 권한 부여 AWS KMS](grants.md).
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListGrants",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"marker": "eyJncmFudElkIjoiMWY4M2U2ZmM0YTY2NDgxYjQ2Yzc4MTdhM2Y4YmQwMDFkZDNiYmQ1MGVlYTMyY2RmOWFiNWY1Nzc1NDNjYmNmMyIsImtleUFybiI6ImFybjphd3M6dHJlbnQtc2FuZGJveDp1cy1lYXN0LTE6NTc4Nzg3Njk2NTMwOmtleS9lYTIyYTc1MS1lNzA3LTQwZDAtOTJhYy0xM2EyOGZhOWViMTEifQ\u003d\u003d",
"limit": 10
},
"responseElements": null,
"requestID": "e5c23960-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "d24380f5-1b20-4253-8e92-dd0492b3bd3d",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListKeyRotations
다음 예제에서는 [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. KMS 키의 키 구성 요소 자동 교체 및 온디맨드 교체에 대한 자세한 내용은 [회전 AWS KMS keys](rotate-keys.md) 단원을 참조하세요.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeyRotations",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"includeKeyMaterial": "ALL_KEY_MATERIAL"
},
"responseElements": null,
"requestID": "99c88d32-f2db-455e-8a9a-23855258a452",
"eventID": "8ce0e74b-b9c7-45a2-96ef-83136d38068e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# PutKeyPolicy
다음 예제는 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 키 정책 업데이트에 대한 자세한 내용은 [키 정책 변경](key-policy-modifying.md) 단원을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T20:06:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "PutKeyPolicy",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default",
"policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",\n \"Statement\" : [ {\n \"Sid\" : \"Enable IAM User Permissions\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::111122223333:root\"\n },\n \"Action\" : \"kms:*\",\n \"Resource\" : \"*\"\n } ]\n}",
"bypassPolicyLockoutSafetyCheck": false
},
"responseElements": null,
"requestID": "7bb906fa-dc21-4350-b65c-808ff0f72f55",
"eventID": "c217db1f-903f-4a2f-8f88-9580182d6313",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# ReEncrypt
다음 예제에서는 [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 이 로그 항목의 `resources` 필드는 AWS KMS keys소스 KMS 키와 대상 KMS 키를 순서대로 지정합니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-22T19:34:55Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceEncryptionContext": {
"Project": "Alpha",
"Department": "Engineering"
},
"destinationKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"destinationEncryptionContext": {
"Level": "3A"
}
},
"responseElements": null,
"additionalEventData": {
"destinationKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"sourceKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "03769fd4-acf9-4b33-adf3-2ab8ca73aadf",
"eventID": "542d9e04-0e8d-4e05-bf4b-4bdeb032e6ec",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ReplicateKey
다음 예제는 [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. `ReplicateKey` 요청으로 인해 `ReplicateKey` 작업과 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업이 수행됩니다.
다중 리전 키 복제에 대한 자세한 내용은 [다중 리전 복제본 키 생성](multi-region-keys-replicate.md) 단원을 참조하십시오.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-18T01:29:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReplicateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"replicaRegion": "us-west-2",
"bypassPolicyLockoutSafetyCheck": false,
"description": ""
},
"responseElements": {
"replicaKeyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Nov 18, 2020, 1:29:18 AM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Creating",
"origin": "AWS_KMS",
"keyManager": "CUSTOMER",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": true,
"multiRegionConfiguration": {
"multiRegionKeyType": "REPLICA",
"primaryKey": {
"arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-east-1"
},
"replicaKeys": [
{
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-west-2"
}
]
}
},
"replicaPolicy": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":[{\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:user/Alice\"},\n \"Action\":\"kms:*\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Bob\"},\n \"Action\":\"kms:CreateGrant\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Charlie\"},\n \"Action\":\"kms:Encrypt\",\n \"Resource\":\"*\"\n}]\n}",
},
"requestID": "abcdef68-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "fedcba44-6773-4f96-8763-1993aec9ae6a",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RetireGrant
다음 예제는 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 권한 사용 중지에 대한 자세한 내용은 [권한 부여 사용 중지 및 취소](grant-delete.md) 단원을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:39:33Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "1d274d57-5697-462c-a004-f25fcc29fa26",
"eventID": "0771bcfb-3e24-4332-9ac8-e1c06563eecf",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RevokeGrant
다음 예제는 [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 권한 부여 취소에 대한 자세한 내용은 [권한 부여 사용 중지 및 취소](grant-delete.md) 단원을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:35:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RevokeGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"responseElements": null,
"requestID": "59d94c03-c5b7-428d-ae6e-f2c4b47d2917",
"eventID": "07a23a39-6526-4ae2-b31e-d35fbe9e24ee",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RotateKey
이 예제에서는를 교체하는 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다 AWS KMS keys. KMS 키 교체에 대한 자세한 내용은 [회전 AWS KMS keys](rotate-keys.md) 단원을 참조하십시오.
다음 예제에서는 자동 키 교체가 활성화된 대칭 암호화 KMS 키를 교체하는 작업에 대한 CloudTrail 로그 항목을 보여줍니다. 자동 키 교체 활성화에 대한 자세한 내용은 [회전 AWS KMS keys](rotate-keys.md) 단원을 참조하세요.
`EnableKeyRotation` 작업을 기록하는 CloudTrail 로그 항목의 예제는 [EnableKeyRotation](ct-enablekeyrotation.md) 단원을 참조하십시오.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyOrigin": "AWS_KMS",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
다음 예제는 [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) 작업으로 시작된 온디맨드 교체의 CloudTrail 로그 항목을 보여줍니다. 대칭 암호화 KMS 키의 온디맨드 교체에 대한 자세한 내용은 [온디맨드 키 교체 수행](rotating-keys-on-demand.md) 페이지를 참조하세요.
