Wie Amazon Managed Grafana Zuschüsse verwendet in AWS KMS Schritt 1: Erstellen eines kundenverwalteten Schlüssels Schritt 2: Angeben eines vom Kunden verwalteten Schlüssels für Amazon Managed Grafana Überwachung Ihrer Verschlüsselungsschlüssel für Amazon Managed Grafana Weitere Informationen

Verschlüsselung im Ruhezustand

Standardmäßig bietet Ihnen Amazon Managed Grafana automatisch Verschlüsselung im Ruhezustand, wobei AWS eigene Verschlüsselungsschlüssel verwendet werden.

AWS eigene Schlüssel — Amazon Managed Grafana verwendet diese Schlüssel, um Daten Ihres Workspace automatisch zu verschlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS-owned keys im AWS KMS Developer Guide.

Die Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz sensibler Kundendaten, z. B. personenbezogener Daten, verbunden sind. Sie können damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.

Wenn Sie Ihren Workspace erstellen, können Sie sich alternativ dafür entscheiden, einen kundenverwalteten Schlüssel zu verwenden:

Vom Kunden verwaltete Schlüssel — Amazon Managed Grafana unterstützt die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um die Daten in Ihrem Workspace zu verschlüsseln. Da Sie die volle Kontrolle über diese Verschlüsselung haben, können Sie Aufgaben wie die folgenden ausführen:
- Festlegung und Pflege wichtiger Richtlinien
- Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
- Aktivieren und Deaktivieren wichtiger Richtlinien
- Kryptographisches Material mit rotierendem Schlüssel
- Hinzufügen von -Tags
- Erstellen von Schlüsselaliasen
- Schlüssel für das Löschen von Schlüsseln planen

Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel im AWS KMS Entwicklerhandbuch und Was ist? AWS KMS

Wählen Sie sorgfältig aus, ob Sie vom Kunden verwaltete Schlüssel oder AWS eigene Schlüssel verwenden möchten. Workspaces, die mit vom Kunden verwalteten Schlüsseln erstellt wurden, können später nicht mehr in die Verwendung AWS eigener Schlüssel umgewandelt werden (und umgekehrt).

Anmerkung

Amazon Managed Grafana aktiviert automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um Ihre Daten kostenlos zu schützen.
Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS KMS – Preise.

Wichtig

Wenn Sie den vom Kunden verwalteten Schlüssel deaktivieren oder den Amazon Managed Grafana-Zugriff in der Schlüsselrichtlinie entfernen, kann auf Ihren Workspace nicht mehr zugegriffen werden. Der Workspace bleibt in einem ACTIVE Zustand, ist aber funktionell nicht verfügbar. Sie haben 7 Tage Zeit, um den Zugriff wiederherzustellen, indem Sie den Schlüssel erneut aktivieren oder die Schlüsselrichtlinie wiederherstellen. Nach 7 Tagen wechselt der Workspace in einen FAILED Status und kann nur gelöscht werden.
Wenn Sie einen Schlüssel für das Löschen einplanen, gilt AWS KMS eine Mindestwartezeit von 7 Tagen, bevor der Schlüssel gelöscht wird. Sobald ein Schlüssel gelöscht wurde, kann er nicht wiederhergestellt werden, und jeder Workspace, der mit diesem Schlüssel verschlüsselt wurde, verliert dauerhaft den Zugriff auf seine Daten.
Die vom Kunden verwaltete Schlüsselverschlüsselung ist nur verfügbar, wenn neue Workspaces erstellt werden. Bestehende Workspaces können nicht für die Verwendung von vom Kunden verwalteten Schlüsseln konvertiert werden.
Du kannst den vom Kunden verwalteten Schlüssel eines Workspace nach der Erstellung nicht ändern.

Wie Amazon Managed Grafana Zuschüsse verwendet in AWS KMS

Amazon Managed Grafana benötigt Zuschüsse, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.

Wenn Sie einen Amazon Managed Grafana-Workspace erstellen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt Amazon Managed Grafana Zuschüsse in Ihrem Namen, indem es CreateGrantAnfragen an sendet. AWS KMS Grants in AWS KMS werden verwendet, um Amazon Managed Grafana Zugriff auf den KMS-Schlüssel in Ihrem Konto zu gewähren, auch wenn diese nicht direkt in Ihrem Namen aufgerufen werden (z. B. beim Speichern von Dashboard-Daten oder Benutzerkonfigurationen).

