Registrar em log chamadas da API do AWS KMS com o AWS CloudTrail - AWS Key Management Service

Registrar em log chamadas da API do AWS KMS com o AWS CloudTrail

O AWS KMSestá integrado aoAWS CloudTrail, um serviço que registra todas as chamadas parao AWS KMSpor usuários, funções e outros serviços da AWS. O CloudTrail captura todas as chamadas de API para o AWS KMS como eventos, incluindo chamadas do console do AWS KMS, APIs do AWS KMS, o AWS Command Line Interface (AWS CLI) e o AWS Tools for PowerShell.

O CloudTrail registra todas as operações do AWS KMS, incluindo operações somente leitura, como ListAliases e GetKeyRotationStatus, operações que gerenciam chaves do KMS, como CreateKey e PutKeyPolicy, e operações de criptografia, como GenerateDataKey e https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.htmlDecrypt.

O CloudTrail registra operações bem-sucedidas e tentativas de chamadas que falharam, como quando o autor da chamada não tem acesso a um recurso. As operações em chaves do KMS em outras contas são registradas em log na conta do autor da chamada e na conta do proprietário da chaves do KMS.

Por motivos de segurança, alguns campos são omitidos das entradas de log do AWS KMS, como o parâmetro Plaintext de uma solicitação de criptografia e a resposta a GetKeyPolicy ou a qualquer operação de criptografia.

Embora, por padrão, todas as ações do AWS KMS sejam registradas como eventos do CloudTrail, é possível excluir ações do AWS KMS de uma trilha do CloudTrail. Para obter mais detalhes, consulte Excluir eventos do AWS KMS de uma trilha.

Registrar eventos no CloudTrail

O CloudTrail é habilitado em sua Conta da AWS quando ela é criada. Quando ocorre uma atividade no AWS KMS, ela é registrada em um evento do CloudTrail junto com outros eventos de serviços da AWS em Event history (Histórico de eventos). Você pode visualizar, pesquisar e fazer download de eventos recentes em sua Conta da AWS. Para mais informações, consulte Visualizar eventos com o histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos na sua Conta da AWS, incluindo eventos para o AWS KMS, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilha registra em log eventos de todas as regiões na partição da AWS e entrega os arquivos de log para o bucket do Amazon S3 especificado por você. Além disso, você pode configurar outros produtos da AWS para analisar mais profundamente e agir sobre os dados de eventos coletados nos logs do CloudTrail. Para obter mais informações, consulte:

Para saber mais sobre o CloudTrail, consulte o Guia do usuário do AWS CloudTrail CloudTrail). Para ver outras maneiras de monitorar o uso das suas chaves do KMS, consulte Monitorar o AWS KMS keys.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

  • Se a solicitação foi feita com credenciais de usuário raiz ou do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte o Elemento userIdentity do CloudTrail.

Excluir eventos do AWS KMS de uma trilha

A maioria dos usuários do AWS KMS depende dos eventos de uma trilha do CloudTrail para fornecer um registro de uso e gerenciamento dos seus recursos do AWS KMS. Essa trilha pode ser uma fonte de dados valiosa para auditar eventos críticos, como criar, desabilitar e excluir AWS KMS keys, alterar a política de chaves e o uso das chaves do KMS pelos serviços da AWS em seu nome. Em alguns casos, os metadados em uma entrada de log do CloudTrail, como o contexto de criptografia em uma operação de criptografia, podem ajudar a evitar ou resolver erros.

No entanto, como o AWS KMS pode gerar um grande número de eventos, o AWS CloudTrail permite excluir eventos do AWS KMS de uma trilha. Essa configuração por trilha exclui todos os eventos do AWS KMS; não é possível excluir eventos específicos do AWS KMS.

Atenção

A exclusão de eventos do AWS KMS de um log do CloudTrail pode obscurecer ações que usam as suas chaves do KMS. Tenha cuidado ao conceder aos principais a permissão cloudtrail:PutEventSelectors que é necessária para executar essa operação.

Para excluir eventos do AWS KMS de uma trilha:

É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. Então, a trilha começará a gravar os eventos do AWS KMS. No entanto, ela não pode recuperar eventos do AWS KMS que ocorreram enquanto a exclusão estava em vigor.

Quando você exclui eventos do AWS KMS usando o console ou a API, a operação resultante da API PutEventSelectors do CloudTrail também é registrada no CloudTrail Logs. Se eventos do AWS KMS não aparecem no CloudTrail Logs, procure um evento PutEventSelectors com o atributo ExcludeManagementEventSources definido como kms.amazonaws.com.