`RotateKeyOnDemand` 작업을 기록하는 CloudTrail 로그 항목의 예제는 [RotateKeyOnDemand](ct-rotatekeyondemand.md) 단원을 참조하십시오.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "ON_DEMAND",
"keyOrigin": "EXTERNAL",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# RotateKeyOnDemand
다음 예제에서는 [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. 키가 교체될 때 기록되는 CloudTrail 로그 항목의 예는 [RotateKey](ct-rotatekey.md) 단원을 참조하십시오. KMS 키의 키 구성 요소 온디맨드 교체에 대한 더 자세한 내용은 [온디맨드 키 교체 수행](rotating-keys-on-demand.md) 단원을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T17:41:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKeyOnDemand",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "9e1dee86-eb84-42fd-8f25-e3fc7dbb32c8",
"eventID": "00a09fbc-20d6-4a58-9b92-7da85984ab77",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# ScheduleKeyDeletion
이 예제에서는 [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
키 삭제 시 작성되는 CloudTrail 로그 항목의 예는 [DeleteKey](ct-delete-key.md) 단원을 참조하십시오. AWS KMS keys삭제에 대한 자세한 내용은 [삭제 AWS KMS key](deleting-keys.md) 단원을 참조하십시오.
다음 예제에서는 단일 리전 KMS 키에 대한 `ScheduleKeyDeletion` 요청을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-23T18:58:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 20,
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyState": "PendingDeletion",
"deletionDate": "Apr 12, 2021 18:58:30 PM"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
다음 예제에서는 다중 리전 KMS 키와 복제본 키에 대한 `ScheduleKeyDeletion` 요청을 기록합니다.
AWS KMS 는 모든 복제본 키가 삭제될 때까지 다중 리전 키를 삭제하지 않으므로 `responseElements` 필드에서 `keyState`는 `PendingReplicaDeletion` 이고 `deletionDate` 필드는 생략됩니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-28T17:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 30,
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"keyState": "PendingReplicaDeletion",
"pendingWindowInDays": 30
},
"requestID": "12341411-d846-42a6-a476-b1cbe3011f89",
"eventID": "abcda5f-396d-494c-9380-0c47860df5f1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
다음 예시에서는 AWS CloudHSM [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)에 KMS 키에 대한 `ScheduleKeyDeletion` 요청을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:25:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"pendingWindowInDays": 30
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"deletionDate": "Nov 2, 2021, 11:25:25 PM",
"keyState": "PendingDeletion",
"pendingWindowInDays": 30
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]"
},
"requestID": "abcd9f60-2c9c-4a0b-a456-d5d998f7f321",
"eventID": "ca01996a-01b0-4edd-bbbb-25d7b6d1a6fa",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Sign
이 예제에서는 [서명](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
다음은 파일의 디지털 서명을 생성하기 위해 비대칭 RSA KMS 키를 사용하는 [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) 작업에 대한 CloudTrail 로그 항목을 보여주는 예제입니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:36:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Sign",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"messageType": "RAW",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256"
},
"responseElements": null,
"requestID": "8d0b35e0-46cf-48b9-be99-bf2ebc9ab9fb",
"eventID": "107b3cac-b125-4556-9702-12a2b9afcff7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# SynchronizeMultiRegionKey
다음 예제는가 [다중 리전 키를](multi-region-keys-overview.md) AWS KMS 동기화할 때 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 동기화에는 다중 리전 기본 키의 [공유 속성을](multi-region-keys-overview.md#mrk-sync-properties) 복제본 키에 복사하기 위한 교차 리전 호출이 포함됩니다.는 관련된 모든 다중 리전 키가 동일한 키 구성 요소를 갖도록 다중 리전 키를 주기적으로 AWS KMS 동기화합니다.
CloudTrail 로그 항목의 `resources` 요소에는 AWS 리전를 비롯한 다중 리전 기본 키의 키 ARN이 포함됩니다. 관련 다중 리전 복제 키와 해당 리전은 이 로그 항목에 나열되지 않습니다.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-11-18T02:04:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345681-de97-42e9-bed0-b02ae1abd8dc",
"eventID": "abcdec99-2b5c-4670-9521-ddb8f031e146",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# TagResource
다음 예제는 태그 키가 `Department`이고 태그 값이 인 태그를 추가하기 위한 [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) 작업에 대한 호출의 AWS CloudTrail 로그 항목을 보여줍니다`IT`.
키가 교체될 때 작성되는 `UntagResource` CloudTrail 로그 항목의 예는 [UntagResource](ct-untagresource.md) 단원을 참조하십시오. 태그 지정에 대한 자세한 내용은 섹션을 AWS KMS keys참조하세요[의 태그 AWS KMS](tagging-keys.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "TagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tags": [
{
"tagKey": "Department",
"tagValue": "IT"
}
]
},
"responseElements": null,
"requestID": "b942584a-f77d-4787-9feb-b9c5be6e746d",
"eventID": "0a091b9b-0df5-4cf9-b667-6f2879532b8f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UntagResource
다음 예제는 태그 키가 인 태그를 삭제하기 위한 [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html) 작업에 대한 호출의 AWS CloudTrail 로그 항목을 보여줍니다`Dept`.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
`TagResource` CloudTrail 로그 항목에 예제는 [TagResource](ct-tagresource.md) 단원을 참조하십시오. AWS KMS keys태그 지정에 대한 자세한 내용은 [의 태그 AWS KMS](tagging-keys.md) 단원을 참조하십시오.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UntagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tagKeys": [
"Dept"
]
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "cb1d507b-6015-47f4-812b-179713af8068",
"eventID": "0b00f4b0-036e-411d-aa75-87eb4a35a4b3",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateAlias
다음 예제에서는 [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다. `resources` 요소에는 별칭 및 KMS 키 리소스에 대한 필드가 포함됩니다. 에서 별칭을 생성하는 방법에 대한 자세한 내용은 섹션을 AWS KMS참조하세요[별칭 생성](alias-create.md).