Amazon Managed Grafana benötigt die Zuschüsse, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen verwenden zu können:

Senden Sie CreateGrantAnfragen an, AWS KMS um bei Bedarf zusätzliche Zuschüsse zu erstellen.
Senden Sie DescribeKeyAnfragen an, um AWS KMS zu überprüfen, ob der symmetrische, vom Kunden verwaltete KMS-Schlüssel, der bei der Erstellung eines Workspace angegeben wurde, gültig ist.
Senden Sie ReEncryptTo und ReEncryptFrom Anfragen an, Daten erneut AWS KMS zu verschlüsseln, wenn Sie zwischen verschiedenen Verschlüsselungskontexten wechseln.
Senden Sie Verschlüsselungsanfragen an, AWS KMS um Daten direkt mit Ihrem vom Kunden verwalteten Schlüssel zu verschlüsseln.
Senden Sie Entschlüsselungsanfragen an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zur Verschlüsselung Ihrer Daten verwendet werden können.
Senden Sie GenerateDataKeyAnfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
Senden Sie GenerateDataKeyWithoutPlaintextAnfragen AWS KMS zur Generierung verschlüsselter Datenschlüssel, ohne die Klartext-Version zurückzugeben.
Senden Sie RetireGrantAnfragen an, AWS KMS um Zuschüsse zurückzuziehen, die nicht mehr benötigt werden.

Amazon Managed Grafana gewährt dem AWS KMS Schlüssel Zuschüsse, die es Amazon Managed Grafana ermöglichen, den Schlüssel in Ihrem Namen zu verwenden. Sie können den Zugriff auf den Schlüssel entziehen, indem Sie die Schlüsselrichtlinie ändern, den Schlüssel deaktivieren oder die Erteilung widerrufen. Machen Sie sich mit den Konsequenzen dieser Aktionen vertraut, bevor Sie sie ausführen. Andernfalls kann es zu Datenverlusten in Ihrem Workspace kommen.

Wenn Sie den Zugriff auf einen der Grants in irgendeiner Weise entziehen, kann Amazon Managed Grafana weder auf die mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen noch neue Daten speichern, die an den Workspace gesendet wurden, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Auf neue Updates für den Workspace kann nicht zugegriffen werden und sie können dauerhaft verloren gehen.

Warnung

Wenn Sie den Schlüssel deaktivieren oder den Amazon Managed Grafana-Zugriff in der Schlüsselrichtlinie entfernen, ist der Zugriff auf die Workspace-Daten nicht mehr möglich. Der Workspace bleibt in einem ACTIVE Zustand, ist aber funktionell nicht verfügbar. Neue Updates, die an den Workspace gesendet werden, sind nicht zugänglich und können dauerhaft verloren gehen. Sie können den Zugriff auf die Workspace-Daten wiederherstellen und den Empfang neuer Daten fortsetzen, indem Sie den Schlüssel erneut aktivieren oder Amazon Managed Grafana-Zugriff auf den Schlüssel innerhalb von 7 Tagen wiederherstellen. Nach 7 Tagen ohne Zugriff wechselt der Workspace in einen FAILED Status.
Wenn Sie die Löschung des Schlüssels einplanen AWS KMS, wird der Schlüssel nach Ablauf der vorgeschriebenen Wartezeit von 7 Tagen gelöscht. Nach dem Löschen kann der Schlüssel nicht wiederhergestellt werden, und auf die Workspace-Daten kann dauerhaft nicht zugegriffen werden.
Wenn Sie eine Erteilung widerrufen, kann sie nicht wiederhergestellt werden, und die Daten im Workspace gehen dauerhaft verloren.
Amazon Managed Grafana gewährt über Amazon RDS zusätzliche Zuschüsse für Kinder, da das Unternehmen bei der Datenspeicherung von RDS abhängig ist. Der Widerruf dieser RDS-bezogenen Zuschüsse hat den gleichen dauerhaften Datenverlust wie der Widerruf der primären Grafana-Zuschüsse.

Schritt 1: Erstellen eines kundenverwalteten Schlüssels

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der Management Console oder der AWS erstellen. AWS KMS APIs Der Schlüssel muss sich in derselben Region wie der Amazon Managed Grafana-Workspace befinden und muss ein symmetrischer Schlüssel mit ENCRYPT_DECRYPT Schlüsselverwendung sein.

Einen symmetrischen kundenverwalteten Schlüssel erstellen

Folgen Sie den Schritten zum Erstellen eines symmetrischen kundenverwalteten Schlüssels im Entwicklerhandbuch zum AWS KMS .

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS KMS .

