Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Überwachen von Verschlüsselungsschlüsseln Amazon Chime SDK Voice Connectors senden Anfragen an AWS KMS, und Sie können diese Anfragen in CloudTrail oder CloudWatch Protokollen verfolgen. ------ #### [ CreateGrant ] Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, um eine Sprachprofil-Domain-Ressource zu erstellen, sendet der zugehörige Voice Connector in Ihrem Namen eine `CreateGrant` Anfrage, um auf den KMS-Schlüssel in Ihrem AWS Konto zuzugreifen. Der Zuschuss, den der Voice Connector gewährt, ist spezifisch für die Ressource, die dem vom Kunden verwalteten Schlüssel zugeordnet ist. Der Voice Connector verwendet den `RetireGrant` Vorgang auch, um einen Zuschuss zu entfernen, wenn Sie eine Ressource löschen. Im folgenden Beispiel wird ein `CreateGrant` Vorgang aufgezeichnet. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "accessKeyId": "{{AKIAIOSFODNN7EXAMPLE3}}", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "{{2021-04-22T17:02:00Z}}" } }, "invokedBy": "AWS Internal" }, "eventTime": "{{2021-04-22T17:07:02Z}}", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "constraints": { "encryptionContextSubset": { "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:{{111122223333}}:voice-profile-domain/sample-domain-id" } }, "retiringPrincipal": "chimevoiceconnector.region.amazonaws.com", "operations": [ "GenerateDataKey", "Decrypt", "DescribeKey", "RetireGrant" ], "keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "granteePrincipal": "chimevoiceconnector.region.amazonaws.com", "retiringPrincipal": "chimevoiceconnector.region.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE" }, "requestID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "eventID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "readOnly": false, "resources": [ { "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "{{111122223333}}" } ``` ------ #### [ GenerateDataKey ] Wenn Sie eine Sprachprofildomäne erstellen und der Domäne einen vom Kunden verwalteten Schlüssel zuweisen, erstellt der zugehörige Voice Connector einen eindeutigen Datenschlüssel, um das Anmeldeaudio jedes Sprechers zu verschlüsseln. Der Voice Connector sendet eine `GenerateDataKey` Anfrage an AWS KMS, in der der Schlüssel für die Ressource angegeben wird. Das folgende Beispiel zeichnet einen `GenerateDataKey` Vorgang auf. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "AWS Internal" }, "eventTime": "{{2021-04-22T17:07:02Z}}", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:{{111122223333}}:{{voice-profile-domain}}/{{sample-domain-id}}" }, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-123456SAMPLE}}" }, "responseElements": null, "requestID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "eventID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "readOnly": true, "resources": [ { "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-123456SAMPLE}}" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "{{111122223333}}", "sharedEventID": "{{57f5dbee-16da-413e-979f-2c4c6663475e}}" } ``` ------ #### [ Decrypt ] Wenn bei einem Stimmprofil in einer Sprachprofildomäne aufgrund eines neueren Spracherkennungsmodells die Sprachausgabe aktualisiert werden muss, ruft der zugehörige Voice Connector den `Decrypt` Vorgang auf, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf die verschlüsselten Daten zu verwenden. Im folgenden Beispiel wird ein `Decrypt` Vorgang aufgezeichnet. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "AWS Internal" }, "eventTime": "{{2021-10-12T23:59:34Z}}", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/44444444-3333-2222-1111-EXAMPLE11111", "encryptionContext": { "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:{{111122223333}}:{{voice-profile-domain}}/{{sample-domain-id}}" }, "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe", "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6", "readOnly": true, "resources": [{ "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{00000000-1111-2222-3333-9999999999999}}" }], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "{{111122223333}}", "sharedEventID": "{{35d58aa1-26b2-427a-908f-025bf71241f6}}", "eventCategory": "Management" } ``` ------ #### [ DescribeKey ] Voice Connectors verwenden den `DescribeKey` Vorgang, um zu überprüfen, ob der mit einer Sprachprofildomäne verknüpfte Schlüssel im Konto und in der Region vorhanden ist. Im folgenden Beispiel wird ein `DescribeKey` Vorgang aufgezeichnet. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "accessKeyId": "{{AKIAIOSFODNN7EXAMPLE3}}", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "{{2021-04-22T17:02:00Z}}" } }, "invokedBy": "AWS Internal" }, "eventTime": "{{2021-04-22T17:07:02Z}}", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "keyId": "{{00dd0db0-0000-0000-ac00-b0c000SAMPLE}}" }, "responseElements": null, "requestID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "eventID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "readOnly": true, "resources": [ { "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-123456SAMPLE}}" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "{{111122223333}}" } ``` ------