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-13T23:18:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9472f40-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f72d3993-864f-48d6-8f16-e26e1ae8dff0",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/my_alias"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateCustomKeyStore
다음 예제는 사용자 지정 키 스토어의 클러스터 ID를 업데이트하기 위해 [https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다. 사용자 지정 키 스토어 편집에 대한 자세한 내용은 [AWS CloudHSM 키 스토어 설정 편집](update-keystore.md) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# UpdateKeyDescription
다음 예제는 [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html) 작업을 호출하여 생성된 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:22:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateKeyDescription",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"description": "New key description"
},
"responseElements": null,
"requestID": "8c3c1f8b-336d-4896-b034-4eb9916bc9b3",
"eventID": "f5f3d548-2e9e-4658-8427-9dcb5b1ea791",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# UpdatePrimaryRegion
다음 예제는 [다중 리전 키](multi-region-keys-overview.md)에서 [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) 작업을 호출하여 생성되는 AWS CloudTrail 로그 항목을 보여줍니다.
`UpdatePrimaryRegion` 작업은 두 개의 CloudTrail 로그 항목을 작성합니다. 하나는 리전에 복제 키로 변환된 다중 리전 기본 키가 있고, 하나는 기본 키로 변환된 다중 리전 복제 키가 있는 리전에 있습니다.
2022년 12월 이후에 기록된 이 작업에 대한 CloudTrail 로그 항목에는 이 작업이 키 ARN을 반환하지 않더라도 영향을 받는 KMS 키의 키 ARN이 `responseElements.keyId` 값에 포함됩니다.
다음 예제는 다중 리전 키가 기본 키에서 복제 키로 변경된 리전(us-west-2)의 `UpdatePrimaryRegion`에 대한 CloudTrail 로그 항목을 보여줍니다. `primaryRegion` 필드는 이제 기본 키를 호스트하는 리전(ap-northeast-1)을 보여 줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
다음 예제는 다중 리전 키가 복제 키에서 기본 키로 변경된 리전(ap-northeast-1)의 `UpdatePrimaryRegion`에 대한 CloudTrail 항목을 보여줍니다. 이 로그 항목은 이전 기본 리전을 식별하지 않습니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"invokedBy": "kms.amazonaws.com"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "091e6be5-737f-43c6-8431-e3679d6d0619",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# VerifyMac
다음 예제에서는 [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-31T19:25:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "VerifyMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_384",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "f35da560-edff-4d6e-9b40-fb306fa9ef1e",
"eventID": "6b464487-6dea-44cd-84ad-225d7450c975",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# 확인
이 예제에서는 [확인](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
다음은 디지털 서명을 검증하기 위해 비대칭 RSA KMS 키를 사용하는 [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) 작업에 대한 CloudTrail 로그 항목을 보여주는 예제입니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:50:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Verify",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"messageType": "RAW"
},
"responseElements": null,
"requestID": "c73ab82a-af82-4750-ae2c-b6bb790e9c28",
"eventID": "3b4331cd-5b7b-4de5-bf5f-82ec22f0dac0",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Amazon EC2 예제 1
다음 예제는 Amazon EC2 관리 콘솔에서 기본 볼륨 키를 사용해 암호화된 볼륨을 생성하는 IAM 보안 주체를 기록합니다.
다음 예제는 사용자 Alice가 Amazon EC2 관리 콘솔에서 기본 볼륨 키로 암호화된 볼륨을 생성하는 CloudTrail 로그 항목을 보여줍니다. EC2 로그 파일 레코드에는 값이 `"vol-13439757"`인 `volumeId` 필드가 포함됩니다. AWS KMS 레코드에는 값이 인 `encryptionContext` 필드가 포함됩니다`"aws:ebs:id": "vol-13439757"`. 마찬가지로, 두 레코드 사이의 `principalId`와 `accountId`가 일치합니다. 이 레코드는 암호화된 볼륨 생성 시 볼륨 콘텐츠를 암호화하는 데 사용되는 데이터 키가 생성된다는 사실을 보여줍니다.
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:18Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateVolume",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"size": "10",
"zone": "us-east-1a",
"volumeType": "gp2",
"encrypted": true
},
"responseElements": {
"volumeId": "vol-13439757",
"size": "10",
"zone": "us-east-1a",
"status": "creating",
"createTime": 1415220618876,
"volumeType": "gp2",
"iops": 30,
"encrypted": true
},
"requestID": "1565210e-73d0-4912-854c-b15ed349e526",
"eventID": "a3447186-135f-4b00-8424-bc41f1a93b4f",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "&AWS; Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-13439757"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-123456789012-758241111-1415220618",
"eventID": "4bd2a696-d833-48cc-b72c-05e61b608399",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Amazon EC2 예제 2
다음 예제에서는 Amazon EC2 인스턴스를 실행하는 IAM 보안 주체가 KMS 키로 암호화된 데이터 볼륨을 생성하고 탑재합니다. 이 작업은 여러 CloudTrail 로그 레코드를 생성합니다. Amazon EBS 및 암호화에 대한 자세한 내용은 [Amazon EBS 암호화 요구 사항](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-instance-permissions)을 참조하세요.
볼륨이 생성되면 고객을 대신하여 작업하는 Amazon EC2는 AWS KMS ()에서 암호화된 데이터 키를 가져옵니다`GenerateDataKeyWithoutPlaintext`. 그런 다음 데이터 키를 복호화할 수 있는 권한 부여(`CreateGrant`)를 생성합니다. 볼륨이 마운트되면 Amazon EC2는를 호출 AWS KMS 하여 데이터 키()를 해독합니다`Decrypt`.
Amazon EC2 인스턴스의 `instanceId`(`"i-81e2f56c"`)는 `RunInstances` 이벤트에 나타납니다. 동일한 인스턴스 ID는 생성된 권한 부여(`"111122223333:aws:ec2-infrastructure:i-81e2f56c"`)의 `granteePrincipal` 및 `Decrypt` 호출(`"arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c"`)에서 보안 주체인 위임된 역할에 자격을 부여합니다.
