Registrar em log chamadas de API do AWS KMS com o AWS Clou - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrar em log chamadas de API do AWS KMS com o AWS Clou

O AWS KMS é integrado aoAWS CloudTrail, um serviço que registra todas as chamadas para o AWS KMS por usuários, funções e outros serviços da AWS. O CloudTrail captura todas as chamadas de API para o AWS KMS como eventos, incluindo chamadas do console do AWS KMS, das APIs do AWS KMS, da Interface da Linha de Comando da AWS (CLI da AWS) e das ferramentas da AWS Tools para PowerShell.

O CloudTrail registra todas as operações do AWS KMS, incluindo operações somente leitura, como oListAliaseseGetKeyRotationStatus, operações que gerenciam CMKs, comoCreateKeyePutKeyPolicy, eoperações de criptografia, por exemplo,GenerateDataKeyeDecrypt.

O CloudTrail registra em log operações bem-sucedidas e tentativas de chamadas que falharam, como quando o acesso a um recurso é negado ao chamador. Operações emCMKs em outras contasO são registrados na conta do chamador e na conta do proprietário da CMK.

Por motivos de segurança, alguns campos são omitidos das entradas de log do AWS KMS, como oPlaintextparâmetro de umEncrypte a resposta aGetKeyPolicyou qualquer operação criptográfica.

Embora, por padrão, todas as ações do AWS KMS sejam registradas como eventos do CloudTrail, você pode excluir ações do AWS KMS de uma trilha do CloudTrail. Para obter mais detalhes, consulte Excluir eventos do AWS KMS de uma trilha.

Registrando eventos no CloudTrail

O CloudTrail é habilitado em sua conta da AWS quando ela é criada. Quando ocorre atividade no AWS KMS, essa atividade é registrada em um evento do CloudTrail junto com outros eventos de serviços da AWS emHistórico do evento. Você pode visualizar, pesquisar e fazer download de eventos recentes em sua conta da AWS. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos em sua conta da AWS, incluindo eventos do AWS KMS, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilha registra em log eventos de todas as regiões na partição da AWS e entrega os arquivos de log para o bucket do Amazon S3 especificado por você. Além disso, você pode configurar outros serviços da AWS para analisar mais profundamente e agir sobre os dados de eventos coletados nos logs do CloudTrail. Para obter mais informações, consulte:

Para saber mais sobre o CloudTrail, consulte o Guia do usuário do AWS CloudTrail. Para ver outras maneiras de monitorar o uso das CMKs, consulte Monitorar chaves mestras do cliente.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

  • Se a solicitação foi feita com credenciais de usuário raiz ou do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte o Elemento userIdentity do CloudTrail.

Excluir eventos do AWS KMS de uma trilha

A maioria dos usuários do AWS KMS dependem dos eventos de uma trilha do CloudTrail para fornecer um registro do uso e do gerenciamento de seus recursos do AWS KMS. A trilha pode ser uma fonte valiosa de dados para auditar eventos críticos, como criar, desativar e excluir chaves mestres do cliente (CMKs), alterar a política de chaves e o uso das CMKs da AWS em seu nome. Em alguns casos, os metadados em uma entrada de log do CloudTrail, como oContexto de criptografia doEm uma operação de criptografia, o pode ajudar a evitar ou a resolver erros.

No entanto, como o AWS KMS pode gerar um grande número de eventos, o AWS CloudTrail permite excluir eventos do AWS KMS de uma trilha. Essa configuração por trilha exclui todos os eventos do AWS KMS; não é possível excluir eventos específicos do AWS KMS.

Atenção

Excluir eventos do AWS KMS de um log do CloudTrail pode obscurecer ações que usam as CMKs. Tenha cuidado ao conceder aos principais a permissão cloudtrail:PutEventSelectors que é necessária para executar essa operação.

Para excluir eventos do AWS KMS de uma trilha:

É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. Em seguida, a trilha começará a gravar eventos do AWS KMS. No entanto, ela não pode recuperar eventos do AWS KMS do que ocorreram enquanto a exclusão estava em vigor.

Ao excluir eventos do KMS usando o console ou a CloudTrail, oPutEventSelectorsA operação da API também é registrada no CloudTrail Logs. Se os eventos do KMS não aparecerem no CloudTrail Logs, procure umaPutEventSelectorsEvento com oExcludeManagementEventSourcesatributo definido comokms.amazonaws.com.