Registrar em log chamadas de API do AWS KMS com o AWS CloudTrail - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrar em log chamadas de API do AWS KMS com o AWS CloudTrail

AWS KMSé integrado com AWS CloudTrail, um serviço que registra todas as chamadas feitas AWS KMS por usuários, funções e outros AWS serviços. CloudTrail captura todas as chamadas de API para AWS KMS como eventos, incluindo chamadas do AWS KMS console, AWS KMS APIs, AWS CloudFormation modelos, o AWS Command Line Interface (AWS CLI) e. AWS Tools for PowerShell

CloudTrail registra todas as AWS KMS operações, incluindo operações somente para leitura, como ListAliasese GetKeyRotationStatus, operações que gerenciam chaves KMS, como e, CreateKeye operações criptográficas PutKeyPolicy, como e Decrypt. GenerateDataKey Ele também registra operações internas que AWS KMS chamam por você DeleteExpiredKeyMaterial, como DeleteKeySynchronizeMultiRegionKey,, RotateKeye.

CloudTrail registra operações bem-sucedidas e tentativas de chamadas que falharam, como quando o chamador não tem acesso a um recurso. As operações entre contas em chaves do KMS são registradas em log na conta do autor da chamada e na conta do proprietário da chave do KMS. No entanto, as solicitações do AWS KMS entre contas que são rejeitadas porque o acesso foi negado só são registradas na conta do chamador.

Por motivos de segurança, alguns campos são omitidos das entradas de AWS KMS registro, como o Plaintext parâmetro de uma solicitação Encrypt e a resposta GetKeyPolicyou qualquer operação criptográfica. Para facilitar a pesquisa de entradas de CloudTrail registro para chaves KMS específicas, AWS KMS adiciona o ARN da chave KMS afetada ao responseElements campo nas entradas de registro de AWS KMS algumas operações de gerenciamento de chaves, mesmo quando a operação da API não retorna o ARN da chave.

Embora, por padrão, todas AWS KMS as ações sejam registradas como CloudTrail eventos, você pode excluir AWS KMS ações de uma CloudTrail trilha. Para obter detalhes, consulte Excluir eventos do AWS KMS de uma trilha.

Saiba mais:

Registrando eventos em CloudTrail

CloudTrail é ativado no seu Conta da AWS quando você cria a conta. Quando a atividade ocorre emAWS KMS, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no histórico de eventos. Você pode exibir, pesquisar e baixar eventos recentes em sua Conta da AWS. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.

Para obter um registro contínuo de eventos na sua Conta da AWS, incluindo eventos para o AWS KMS, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na partição da AWS e entrega os arquivos de log no bucket do Amazon S3 que você especificou Além disso, você pode configurar outros Serviços da AWS para analisar e agir com base nos dados do evento coletados nos CloudTrail registros. Para obter mais informações, consulte:

Para saber mais sobre isso CloudTrail, consulte o Guia AWS CloudTrail do usuário. Para ver outras maneiras de monitorar o uso das suas chaves do KMS, consulte Como monitorar o AWS KMS keys.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

  • Se a solicitação foi realizada com credenciais raiz ou as credenciais de um usuário do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi realizada por outro AWS service (Serviço da AWS).

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

Pesquisando eventos em CloudTrail

Para pesquisar entradas de CloudTrail registro, use o CloudTrail console ou a CloudTrail LookupEventsoperação. CloudTrail suporta vários valores de atributos para filtrar sua pesquisa, incluindo nome do evento, nome do usuário e fonte do evento.

Para ajudá-lo a pesquisar entradas de AWS KMS registro em CloudTrail, AWS KMS preenche os seguintes campos de entrada de CloudTrail registro.

nota

Desde de dezembro de 2022, o AWS KMS preenche os atributos Resource type (Tipo de recurso) e Resource name (Nome do recurso) em todas as operações de gerenciamento que alteram uma chave do KMS específica. Esses valores de atributos podem ser nulos em CloudTrail entradas mais antigas para as seguintes operações: CreateAliasCreateGrantDeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias, e. UpdatePrimaryRegion

Atributo Valor Entradas de log
Origem do evento (EventSource) kms.amazonaws.com Todas as operações.
Tipo de recurso (ResourceType) AWS::KMS::Key Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys.
Nome do recurso (ResourceName) ARN da chave (ou ID da chave e ARN da chave) Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys.

Para ajudar a encontrar entradas de log para operações de gerenciamento em chaves do KMS específicas, o AWS KMS registra o ARN da chave do KMS afetada no elemento responseElements.keyId da entrada de log, mesmo quando a operação da API do AWS KMS não retorna o ARN da chave.

Por exemplo, uma chamada bem-sucedida para a DisableKeyoperação não retorna nenhum valor na resposta, mas em vez de um valor nulo, o responseElements.keyId valor na entrada do DisableKey registro inclui o ARN da chave KMS desativada.

Esse recurso foi adicionado em dezembro de 2022 e afeta as seguintes entradas de CloudTrail registro: CreateAliasCreateGrantDeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias,, UpdatePrimaryRegione.

Excluir eventos do AWS KMS de uma trilha

Para fornecer um registro do uso e gerenciamento de seus AWS KMS recursos, a maioria dos AWS KMS usuários confia nos eventos em uma CloudTrail trilha. Essa trilha pode ser uma fonte de dados valiosa para auditar eventos críticos, como criar, desabilitar e excluir AWS KMS keys, alterar a política de chaves e o uso das chaves do KMS pelos serviços da AWS em seu nome. Em alguns casos, os metadados em uma entrada de CloudTrail registro, como o contexto de criptografia em uma operação de criptografia, podem ajudá-lo a evitar ou resolver erros.

No entanto, como o AWS KMS pode gerar um grande número de eventos, o AWS CloudTrail permite excluir eventos do AWS KMS de uma trilha. Essa configuração por trilha exclui todos os eventos do AWS KMS; não é possível excluir eventos específicos do AWS KMS.

Atenção

A exclusão de AWS KMS eventos de um CloudTrail registro pode obscurecer ações que usam suas chaves KMS. Tenha cuidado ao conceder aos principais a permissão cloudtrail:PutEventSelectors que é necessária para executar essa operação.

Para excluir eventos do AWS KMS de uma trilha:

É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. Então, a trilha começará a gravar os eventos do AWS KMS. No entanto, ela não pode recuperar eventos do AWS KMS que ocorreram enquanto a exclusão estava em vigor.

Quando você exclui AWS KMS eventos usando o console ou a API, a operação de CloudTrail PutEventSelectors API resultante também é registrada nos seus CloudTrail registros. Se AWS KMS os eventos não aparecerem nos seus CloudTrail registros, procure um PutEventSelectors evento com o ExcludeManagementEventSources atributo definido comokms.amazonaws.com.