데이터 볼륨을 보호하는 KMS 키의 [키 ARN](concepts.md#key-id-key-ARN)은 세 가지 AWS KMS 호출(`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`,`CreateGrant` `GenerateDataKeyWithoutPlaintext`및 `Decrypt`) 모두에 나타납니다.
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:27Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "RunInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"imageId": "ami-b66ed3de",
"minCount": 1,
"maxCount": 1
}
]
},
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2"
}
]
},
"instanceType": "m3.medium",
"blockDeviceMapping": {
"items": [
{
"deviceName": "/dev/xvda",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": true,
"volumeType": "gp2"
}
},
{
"deviceName": "/dev/sdb",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": false,
"volumeType": "gp2",
"encrypted": true
}
}
]
},
"monitoring": {
"enabled": false
},
"disableApiTermination": false,
"instanceInitiatedShutdownBehavior": "stop",
"clientToken": "XdKUT141516171819",
"ebsOptimized": false
},
"responseElements": {
"reservationId": "r-5ebc9f74",
"ownerId": "111122223333",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"instancesSet": {
"items": [
{
"instanceId": "i-81e2f56c",
"imageId": "ami-b66ed3de",
"instanceState": {
"code": 0,
"name": "pending"
},
"amiLaunchIndex": 0,
"productCodes": {
},
"instanceType": "m3.medium",
"launchTime": 1415223328000,
"placement": {
"availabilityZone": "us-east-1a",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"stateReason": {
"code": "pending",
"message": "pending"
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
},
"virtualizationType": "hvm",
"hypervisor": "xen",
"clientToken": "XdKUT1415223327917",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"networkInterfaceSet": {
},
"ebsOptimized": false
}
]
}
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "cd75a605-2fee-4fda-b847-9c3d330ebaae",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"granteePrincipal": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "c1ad79e3-0d3f-402a-b119-d5c31d7c6a6c",
"readOnly": false,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-111122223333-758247346-1415223332",
"eventID": "ac3cab10-ce93-4953-9d62-0b6e5cba651d",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c",
"accountId": "111122223333",
"accessKeyId": "",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-05T21:35:38Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-infrastructure",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-infrastructure",
"accountId": "111122223333",
"userName": "aws:ec2-infrastructure"
}
}
},
"eventTime": "2014-11-05T21:35:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"responseElements": null,
"requestID": "b4b27883-6533-11e4-b4d9-751f1761e9e5",
"eventID": "edb65380-0a3e-4123-bbc8-3d1b7cff49b0",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Amazon CloudWatch를 사용하여 KMS 키 모니터링
에서 원시 데이터를 수집하여 읽기 가능하며 실시간에 가까운 지표 AWS KMS 로 처리하는 AWS 서비스인 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)를 AWS KMS keys 사용하여를 모니터링할 수 있습니다. 이러한 데이터는 2주간 기록되므로 기록 정보를 보고 KMS 키의 사용 상황과 시간에 따른 변화를 더 잘 이해할 수 있습니다.
Amazon CloudWatch를 사용하여 다음과 같은 중요한 이벤트를 알릴 수 있습니다.
+ KMS 키의 가져온 키 구성 요소의 만료 날짜가 가까워졌습니다.
+ 삭제 보류 중인 KMS 키가 계속 사용되고 있습니다.
+ KMS 키의 키 구성 요소가 자동으로 교체되었습니다.
+ KMS 키가 삭제되었습니다.
요청 비율이 할당량 값의 일정 비율에 도달하면 경고하는 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) 경보를 생성할 수도 있습니다. 자세한 내용은 *AWS 보안 블로그*의 [ Service Quotas 및 Amazon CloudWatch를 사용하여 AWS KMS API 요청 속도 관리를 참조하세요](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/).
## AWS KMS 지표 및 차원
AWS KMS 는 Amazon CloudWatch 지표를 사전 정의하여 중요한 데이터를 더 쉽게 모니터링하고 경보를 생성할 수 있도록 합니다. AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.
이 섹션에서는 각 AWS KMS 지표와 각 지표의 차원을 나열하고 이러한 지표와 차원을 기반으로 CloudWatch 경보를 생성하기 위한 몇 가지 기본 지침을 제공합니다.
**참고**
**차원 그룹 이름**:
Amazon CloudWatch 콘솔에서 지표를 보려면 **Metrics**(지표) 섹션에서 차원 그룹 이름을 선택합니다. 그런 다음 **Metric name**(지표 이름)으로 필터링할 수 있습니다. 이 주제에는 각 AWS KMS 지표에 대한 지표 이름과 차원 그룹 이름이 포함됩니다.
AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [사용 가능한 지표 보기](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html)를 참조하세요.
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [CloudHSMKeyStoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
특정 KMS 키에 대한 암호화 작업 요청이 성공한 횟수입니다. `SuccessfulRequest` 지표를 사용하면 CloudWatch의 AWS KMS API 사용량에 키 수준 필터링을 적용할 수 있습니다. 이 지표의 `Sum` 통계는 해당 기간 동안의 성공적인 요청 수 전체를 나타냅니다.
이 지표를 사용해 요청 할당량 중 가장 큰 비중을 사용하거나 API 비용에 가장 많이 기여하는 KMS 키를 식별하세요. `SuccesfulRequest` 지표를 기반으로 CloudWatch 알람을 생성해 비정상적인 AWS KMS API 사용 패턴에 대한 알림을 받을 수 있습니다. 이러한 알림은 요청 할당량을 의도치 않게 초과하거나 예상치 못한 비용을 발생시킬 수 있는 비효율적인 워크플로를 식별하는 데 도움이 됩니다.
