Registrar em log chamadas de API do AWS KMS com o AWS CloudTrail - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrar em log chamadas de API do AWS KMS com o AWS CloudTrail

AWS KMSO é integrado aoAWS CloudTrail, um serviço que registra todas as chamadas paraAWS KMSpor usuários, funções e outrosAWSServiços da . O CloudTrail captura todas as chamadas de API paraAWS KMSComo eventos, incluindo chamadas doAWS KMSconsole do,AWS KMSAPIs, oAWS Command Line Interface(AWS CLI), eAWS Tools for PowerShell.

CloudTrail registra todosAWS KMS, incluindo operações somente leitura, comoListAliaseseGetKeyRotationStatus, operações que gerenciam CMKs, comoCreateKeyePutKeyPolicy, eoperações de criptografia, por exemplo,GenerateDataKeyeDecrypt.

O CloudTrail registra em log operações bem-sucedidas e tentativas de chamadas que falharam, como quando o acesso a um recurso é negado ao chamador. Operações noCMKs em outras contasO são registrados na conta do chamador e na conta do proprietário do CMK.

Por motivos de segurança, alguns campos são omitidos das entradas de log do AWS KMS, como o parâmetro Plaintext de uma solicitação de criptografia e a resposta a GetKeyPolicy ou a qualquer operação de criptografia.

Embora, por padrão, todos osAWS KMSsão registradas como eventos do CloudTrail, você pode excluirAWS KMSAções de uma trilha do CloudTrail. Para obter mais detalhes, consulte Excluir eventos do AWS KMS de uma trilha.

Registro de eventos no CloudTrail

O CloudTrail está ativado no seu Conta da AWS Ao criar a conta. Quando a atividade ocorre emAWS KMSEssa atividade é registrada em um evento do CloudTrail junto com outrasAWSEventos de serviço noHistórico do evento. Você pode visualizar, pesquisar e fazer download de eventos recentes no seu Conta da AWS . Para mais informações, consulte Visualizar eventos com o histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos no seu Conta da AWS , incluindo eventos paraAWS KMS, crie uma trilha. Uma trilha permite CloudTrail para fornecer arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilha registra eventos de todas as regiões noAWSe fornece os arquivos de log para o bucket do Amazon S3 especificado por você. Além disso, você pode configurar outrasAWSPara analisar e atuar mais profundamente sobre os dados de eventos coletados nos logs do CloudTrail. Para obter informações, consulte:

Para saber mais sobre o CloudTrail, consulte oAWS CloudTrailGuia do usuário. Para ver outras maneiras de monitorar o uso das CMKs, consulte Monitorar chaves mestras do cliente.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

  • Se a solicitação foi feita com credenciais de usuário da raiz ou do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

Excluir eventos do AWS KMS de uma trilha

MostAWS KMSOs usuários do dependem dos eventos em uma trilha do CloudTrail para fornecer um registro do uso e gerenciamento de suasAWS KMSrecursos da AWS. A trilha pode ser uma fonte valiosa de dados para auditar eventos críticos, como criar, desativar e excluir chaves mestres do cliente (CMKs), alterar a política de chaves e o uso das CMKs por serviços da AWS em seu nome. Em alguns casos, os metadados em uma entrada de log do CloudTrail, como acontexto de criptografiaEm uma operação de criptografia, o pode ajudar a evitar ou a resolver erros.

No entanto, como o AWS KMS pode gerar um grande número de eventos, o AWS CloudTrail permite excluir eventos do AWS KMS de uma trilha. Essa configuração por trilha exclui todos os eventos do AWS KMS; não é possível excluir eventos específicos do AWS KMS.

Atenção

ExcluiAWS KMSA partir de um log do CloudTrail pode obscurecer ações que usam as CMKs. Tenha cuidado ao conceder aos principais a permissão cloudtrail:PutEventSelectors que é necessária para executar essa operação.

Para excluir eventos do AWS KMS de uma trilha:

É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. Então, a trilha começará a gravar os eventos do AWS KMS. No entanto, ela não pode recuperar eventos do AWS KMS que ocorreram enquanto a exclusão estava em vigor.

Quando você excluiAWS KMSUsando o console ou a API, o CloudTrail doPutEventSelectorsA operação da API também é registrada no CloudTrail Logs. SeAWS KMSOs eventos do não aparecerem no seu CloudTrail Logs, procure umaPutEventSelectorsEvento com oExcludeManagementEventSourcesatributo definido comokms.amazonaws.com.