기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
의 비밀 암호화 및 복호화 AWS Secrets Manager
Secrets Manager는 AWS KMS 키와 데이터 키가 포함된 봉투 암호화를 사용하여 각 비밀 값을 보호합니다. 시크릿의 시크릿 값이 변경될 때마다 Secrets Manager는 이를 보호하기 AWS KMS 위해 새 데이터 키를 요청한다. KMS 키 아래에 암호화된 데이터 키는 보안 암호의 메타데이터에 저장합니다. 암호를 해독하기 위해 Secrets Manager는 먼저 KMS 키를 사용하여 암호화된 데이터 키를 해독합니다. AWS KMS
Secrets Manager에서는 KMS를 사용하여 보안 암호 값을 직접 암호화하지 않습니다. 대신 KMS 키를 사용하여 256비트 고급 암호화 표준(AES) 대칭 데이터 키를 생성하고 암호화하며 데이터 키를 사용하여 보안 암호 값을 암호화합니다. Secrets Manager는 일반 텍스트 데이터 키를 사용하여 외부의 비밀 값을 암호화한 다음 메모리에서 제거합니다. AWS KMS데이터 키의 암호화된 사본을 암호의 메타데이터에 저장합니다.
주제
키 선택 AWS KMS
암호를 생성할 때 AWS 계정 및 지역의 대칭 암호화 고객 관리 키를 선택하거나 Secrets Manager (aws/secretsmanager) AWS 관리형 키 에 사용할 수 있습니다. 를 선택했는데 아직 존재하지 않는 경우 Secrets Manager는 이를 생성하여 암호와 연결합니다. AWS 관리형 키 aws/secretsmanager 계정의 각 보안 암호에 대해 동일한 KMS 또는 다른 KMS 키를 사용할 수 있습니다. 암호 그룹의 키에 대한 사용자 지정 권한을 설정하거나 해당 키에 대한 특정 작업을 감사하려는 경우 다른 KMS 키를 사용할 수 있습니다. Secrets Manager는 대칭 암호화 KMS 키만 지원합니다. 외부 키 스토어에서 KMS 키를 사용하는 경우 요청이 AWS외부로 이동해야 하므로 KMS 키에 대한 암호화 작업이 더 오래 걸리고 신뢰성과 내구성이 떨어질 수 있습니다.
보안 암호의 암호화 키를 변경하는 방법에 대한 자세한 내용은 AWS Secrets Manager 시크릿의 암호화 키 변경을(를) 참조하세요.
암호화 키를 변경하면 Secrets Manager가 다시 암호화하고 AWSCURRENT 새 키로 AWSPREVIOUS 버전을 변경합니다. AWSPENDING Secrets Manager는 사용자가 비밀 정보에 접근할 수 없도록 기존 버전을 모두 이전 키로 암호화한 상태로 유지합니다. 즉, 이전 키 또는 새 키를 사용하여 AWSCURRENTAWSPENDING, 및 AWSPREVIOUS 버전을 해독할 수 있습니다.
새 암호화 키로만 암호를 AWSCURRENT 해독할 수 있도록 하려면 새 키로 새 버전의 암호를 만드십시오. 그러면 AWSCURRENT 보안 버전을 해독할 수 있으려면 새 키에 대한 권한이 있어야 합니다.
에 대한 권한을 AWS 관리형 키 aws/secretsmanager 거부하고 고객 관리 키로 암호를 암호화하도록 요구할 수 있습니다. 자세한 정보는 예: 암호를 암호화하기 위한 특정 AWS KMS 키 거부을 참조하세요.
비밀과 연결된 KMS 키를 찾으려면 콘솔에서 비밀번호를 보거나 또는 를 호출하십시오 ListSecrets. DescribeSecret 시크릿이 AWS 관리형 키 for Secrets Manager (aws/secretsmanager) 와 연결된 경우 이러한 작업은 KMS 키 식별자를 반환하지 않습니다.
무엇을 암호화하나요?
Secrets Manager는 암호 값을 암호화하지만 다음 항목은 암호화하지 않습니다.