**의 차원 `SuccessfulRequest`**
| 차원 | 설명 |
| --- | --- |
| KeyArn | 각 KMS 키의 값입니다. |
| 연산 | 각 AWS KMS API 작업의 값입니다. 이 지표는 암호화 작업에만 적용됩니다. |
[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 작업의 경우 `SuccessfulRequest` 지표에는 소스 KMS 키와 대상 KMS 키에 대한 차원이 모두 포함됩니다.
| 차원 | 설명 |
| --- | --- |
| SourceKeyArn | 사이퍼텍스트를 복호화한 KMS 키의 값입니다. |
| DestinationKeyArn | 데이터를 다시 암호화한 KMS 키에 대한 값입니다. |
| 연산 | 각 AWS KMS API 작업의 값입니다.이 경우 ReEncrypt입니다. |
### SecondsUntilKeyMaterialExpiration
KMS 키에서 가장 먼저 만료되는 [가져온 키 구성 요소](importing-keys.md)가 만료될 때까지 남은 시간(초)입니다. 이 지표는 가져온 키 구성 요소(`EXTERNAL`의 [키 구성 요소 오리진](create-keys.md#key-origin))와 만료 날짜가 있는 KMS 키에만 유효합니다.
이 지표를 사용해 가장 먼저 만료되는 가져온 키 구성 요소가 만료되기까지 남은 시간을 추적하세요. 해당 시간이 사용자가 정의한 임곗값보다 작아지면 KMS 키를 계속 사용할 수 있도록 새 만료 날짜를 지정해 키 구성 요소를 다시 가져와야 합니다. `SecondsUntilKeyMaterialExpiration` 지표는 KMS 키에만 해당합니다. 이 지표를 사용하여 향후 생성할 수 있는 KMS 키를 하나 또는 그 이상 모니터링할 수는 없습니다. 이 지표를 모니터링하기 위해 CloudWatch 경보를 생성하는 방법에 대한 도움말은 [가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성](imported-key-material-expiration-alarm.md) 섹션을 참조하세요.
이 지표에서 가장 유용한 통계는 `Minimum`으로서 지정한 통계 기간 중 모든 데이터 포인트에 남아있는 시간이 가장 적다는 것을 의미합니다. 이 지표에서 유일하게 사용되는 유효 단위는 `Seconds`입니다.
**차원 그룹 이름**: **Per-Key Metrics**(키별 지표)
**`SecondsUntilKeyMaterialExpiration`의 차원**
| 측정 기준 | 설명, 관련 AWS |
| --- | --- |
| KeyId | 각 KMS 키의 값입니다. |
KMS 키에 [키 삭제를 예약](deleting-keys.md)하면 AWS KMS 가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용할 수 있습니다. 사람이나 애플리케이션이 대기 기간 중에 [암호화 작업](kms-cryptography.md#cryptographic-operations)에서 KMS 키를 사용하려고 할 때 경고하도록 CloudWatch 경보를 구성할 수도 있습니다. 이러한 경보를 통해 알림을 받으면 KMS 키의 삭제를 취소하고 싶을 수 있습니다.
지침은 [삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성](deleting-keys-creating-cloudwatch-alarm.md) 섹션을 참조하세요.
### CloudHSMKeyStoreThrottle
가 AWS KMS 제한하는 각 키 스토어의 KMS AWS CloudHSM 키에 대한 암호화 작업 요청 수입니다(로 응답`ThrottlingException`). 이 지표는 AWS CloudHSM 키 스토어에만 적용됩니다.
지표는 키 스토어의 AWS CloudHSM KMS 키와 [ 암호화 작업에](kms-cryptography.md#cryptographic-operations) 대한 요청에만 적용됩니다. `CloudHSMKeyStoreThrottle`는 요청 속도가 키 스토어에 대한 [사용자 지정 키 스토어 요청 할당량을 ](requests-per-second.md#rps-key-stores) 초과할 때 AWS KMS [이러한 요청을 제한](throttling.md)합니다 AWS CloudHSM . 이 지표에는 AWS CloudHSM 클러스터의 제한도 포함됩니다.
**차원 그룹 이름**: **Keystore Throttle Metrics**(키 스토어 제한 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 AWS CloudHSM 키 스토어의 값입니다. |
| KmsOperation | 각 AWS KMS API 작업의 값입니다. 이 지표는 AWS CloudHSM 키 저장소에 있는 KMS 키에 대한 암호화 작업에만 적용됩니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 키 스토어에서 KMS 키에 대해 지원되는 [유일한 키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. AWS CloudHSM |
### ExternalKeyStoreThrottle
가 AWS KMS 제한하는 각 외부 키 스토어의 KMS 키에 대한 암호화 작업 요청 수입니다(로 응답`ThrottlingException`). 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
지표는 외부 키 스토어의 KMS 키와 [암호화 작업에](kms-cryptography.md#cryptographic-operations) 대한 요청에만 적용됩니다. `ExternalKeyStoreThrottle`는 요청 속도가 외부 [키 스토어에 대한 사용자 지정 키 스토어 요청 할당량을](requests-per-second.md#rps-key-stores) 초과할 때 AWS KMS [이러한 요청을 제한](throttling.md)합니다. 이 지표에는 외부 키 스토어 프록시 또는 외부 키 관리자에 의한 제한이 포함되지 않습니다.
이 지표를 사용하여 사용자 지정 키 저장소 요청 할당량의 값을 검토하고 조정하세요. 이 지표에서 AWS KMS 가 이러한 KMS 키에 대한 요청을 자주 제한하고 있음을 나타내는 경우 사용자 지정 키 스토어 요청 할당량 값 증가를 요청하는 것이 좋습니다. 도움이 필요한 경우 **Service Quotas 사용 설명서의 [할당량 증가 요청](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)을 참조하세요.
