使用 AWS KMS 记录 AWS CloudTrail API 调用 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS KMS 记录 AWS CloudTrail API 调用

AWS KMS 与 集成,后者是一项服务,它记录用户、角色和其他 AWS CloudTrail 服务对 AWS KMS AWS的所有调用。 将对 的所有 API 调用CloudTrail作为事件AWS KMS捕获,包括来自 AWS KMS 控制台、 AWS KMS APIs、 AWS Command Line Interface (AWS CLI) 和 的调用适用于 PowerShell 的 AWS 工具。

CloudTrail 记录所有 AWS KMS 操作,包括只读操作(如 ListAliasesGetKeyRotationStatus管理 的操作CMKs(如 CreateKeyPutKeyPolicy以及加密操作(如 GenerateDataKey Decrypt)。

CloudTrail 记录成功的操作和尝试的失败调用,例如,在拒绝调用方访问资源时。其他账户CMKs中的 操作将记录在调用方的 账户和 CMK 所有者的 账户中。

出于安全原因AWS KMS,日志条目中省略了一些字段,例如 PlaintextEncrypt 请求的 参数以及 GetKeyPolicy 或任何加密操作的响应。

尽管默认情况下,所有 AWS KMS 操作都记录为 CloudTrail 事件,但您可以从 AWS KMS 跟踪中排除 CloudTrail 操作。有关详细信息,请参阅 从跟踪中排除 AWS KMS 事件

在 中记录事件 CloudTrail

在您创建 CloudTrail 账户时,即针对该账户启用了 AWS。AWS KMS 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他 AWS 服务事件一同保存在 Event history (事件历史记录) 中。您可以在 AWS 账户中查看、搜索和下载最新事件。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

要持续记录 AWS 账户中的事件(包括 AWS KMS 的事件),请创建跟踪。通过跟踪,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪时,此跟踪应用于所有区域。此跟踪在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。有关更多信息,请参阅:

要了解有关 CloudTrail 的更多信息,请参阅 AWS CloudTrail User Guide。要了解监控 使用情况的其他方法CMKs,请参阅监控客户主密钥

每个事件或日志条目都包含有关生成请求的人员的信息。身份信息帮助您确定以下内容:

  • 请求是使用根用户凭证还是 IAM 用户凭证发出的。

  • 请求是使用角色还是联合身份用户的临时安全凭证发出的。

  • 请求是否由其他 AWS 服务发出。

有关更多信息,请参阅 CloudTrail userIdentity 元素

从跟踪中排除 AWS KMS 事件

大多数 AWS KMS 用户依靠 CloudTrail 跟踪中的事件来提供其 AWS KMS 资源的使用和管理记录。跟踪可以是审核关键事件的宝贵数据源,例如创建、禁用和删除 客户主密钥 (CMKs)、更改密钥策略以及 CMKs AWS 服务代表您使用 。在某些情况下,CloudTrail 日志条目中的元数据(如加密操作中的加密上下文)可以帮助您避免或解决错误。

但是,由于 AWS KMS 可以生成大量事件,因此 AWS CloudTrail 允许您从跟踪中排除 AWS KMS 事件。此按跟踪设置会排除所有 AWS KMS 事件。您不能排除特定 AWS KMS 事件。

警告

从AWS KMS日志中排除CloudTrail事件可能会掩盖使用 的操作CMKs。请谨慎赋予委托人执行此操作所需的 cloudtrail:PutEventSelectors 权限。

要从跟踪中排除 AWS KMS 事件,请执行以下操作:

您可以随时更改控制台设置或跟踪的事件选择器,以禁用此排除。随后,跟踪将开始记录 AWS KMS 事件。但是,它无法恢复在排除生效期间发生的 AWS KMS 事件。

使用控制台或 API 排除 KMS 事件时,生成的 CloudTrail PutEventSelectors API 操作也会记录在 CloudTrail 日志中。如果 KMS 事件未显示在 CloudTrail 日志中,请查找 PutEventSelectors 属性设置为 ExcludeManagementEventSourceskms.amazonaws.com 事件。