Registro em log de chamadas à API do AWS KMS com o AWS CloudTrail - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registro em log de chamadas à API do AWS KMS com o AWS CloudTrail

O AWS KMS é integrado ao AWS CloudTrail, um serviço que registra todas as chamadas ao AWS KMS por usuários, funções e outros serviços da AWS. O CloudTrail captura todas as chamadas de API ao AWS KMS como eventos, incluindo as chamadas do console do AWS KMS, do AWS KMS APIs, do AWS Command Line Interface (AWS CLI) e do AWS Tools para PowerShell.

O CloudTrail AWS KMS registra em log todas as operações do , incluindo operações somente leitura, como ListAliases e GetKeyRotationStatus, operações que gerenciam CMKs, como CreateKey e PutKeyPolicy, e operações criptográficas, como e GenerateDataKeyDecrypt.https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html

O CloudTrail registra em log operações bem-sucedidas e tentativas de chamadas que falharam, como quando o acesso a um recurso é negado ao chamador. As operações em CMKs em outras contas são registradas em log na conta do chamador e na conta do proprietário da CMK.

Por motivos de segurança, alguns campos são omitidos das entradas de log do AWS KMS, como o parâmetro Plaintext de uma solicitação Encrypt e a resposta a GetKeyPolicy ou qualquer operação criptográfica.

Embora, por padrão, todas as ações do AWS KMS sejam registradas como eventos do CloudTrail, é possível excluir ações do AWS KMS de uma trilha do CloudTrail. Para obter mais detalhes, consulte Excluir eventos do AWS KMS de uma trilha.

Registrar eventos do CloudTrail em log

O CloudTrail está habilitado na sua conta da AWS ao criá-la. Quando ocorre uma atividade no AWS KMS, ela é registrada em um evento do CloudTrail junto com outros eventos de serviços da AWS em Event history (Histórico de eventos). Você pode visualizar, pesquisar e fazer download de eventos recentes em sua conta da AWS. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos na sua conta da AWS, incluindo eventos para o AWS KMS, crie uma trilha. Uma trilha permite CloudTrail para fornecer arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilha registra eventos em log de todas as regiões na partição da AWS e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, é possível configurar outros serviços da AWS para analisar mais profundamente e agir sobre os dados de evento coletados nos logs do CloudTrail. Para obter mais informações, consulte:

Para saber mais sobre o CloudTrail, consulte o AWS CloudTrail User Guide. Para ver outras maneiras de monitorar o uso das CMKs, consulte Monitorar o chaves mestras do cliente.

Cada evento ou entrada no log contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

  • Se a solicitação foi feita com credenciais de usuário da raiz ou do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte Elemento do CloudTrail userIdentity.

Excluir eventos do AWS KMS de uma trilha

A maioria dos usuários do AWS KMS dependem dos eventos de uma trilha do CloudTrail para fornecer um registro de uso e gerenciamento de seus recursos do AWS KMS. A trilha pode ser uma fonte de dados valiosa para auditar eventos críticos, como criar, desabilitar e excluir chaves mestras do cliente (CMKs), alterar a política de chaves e o uso das CMKs por serviços da AWS em seu nome. Em alguns casos, os metadados em uma entrada de log do CloudTrail, como o contexto de criptografia em uma operação de criptografia, podem ajudar a evitar ou a resolver erros.

No entanto, como o AWS KMS pode gerar um grande número de eventos, o AWS CloudTrail permite excluir eventos do AWS KMS de uma trilha. Essa configuração por trilha exclui todos os eventos do AWS KMS; não é possível excluir eventos específicos do AWS KMS.

Atenção

A exclusão de eventos do AWS KMS de um log do CloudTrail pode obscurecer ações que usam as CMKs. Tenha cuidado ao conceder aos principais a permissão cloudtrail:PutEventSelectors que é necessária para executar essa operação.

Para excluir eventos do AWS KMS de uma trilha:

É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. Então, a trilha começará a gravar os eventos do AWS KMS. No entanto, ela não pode recuperar eventos do AWS KMS que ocorreram enquanto a exclusão estava em vigor.

Ao excluir eventos do KMS usando o console ou a API, a operação de API PutEventSelectors do CloudTrail também é registrada nos logs do CloudTrail. Se os eventos do KMS não aparecerem nos logs do CloudTrail, procure um evento PutEventSelectors com o atributo ExcludeManagementEventSources definido como kms.amazonaws.com.