'매우 높은 요청 빈도로 인해' 또는 '외부 키 스토어 프록시가 제때 응답하지 않아' 요청이 거부되었음을 설명하는 메시지와 함께 `KMSInvalidStateException` 오류가 매우 자주 발생하는 경우 외부 키 관리자 또는 외부 키 스토어 프록시가 현재 요청 빈도를 따라갈 수 없는 것일 수 있습니다. 가능하면 요청 빈도를 낮춥니다. 사용자 지정 키 스토어 요청 할당량 값의 감소를 요청하는 것도 고려할 수 있습니다. 이 할당량 값을 줄이면 제한(및 `ExternalKeyStoreThrottle` 지표 값)이 증가할 수 있지만 외부 키 스토어 프록시 또는 외부 키 관리자로 전송되기 전에 초과 요청을 빠르게 AWS KMS 거부하고 있음을 나타냅니다. 할당량 감소를 요청하기 위해서는 [AWS Support 센터](https://console.aws.amazon.com/support/home)를 방문하여 케이스를 생성하세요.
**차원 그룹 이름**: **Keystore Throttle Metrics**(키 스토어 제한 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | 각 AWS KMS API 작업의 값입니다. 이 지표는 외부 키 저장소에 있는 KMS 키에 대한 암호화 작업에만 적용됩니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 [키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. |
### XksProxyCertificateDaysToExpire
[외부 키 스토어 프록시 엔드포인트](create-xks-keystore.md#require-endpoint)(`XksProxyUriEndpoint`)에 대한 TLS 인증서가 만료될 때까지의 일수입니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
TLS 인증서의 예정된 만료를 알리는 CloudWatch 경보를 생성하려면 이 지표를 사용합니다. 인증서가 만료되면는 외부 키 스토어 프록시와 통신할 AWS KMS 수 없습니다. 외부 키 스토어의 KMS 키로 보호되는 모든 데이터는 인증서를 갱신할 때까지 액세스할 수 없습니다.
인증서 경보는 암호화된 리소스에 액세스하지 못하게 할 수 있는 인증서 만료를 방지합니다. 인증서가 만료되기 전에 인증서를 갱신할 시간을 조직에 제공하도록 경보를 설정합니다.
**차원 그룹 이름**: **XKS Proxy Certificate Metrics**(XKS 프록시 인증서 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| CertificateName | TLS 인증서의 주체 이름(CN)입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksProxyCredentialAge
현재 외부 키 스토어 [프록시 인증 자격 증명](keystore-external.md#concept-xks-credential)(`XksProxyAuthenticationCredential`)이 외부 키 스토어와 연결된 이후의 일수입니다. 이 수는 외부 키 스토어를 만들거나 업데이트하는 과정에서 인증 자격 증명을 입력할 때 시작됩니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
이 값은 인증 자격 증명의 사용 기간을 알리도록 설계되었습니다. 그러나 외부 키 스토어 프록시에 인증 자격 증명을 생성할 때가 아니라 외부 키 스토어에 자격 증명을 연결할 때 계산을 시작하기 때문에 프록시의 자격 증명 사용 기간에 대한 정확한 지표가 아닐 수 있습니다.
이 지표를 사용하여 외부 키 스토어 프록시 인증 자격 증명을 교체하라고 알려주는 CloudWatch 경보를 생성합니다.
**차원 그룹 이름**: **Per-Keystore Metrics**(키 스토어별 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksProxyErrors
[외부 키 스토어 프록시](keystore-external.md#concept-xks-proxy)에 대한 AWS KMS 요청과 관련된 예외 수입니다. 이 수에는 외부 키 스토어 프록시가 로 반환하는 예외 AWS KMS 와 외부 키 스토어 프록시가 250밀리초 제한 시간 간격 AWS KMS 내에 응답하지 않을 때 발생하는 제한 시간 오류가 포함됩니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어에서 KMS 키의 오류율을 추적합니다. 이 지표는 가장 자주 발생하는 오류를 표시하므로 엔지니어링 작업의 우선 순위를 지정할 수 있습니다. KMS 키에서 생성하는 재시도할 수 없는 오류율이 높으면 외부 키 스토어의 구성에 문제가 있는 것일 수 있습니다. 외부 키 스토어 구성을 보려면 [외부 키 저장소 보기](view-xks-keystore.md) 섹션을 참조하세요. 외부 키 스토어 설정을 편집하려면 [외부 키 저장소 속성 편집](update-xks-keystore.md) 섹션을 참조하세요.
**차원 그룹 이름**: **XKS Proxy Error Metrics**(XKS 프록시 오류 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
| XksOperation | 각 [외부 키 스토어 프록시 API 작업](keystore-external.md#concept-proxy-apis)의 값입니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 [키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. |
| ErrorType | 값:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | 값: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/monitoring-cloudwatch.html) |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksExternalKeyManagerStates
각 상태(`Active`, `Degraded` 및 `Unavailable`)의 [외부 키 관리자 인스턴스](keystore-external.md#concept-ekm) 수입니다. 이 지표에 대한 정보는 각 외부 키 스토어와 연결된 외부 키 스토어 프록시에서 가져옵니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
다음은 외부 키 스토어와 연결된 외부 키 관리자 인스턴스의 상태입니다. 각 외부 키 스토어 프록시는 서로 다른 표시기를 사용하여 외부 키 관리자의 상태를 측정할 수 있습니다. 자세한 내용은 외부 키 스토어 프록시의 설명서를 참조하세요.
+ `Active`: 외부 키 관리자가 정상입니다.
+ `Degraded`: 외부 키 관리자가 비정상이지만 여전히 트래픽을 처리할 수 있습니다.
+ `Unavailable`: 외부 키 관리자가 트래픽을 처리할 수 없습니다.
이 지표를 사용하여 성능이 저하되고 사용할 수 없는 외부 키 관리자 인스턴스에 대해 경고하는 CloudWatch 경보를 생성합니다. 각 상태의 외부 키 관리자 인스턴스를 확인하려면 외부 키 스토어 프록시 로그를 참조하세요.