-
보안 암호 이름 및 설명
-
교체 설정
-
보안 암호와 연결된 KMS 키의 ARN
-
첨부된 모든 태그 AWS
암호화 및 복호화 프로세스
Secrets Manager는 다음 프로세스에 따라 보안 암호의 보안 암호 값을 암호화합니다.
-
Secrets Manager는 암호의 KMS 키 ID와 256비트 AES 대칭 키를 요청하여 AWS KMS GenerateDataKey작업을 호출합니다. AWS KMS 일반 텍스트 데이터 키와 KMS 키로 암호화된 해당 데이터 키의 사본을 반환합니다.
-
Secrets Manager는 일반 텍스트 데이터 키와 고급 암호화 표준 (AES) 알고리즘을 사용하여 외부의 비밀 값을 암호화합니다. AWS KMS사용한 후에는 가능한 빨리 메모리에서 일반 텍스트 키를 제거합니다.
-
Secrets Manager는 보안 암호 값을 복호화할 수 있도록 보안 암호의 메타데이터에 암호화된 데이터 키를 저장합니다. 하지만 Secrets Manager API 중에서 어떤 것도 암호화된 보안 암호나 암호화된 데이터 키를 반환하지 않습니다.
암호화된 암호 값을 해독하려면:
-
AWS KMS Secrets Manager는 암호 해독 작업을 호출하고 암호화된 데이터 키를 전달합니다.
-
AWS KMS KMS 키를 암호로 사용하여 데이터 키를 해독합니다. 그런 다음 일반 텍스트 데이터 키를 반환합니다.
-
Secrets Manager는 일반 텍스트 데이터 키를 사용하여 보안 암호 값을 복호화합니다. 그런 다음 가능한 빨리 메모리에서 데이터 키를 제거합니다.
KMS 키에 대한 권한
Secrets Manager가 암호화 작업에서 KMS 키를 사용하는 경우 보안 암호 값에 액세스하거나 업데이트하는 사용자를 대신하여 KMS 키가 작동합니다. IAM 정책 또는 키 정책에서 권한을 부여할 수 있습니다. 다음과 같은 Secrets Manager 작업에는 AWS KMS 권한이 필요합니다.
Secrets Manager에서 시작된 요청에만 KMS 키를 사용하도록 허용하려면 권한 정책에서 kms: ViaService 조건 키를 값과 함께 사용할 수 있습니다. secretsmanager. <Region>.amazonaws.com
암호화 작업에 대한 KMS 키 사용 조건으로서 암호화 컨텍스트에서 키나 값을 사용할 수도 있습니다. 예를 들면 IAM 또는 키 정책 문서에서 문자열 조건 연산자를 사용하거나 권한 부여에서 권한 부여 제약을 사용할 수 있습니다. KMS 키 부여 전파에는 최대 5분이 걸릴 수 있습니다. 자세한 내용은 을 참조하십시오. CreateGrant
Secrets Manager에서 KMS 키를 사용하는 방법
Secrets Manager는 KMS 키를 사용하여 다음과 같은 AWS KMS 작업을 호출합니다.
- GenerateDataKey
-
AWS KMS GenerateDataKeySecrets Manager는 다음과 같은 Secrets Manager 작업에 대한 응답으로 작업을 호출합니다.
-
CreateSecret— 새 암호에 암호 값이 포함된 경우 Secrets Manager는 새 데이터 키를 요청하여 암호화합니다.
-
PutSecretValue— Secrets Manager는 지정된 비밀 값을 암호화하기 위해 새 데이터 키를 요청합니다.
-
ReplicateSecretToRegions— 복제된 암호를 암호화하기 위해 Secrets Manager는 복제본 리전의 KMS 키에 대한 데이터 키를 요청합니다.
-
UpdateSecret— 암호 값이나 KMS 키를 변경하는 경우 Secrets Manager는 새 데이터 키를 요청하여 새 암호 값을 암호화합니다.
이 RotateSecret작업은 비밀 값을 변경하지 않기 때문에
GenerateDataKey호출되지 않습니다. 하지만RotateSecret에서 호출하는 Lambda 함수가 보안 암호 값을 변경하는 경우PutSecretValue작업에 대한 호출로GenerateDataKey요청이 트리거됩니다. -
- Decrypt
-
Secrets Manager는 다음 Secrets Manager 작업에 대한 응답으로 Decrypt 작업을 호출합니다.