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Amazon Managed Grafana-Workspaces zu verwenden, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zugelassen sein:

kms: CreateGrant — Fügt einem vom Kunden verwalteten Schlüssel einen Zuschuss hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS-Schlüssel, der den Zugriff auf Grant-Operationen ermöglicht, die Amazon Managed Grafana benötigt. Weitere Informationen finden Sie unter Verwenden von Erteilungen im AWS KMS -Entwicklerhandbuch. Dadurch kann Amazon Managed Grafana Folgendes tun:
- Rufen Sie GenerateDataKey auf, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern.
- Decrypt aufrufen, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden.
kms: DescribeKey — Stellt die vom Kunden verwalteten Schlüssel bereit, damit Amazon Managed Grafana den Schlüssel validieren kann.

Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für Amazon Managed Grafana hinzufügen können:


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}

Weitere Informationen zur Angabe von Berechtigungen in einer Richtlinie finden Sie im AWS Key Management Service Developer Guide.
Weitere Informationen zur Fehlerbehebung beim Schlüsselzugriff finden Sie im AWS Key Management Service Developer Guide.

Schritt 2: Angeben eines vom Kunden verwalteten Schlüssels für Amazon Managed Grafana

Wenn Sie einen Workspace erstellen, können Sie den vom Kunden verwalteten Schlüssel angeben, indem Sie einen KMS-Schlüssel-ARN eingeben, den Amazon Managed Grafana verwendet, um die im Workspace gespeicherten Daten zu verschlüsseln.

Verwenden der Management-Konsole AWS

Öffnen Sie die Amazon Managed Grafana-Konsole unter https://console.aws.amazon.com/grafana/.
Wählen Sie Workspace erstellen.
Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteter Schlüssel aus.
Geben Sie den ARN Ihres vom Kunden verwalteten Schlüssels in das Feld KMS-Schlüssel-ARN ein.
Schließen Sie die verbleibende Workspace-Konfiguration ab und wählen Sie Create workspace aus.

Verwenden Sie den AWS CLI

Sie können einen vom Kunden verwalteten Schlüssel angeben, wenn Sie einen Workspace erstellen. Verwenden Sie dazu den --kms-key-id folgenden Parameter:


aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"

Überwachung Ihrer Verschlüsselungsschlüssel für Amazon Managed Grafana

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Managed Grafana-Workspaces verwenden, können Sie AWS CloudTrail oder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, an die Amazon Managed Grafana sendet. AWS KMS

Die folgenden Beispiele sind AWS CloudTrail Ereignisse fürCreateGrant,DescribeKey, und Decrypt zur Überwachung von KMS-VorgängenGenerateDataKey, die von Amazon Managed Grafana aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:

CreateGrant

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden, um Ihren Workspace zu verschlüsseln, sendet Amazon Managed Grafana in Ihrem Namen CreateGrant Anfragen für den Zugriff auf den von Ihnen angegebenen KMS-Schlüssel. Die Zuschüsse, die Amazon Managed Grafana erstellt, sind spezifisch für die Ressource, die dem vom AWS KMS Kunden verwalteten Schlüssel zugeordnet ist.

Das folgende Beispielereignis veranschaulicht eine CreateGrant-Operation:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

DescribeKey

Amazon Managed Grafana verwendet den DescribeKey Vorgang, um zu überprüfen, ob der mit Ihrem Workspace verknüpfte vom AWS KMS Kunden verwaltete Schlüssel im Konto und in der Region vorhanden ist.

Das folgende Beispielereignis zeichnet den Vorgang DescribeKey auf:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

GenerateDataKey

Amazon Managed Grafana verwendet den GenerateDataKey Vorgang, um Datenschlüssel zu generieren, die zur Verschlüsselung von Workspace-Daten verwendet werden.

Das folgende Beispielereignis zeichnet den Vorgang GenerateDataKey auf:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

Decrypt

Amazon Managed Grafana verwendet den Decrypt Vorgang, um verschlüsselte Datenschlüssel zu entschlüsseln, sodass sie zum Entschlüsseln von Workspace-Daten verwendet werden können.

Das folgende Beispielereignis zeichnet den Vorgang Decrypt auf:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:

Weitere Informationen zu AWS KMS grundlegenden Konzepten finden Sie im Entwicklerhandbuch.AWS KMS
Weitere Informationen zu bewährten Sicherheitsmethoden für AWS KMS finden Sie im AWS KMS Entwicklerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Kontrolle des Netzwerkzugriffs

Connect zu Daten in Amazon VPC her