**차원 그룹 이름**: **XKS External Key Manager Metrics**(XKS 외부 키 관리자 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| XksExternalKeyManagerState | 각 상태에 대한 값입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksProxyLatency
외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 시간(밀리초)입니다. 요청 시간이 초과된 경우 기록된 값은 250밀리초 제한 시간입니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어 프록시와 외부 키 관리자의 성능을 평가합니다. 예를 들어, 프록시의 암호화 및 복호화 작업 시간이 자주 초과되는 경우 외부 프록시 관리자에게 문의하세요.
느린 응답은 외부 키 관리자가 현재 요청 트래픽을 처리할 수 없음을 나타낼 수도 있습니다. AWS KMS 는 외부 키 관리자가 초당 최대 1,800개의 암호화 작업 요청을 처리할 수 있도록 권장합니다. 외부 키 관리자가 초당 1,800개의 요청을 처리할 수 없는 경우 [사용자 지정 키 스토어에서 KMS 키에 대한 요청 할당량](requests-per-second.md#rps-key-stores) 감소를 요청하는 것이 좋습니다. 외부 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 요청은 외부 키 스토어 프록시 또는 외부 키 관리자에 의해 처리되고 나중에 거부되는 대신 [제한 예외](throttling.md)와 함께 빠르게 실패합니다.
**차원 그룹 이름**: **XKS Proxy Latency Metrics**(XKS 프록시 지연 시간 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
| XksOperation | 각 [외부 키 스토어 프록시 API 작업](keystore-external.md#concept-proxy-apis)의 값입니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 [키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 단원을 참조하세요.
# 가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성
가져온 키 구성 요소의 만료일이 가까워지면 이를 알리는 CloudWatch 경보를 생성할 수 있습니다. 예를 들어 만료까지 남은 기간이 30일 미만인 경우 이 경보를 통해 알림을 받을 수 있습니다.
[키 구성 요소를 KMS 키로 가져올](importing-keys.md) 때 선택적으로 키 구성 요소의 만료 날짜 및 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면는 키 구성 요소를 AWS KMS 삭제하고 KMS 키를 사용할 수 없게 됩니다. KMS 키를 다시 사용하려면 [키 구성 요소를 다시 가져와야](importing-keys-import-key-material.md#reimport-key-material) 합니다. 그러나 만료되기 전에 키 구성 요소를 다시 가져오면 해당 KMS 키를 사용하는 프로세스가 중단되는 상황을 방지할 수 있습니다.
이 경보는 만료되는 가져온 키 구성 요소가 있는 KMS 키에 대해 CloudWatch에 AWS KMS 게시하는 [`SecondsUntilKeyMaterialExpires` 지표](monitoring-cloudwatch.md#key-material-expiration-metric)를 사용합니다. 각 경보는 이 지표를 사용하여 특정 KMS 키에 대해 가져온 키 구성 요소를 모니터링합니다. 만료되는 키 구성 요소가 있는 모든 KMS 키에 대해 단일 경보를 생성할 수 없으며 향후 생성할 수 있는 KMS 키에 대한 경보를 생성할 수는 없습니다.
**요구 사항**
가져온 키 구성 요소의 만료 여부를 모니터링하는 CloudWatch 경보에는 다음 리소스가 필요합니다.
+ 만료되는 가져온 키 구성 요소가 있는 KMS 키.
+ Amazon SNS 주제. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [Amazon SNS 주제 생성](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)을 참조하세요.
**경보 생성**
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **KMS**를 선택한 다음 **키별 지표**를 선택합니다. KMS 키가 있는 행과 `SecondsUntilKeyMaterialExpires` 지표를 선택합니다. 그런 다음 **지표 선택**을 선택합니다. **지표** 목록에는 만료되는 가져온 키 구성 요소가 있는 KMS 키에 대한 `SecondsUntilKeyMaterialExpires` 지표만 표시됩니다. 계정 및 리전에 이러한 속성을 가진 KMS 키가 없는 경우 이 목록은 비어 있습니다. |
| 통계 | 최소 |
| Period | 1분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | metric-name이 1 보다 클때마다 |
# 외부 키 저장소에 대한 CloudWatch 경보 생성
외부 키 저장소 지표를 기반으로 Amazon CloudWatch 경보를 생성하여 지표 값이 지정한 임계값을 초과할 때 알려줄 수 있습니다. 이 경보는 메시지를 [Amazon Simple Notification Service(Amazon SNS) 주제](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) 또는 [Amazon EC2 Auto Scaling 정책](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work)에 전송할 수 있습니다. CloudWatch 경보에 대한 자세한 내용은 **Amazon CloudWatch 사용 설명서의 [Amazon CloudWatch 경보 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)을 참조하세요.
Amazon CloudWatch 경보를 생성하기 전에 Amazon SNS 주제가 필요합니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [Amazon SNS 주제 생성](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)을 참조하세요.