-
GetSecretValueand BatchGetSecretValue— Secrets Manager는 비밀 값을 호출자에게 반환하기 전에 암호를 해독합니다. 암호화된 비밀 값을 해독하기 위해 Secrets Manager는 AWS KMS 암호 해독 작업을 호출하여 암호에 있는 암호화된 데이터 키를 복호화합니다. 그런 다음, 일반 텍스트 데이터 키를 사용하여 암호화된 암호 값을 해독합니다. 배치 명령의 경우 Secrets Manager는 해독된 키를 재사용할 수 있으므로 일부 호출에서만
Decrypt요청이 발생합니다. -
PutSecretValue그리고 UpdateSecret— 대부분의 NAS
UpdateSecret요청은 작업을PutSecretValue트리거하지 않습니다.Decrypt하지만PutSecretValue또는UpdateSecret요청이 보안 암호의 기존 버전에서 보안 암호 값을 변경하려 할 경우 Secrets Manager는 기존 보안 암호 값을 복호화하고 요청의 보안 암호 값과 비교하여 동일한지 확인합니다. 이 작업을 통해 Secrets Manager 작업의 idempotent가 유지됩니다. 암호화된 비밀 값을 해독하기 위해 Secrets Manager는 AWS KMS 암호 해독 작업을 호출하여 암호에 있는 암호화된 데이터 키를 복호화합니다. 그런 다음, 일반 텍스트 데이터 키를 사용하여 암호화된 암호 값을 해독합니다. -
ReplicateSecretToRegions— Secrets Manager는 복제본 리전의 KMS 키를 사용하여 보안 값을 다시 암호화하기 전에 먼저 기본 리전의 보안 값을 복호화합니다.
-
- 암호화
-
Secrets Manager는 다음 Secrets Manager 작업에 대한 응답으로 Encrypt 작업을 호출합니다.
-
UpdateSecret— KMS 키를 변경하면 Secrets Manager는
AWSCURRENTAWSPREVIOUS, 및AWSPENDING비밀 버전을 보호하는 데이터 키를 새 키로 다시 암호화합니다. -
ReplicateSecretToRegions— Secrets Manager는 복제본 리전의 KMS 키를 사용하여 복제 중에 데이터 키를 다시 암호화합니다.
-
- DescribeKey
-
Secrets Manager는 사용자가 Secrets Manager 콘솔에서 시크릿을 생성하거나 편집할 때 KMS 키를 나열할지 여부를 결정하는 DescribeKey작업을 호출합니다.
- KMS 키에 대한 액세스 검증
-
보안 암호와 연결된 KMS 키를 설정하거나 변경할 때 Secrets Manager는 지정된 KMS 키를 사용하여
GenerateDataKey및Decrypt작업을 호출합니다. 이러한 호출은 발신자가 해당 작업에 대해 KMS 키를 사용할 수 있는 권한이 있는지 확인합니다. Secrets Manager는 이러한 작업의 결과를 무시하며, 암호화된 작업에서 사용하지 않습니다.이러한 요청에서는
SecretVersionId키 암호화 컨텍스트 값이RequestToValidateKeyAccess이므로 이와 같은 검증 호출을 식별할 수 있습니다.참고
예전에는 Secrets Manager 검증 호출에 암호화 컨텍스트가 포함되지 않았습니다. 이전 AWS CloudTrail 로그에서 암호화 컨텍스트가 없는 통화를 찾을 수 있습니다.
AWS 관리형 키
(aws/secretsmanager)의 키 정책
Secrets Manager (aws/secretsmanager) 의 AWS 관리형 키 키 정책은 Secrets Manager가 사용자를 대신하여 요청하는 경우에만 지정된 작업에 KMS 키를 사용할 권한을 사용자에게 부여합니다. 키 정책에서는 사용자가 KMS 키를 직접 사용하도록 허용하지 않습니다.
이 키 정책은 모든 AWS 관리형 키의 정책처럼 서비스에 의해 설정됩니다. 키 정책은 변경할 수 없지만 언제든지 볼 수 있습니다. 자세한 내용은 키 정책 보기를 참조하세요.
키 정책의 정책 설명문은 다음 효과를 갖습니다.
-
계정 내 사용자가 Secrets Manager를 통해 대신 요청할 때만 암호화 작업에 대해 KMS 키를 사용할 수 있도록 합니다.
kms:ViaService조건 키는 이 제한을 강제 적용합니다. -
사용자가 KMS 키 속성을 보고 권한 부여를 취소할 수 있도록 허용하는 IAM 정책을 해당 AWS 계정에서 생성할 수 있도록 허용합니다.
-
Secrets Manager는 권한 부여를 사용하여 KMS 키에 대한 액세스 권한을 얻지는 않지만 정책은 Secrets Manager로 하여금 사용자를 대신하여 KMS 키에 대한 권한 부여를 생성하도록 하고 계정으로 하여금 Secrets Manager가 KMS 키를 사용하도록 허용하는 모든 권한 부여를 취소하도록 합니다. 이러한 정책은 AWS 관리형 키용 정책 문서의 표준 요소입니다.
다음은 Secrets Manager의 예제를 AWS 관리형 키 위한 주요 정책입니다.
{ "Id": "auto-secretsmanager-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager", "Effect": "Allow", "Principal": { "AWS": [ "*" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "111122223333", "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com" } } }, { "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager", "Effect": "Allow", "Principal": { "AWS": [ "*" ] }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "111122223333" }, "StringLike": { "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }
Secrets Manager 보안 암호 컨텍스트
암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하면 암호화 컨텍스트가 암호화된 데이터에 AWS KMS 암호화된 방식으로 바인딩됩니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
Secrets Manager는 다음 GenerateDataKey예와 같이 Secrets Manager와 암호 해독 요청에서 암호와 버전을 식별하는 두 개의 이름-값 쌍이 있는 암호화 컨텍스트를 사용합니다. AWS KMS이름은 달라지지 않지만, 결합된 암호화 컨텍스트 값은 각 암호 값마다 다릅니다.
"encryptionContext": { "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3", "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1" }
암호화 컨텍스트를 사용하여 감사 기록 및 로그 (예: Amazon CloudWatch Logs) 에서 이러한 암호화 작업을 식별하고 정책 및 권한 부여의 승인 조건으로 사용할 수 있습니다. AWS CloudTrail
Secrets Manager 암호화 컨텍스트는 이름-값 페어 두 개로 구성됩니다.
-
SecretARN - 첫 번째 이름-값 페어는 보안 암호를 식별합니다. 키는
SecretARN입니다. 이 값은 암호의 Amazon 리소스 이름(ARN)입니다."SecretARN": "ARN of an Secrets Manager secret"예를 들어, 보안 암호 ARN이
arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3이면 암호화 컨텍스트는 다음 페어를 포함합니다."SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3" -
SecretVersionId— 두 번째 이름-값 쌍은 암호의 버전을 식별합니다. 키는
SecretVersionId입니다. 이 값은 버전 ID입니다."SecretVersionId": "<version-id>"예를 들어, 보안 암호의 버전 ID가
EXAMPLE1-90ab-cdef-fedc-ba987SECRET1이면 암호화 컨텍스트에는 다음 페어가 포함됩니다."SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
암호에 대한 KMS 키를 설정하거나 변경하면 Secrets Manager는 요청을 GenerateDataKey보내고 암호 AWS KMS 해독하여 호출자가 이러한 작업에 KMS 키를 사용할 권한이 있는지 확인합니다. 응답을 무시하므로 암호 값에 응답을 사용하지 않습니다.
이러한 검증 요청에서 SecretARN의 값은 암호의 실제 ARN이지만, SecretVersionId 값은 다음 예시 암호화 컨텍스트에서 나와 있는 것처럼 RequestToValidateKeyAccess입니다. 이 특수 값은 로그 및 감사 내역에서 검증 요청을 식별하는 데 도움이 됩니다.