**Topics**
+ [인증서 만료에 대한 경보 생성](#cert-expire-alarm)
+ [응답 제한 시간에 대한 경보 생성](#latency-alarm)
+ [재시도 가능한 오류에 대한 경보 생성](#retryable-errors-alarm)
+ [재시도 불가능한 오류에 대한 경보 생성](#nonretryable-errors-alarm)
## 인증서 만료에 대한 경보 생성
이 경보는 AWS KMS 가 CloudWatch에 게시하는 [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) 지표를 사용하여 외부 키 스토어 프록시 엔드포인트와 연결된 TLS 인증서의 예상 만료를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
인증서가 만료되기 10일 전에 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
**경보 생성**
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **KMS**를 선택한 다음 **XKS Proxy Certificate Metrics**(XKS 프록시 인증서 지표)를 선택합니다. 모니터링할 `XksProxyCertificateName` 옆의 확인란을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| 통계 | 최소 |
| Period | 5분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | XksProxyCertificateDaysToExpire가 10보다 Lower일 때마다 |
## 응답 제한 시간에 대한 경보 생성
이 경보는 CloudWatch에 AWS KMS 게시하는 지표를 사용하여 외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) 밀리초 수를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
AWS KMS 는 외부 키 스토어 프록시가 250밀리초 이내에 각 요청에 응답할 것으로 예상합니다. 외부 키 스토어 프록시가 응답하는 데 200밀리초 이상 걸리는 경우 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
**경보 생성**
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **KMS**를 선택한 다음 **XKS Proxy Latency Metrics**(XKS 프록시 지연 시간 지표)를 선택합니다. 모니터링할 `KmsOperation` 옆의 확인란을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| 통계 | 평균 |
| Period | 5분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | XksProxyLatency가 200보다 Greater일 때마다 |
## 재시도 가능한 오류에 대한 경보 생성
이 경보는 CloudWatch에 AWS KMS 게시하는 [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) 지표를 사용하여 외부 키 스토어 프록시에 대한 AWS KMS 요청과 관련된 예외 수를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
재시도할 수 있는 오류는 신뢰성(백분율)을 낮추고 네트워킹 오류를 나타낼 수 있습니다. 1분 동안 재시도할 수 있는 오류가 5개 이상 기록되면 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **쿼리(Query)** 탭을 선택합니다. **Namespace**(네임스페이스)에서 `AWS/KMS`를 선택합니다. **Metric name**(지표 이름)에 `SUM(XksProxyErrors)`을 입력합니다. **Filter by**(필터링 기준)에 `ErrorType = Retryable`을 입력합니다. **실행**을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| Label | 재시도할 수 있는 오류 |
| Period | 1분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | q1이 5보다 Greater일 때마다 |
## 재시도 불가능한 오류에 대한 경보 생성
이 경보는 CloudWatch에 AWS KMS 게시하는 [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) 지표를 사용하여 외부 키 스토어 프록시에 대한 AWS KMS 요청과 관련된 예외 수를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
재시도할 수 없는 오류는 외부 키 스토어 구성에 문제가 있음을 나타낼 수 있습니다. 1분 동안 재시도할 수 없는 오류가 5개 이상 기록되면 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **쿼리(Query)** 탭을 선택합니다. **Namespace**(네임스페이스)에서 `AWS/KMS`를 선택합니다. **Metric name**(지표 이름)에 `SUM(XksProxyErrors)`을 입력합니다. **Filter by**(필터링 기준)에 `ErrorType = Non-retryable`을 입력합니다. **실행**을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| Label | 재시도할 수 없는 오류 |
| Period | 1분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | q1이 5보다 Greater일 때마다 |
# Amazon EventBridge를 사용하여 KMS 키 모니터링
Amazon EventBridge(이전의 Amazon CloudWatch Events)를 사용하여 KMS 키 수명 주기에서 다음과 같은 중요한 이벤트를 알릴 수 있습니다.
+ KMS 키의 키 구성 요소는 자동 또는 온디맨드로 교체되었습니다.
+ KMS 키에 가져온 키 구성 요소가 만료되었습니다.
+ 삭제가 예약된 KMS 키가 삭제되었습니다.
AWS KMS 는 Amazon EventBridge와 통합되어 KMS 키에 영향을 미치는 중요한 이벤트를 알려줍니다. 각 이벤트는 [JSON(JavaScript Object Notation)](http://json.org)으로 표시되며, 이벤트 이름, 이벤트가 발생한 날짜와 시간, 영향받는 항목 등을 포함합니다. 이러한 이벤트를 수집하고 AWS Lambda 함수, Amazon SNS 주제, Amazon SQS 대기열, Amazon Kinesis Data Streams의 스트림 또는 기본 제공 *대상*과 같은 하나 이상의 대상으로 라우팅하는 규칙을 설정할 수 있습니다.
읽기/쓰기 API 요청을 기록할 AWS CloudTrail 때에서 내보내는 이벤트를 포함하여 다른 종류의 이벤트와 함께 EventBridge를 사용하는 방법에 대한 자세한 내용은 [Amazon EventBridge 사용 설명서를](https://docs.aws.amazon.com/eventbridge/latest/userguide/) 참조하세요.
다음 주제에서는가 AWS KMS 생성하는 EventBridge 이벤트에 대해 설명합니다.
## KMS CMK 로테이션
AWS KMS 는 대칭 암호화 KMS 키에서 키 구성 요소의 [자동 및 온디맨드 교체](rotate-keys.md)를 지원합니다.
가 키 구성 요소를 AWS KMS 교체할 때마다 EventBridge로 `KMS CMK Rotation` 이벤트를 전송합니다.는 최선을 다해이 이벤트를 AWS KMS 생성합니다.
다음은 이 이벤트의 예입니다.
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "KMS CMK Rotation",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-origin": "AWS_KMS",
"rotation-type": "ON_DEMAND",
"previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
}
}
```
## KMS가 가져온 키 자료 만료
[키 구성 요소를 KMS 키로 가져올](importing-keys.md) 때 선택적으로 키 구성 요소의 만료 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면는 키 구성 요소를 AWS KMS 삭제하고 해당 `KMS Imported Key Material Expiration` 이벤트를 EventBridge로 전송합니다.는 최선을 다해이 이벤트를 AWS KMS 생성합니다.
다음은 이 이벤트의 예입니다.
```
{
"version": "0",
"id": "9da9af57-9253-4406-87cb-7cc400e43465",
"detail-type": "KMS Imported Key Material Expiration",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
## KMS CMK 삭제
KMS 키에 [삭제를 예약](deleting-keys.md)하면 AWS KMS 가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 대기 기간이 끝나면 AWS KMS 는 KMS 키를 삭제하고 `KMS CMK Deletion` 이벤트를 EventBridge로 보냅니다. AWS KMS 가 이 EventBridge 이벤트를 보장합니다. 재시도로 인해 몇 초 내에 여러 개의 이벤트가 생성되어 동일한 KMS 키가 삭제될 수 있습니다.
다음은 이 이벤트의 예입니다.
```
{
"version": "0",
"id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
"detail-type": "KMS CMK Deletion",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
```