"encryptionContext": { "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3", "SecretVersionId": "RequestToValidateKeyAccess" }
참고
예전에는 Secrets Manager 검증 호출에 암호화 컨텍스트가 포함되지 않았습니다. 이전 로그에서 암호화 컨텍스트가 없는 통화를 찾을 수 있습니다. AWS CloudTrail
Secrets Manager와의 상호 작용을 모니터링하십시오. AWS KMS
Amazon CloudWatch Logs를 사용하여 AWS CloudTrail Secrets Manager가 사용자를 AWS KMS 대신하여 보내는 요청을 추적할 수 있습니다. 보안 암호 사용 모니터링에 대한 자세한 내용은 모니터 AWS Secrets Manager 시크릿 섹션을 참조하세요.
- GenerateDataKey
-
시크릿에서 시크릿 값을 생성하거나 변경하면 Secrets Manager는 시크릿의 KMS 키를 AWS KMS 지정하는 GenerateDataKey요청을 보냅니다.
GenerateDataKey작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 이 요청은secretsmanager.amazonaws.com에 의해 호출됩니다. 파라미터로는 보안 암호용 KMS 키의 Amazon 리소스 이름(ARN), 256비트 키를 요구하는 키 지정자, 그리고 보안 암호와 버전을 식별하는 암호화 컨텍스트가 있습니다.{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AROAIGDTESTANDEXAMPLE:user01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-05-31T23:23:41Z" } }, "invokedBy": "secretsmanager.amazonaws.com" }, "eventTime": "2018-05-31T23:23:41Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-east-2", "sourceIPAddress": "secretsmanager.amazonaws.com", "userAgent": "secretsmanager.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "keySpec": "AES_256", "encryptionContext": { "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3", "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1" } }, "responseElements": null, "requestID": "a7d4dd6f-6529-11e8-9881-67744a270888", "eventID": "af7476b6-62d7-42c2-bc02-5ce86c21ed36", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } - Decrypt
-
암호의 보안 값을 가져오거나 변경하면 Secrets Manager는 암호화된 데이터 키를 복호화하기 AWS KMS 위해 암호 해독 요청을 에 보냅니다. 배치 명령의 경우 Secrets Manager는 해독된 키를 재사용할 수 있으므로 일부 호출에서만
Decrypt요청이 발생합니다.Decrypt작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 테이블에 액세스하는 AWS 계정의 보안 주체입니다. 매개변수에는 암호화된 테이블 키 (암호문 블럽) 와 테이블과 계정을 식별하는 암호화 컨텍스트가 포함됩니다. AWS AWS KMS 암호문에서 KMS 키의 ID를 가져옵니다.{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AROAIGDTESTANDEXAMPLE:user01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-05-31T23:36:09Z" } }, "invokedBy": "secretsmanager.amazonaws.com" }, "eventTime": "2018-05-31T23:36:09Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-2", "sourceIPAddress": "secretsmanager.amazonaws.com", "userAgent": "secretsmanager.amazonaws.com", "requestParameters": { "encryptionContext": { "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3", "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1" } }, "responseElements": null, "requestID": "658c6a08-652b-11e8-a6d4-ffee2046048a", "eventID": "f333ec5c-7fc1-46b1-b985-cbda13719611", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } - 암호화
-
암호와 연결된 KMS 키를 변경하면 Secrets Manager는 새 키로
AWSCURRENTAWSPREVIOUS, 및AWSPENDING비밀 버전을 다시 암호화하라는 AWS KMS 암호화 요청을 에 보냅니다. 보안 암호를 다른 리전에 복제하는 경우에도 Secrets Manager가 AWS KMS로 암호화 요청을 보냅니다.Encrypt작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 테이블에 액세스하는 AWS 계정의 보안 주체입니다.{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AROAIGDTESTANDEXAMPLE:user01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "creationDate": "2023-06-09T18:11:34Z", "mfaAuthenticated": "false" } }, "invokedBy": "secretsmanager.amazonaws.com" }, "eventTime": "2023-06-09T18:11:34Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "us-east-2", "sourceIPAddress": "secretsmanager.amazonaws.com", "userAgent": "secretsmanager.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc", "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:ChangeKeyTest-5yKnKS", "SecretVersionId": "EXAMPLE1-5c55-4d7c-9277-1b79a5e8bc50" } }, "responseElements": null, "requestID": "129bd54c-1975-4c00-9b03-f79f90e61d60", "eventID": "f7d9ff39-15ab-47d8-b94c-56586de4ab68", "readOnly": true, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
