Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenverschlüsselung im Ruhezustand für verifizierten Zugriff AWS
AWS Verified Access verschlüsselt standardmäßig ruhende Daten mithilfe AWS eigener KMS-Schlüssel. Wenn die Verschlüsselung ruhender Daten standardmäßig erfolgt, trägt dies dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen. In den folgenden Abschnitten wird detailliert beschrieben, wie Verified Access KMS-Schlüssel für die Verschlüsselung inaktiver Daten verwendet.
**Topics**
+ [Verifizierter Zugriff und KMS-Schlüssel](#kms-keys)
+ [Persönlich identifizierbare Informationen](#types-of-pii)
+ [So verwendet AWS Verified Access Zuschüsse in AWS KMS](#encryption-grant)
+ [Verwenden von kundenverwalteten Schlüsseln mit verifiziertem Zugriff](#using-cmk)
+ [Angabe eines vom Kunden verwalteten Schlüssels für Ressourcen mit verifiziertem Zugriff](#enable-additional-encryption)
+ [AWS Verschlüsselungskontext für verifizierten Zugriff](#encryption-context)
+ [Überwachung Ihrer Verschlüsselungsschlüssel für AWS verifizierten Zugriff](#monitor-key-use)
## Verifizierter Zugriff und KMS-Schlüssel
**AWS eigene Schlüssel**
Verified Access verwendet KMS-Schlüssel, um personenbezogene Daten (PII) automatisch zu verschlüsseln. Dies geschieht standardmäßig, und Sie können die Verwendung der AWS-eigenen Schlüssel nicht selbst einsehen, verwalten, verwenden oder überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWS -eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im *AWS Key Management Service -Entwicklerhandbuch*.
Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen alternativen Verschlüsselungstyp auswählen, aber Sie können eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen, indem Sie bei der Erstellung Ihrer verifizierten Zugriffsressourcen einen vom Kunden verwalteten Schlüssel auswählen.
**Kundenseitig verwaltete Schlüssel**
Verified Access unterstützt die Verwendung von symmetrischen, vom Kunden verwalteten Schlüsseln, die Sie erstellen und verwalten, um der vorhandenen Standardverschlüsselung eine zweite Verschlüsselungsebene hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:
+ Festlegung und Pflege wichtiger Richtlinien
+ Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
+ Aktivieren und Deaktivieren wichtiger Richtlinien
+ Kryptographisches Material mit rotierendem Schlüssel
+ Hinzufügen von -Tags
+ Erstellen von Schlüsselaliasen
+ Schlüssel für das Löschen von Schlüsseln planen
Weitere Informationen finden Sie unter [Kundenverwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management Service Entwicklerhandbuch*.
**Anmerkung**
Verified Access ermöglicht automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um personenbezogene Daten kostenlos zu schützen.
Es AWS KMS fallen jedoch Gebühren an, wenn Sie einen vom Kunden verwalteten Schlüssel verwenden. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service Preisgestaltung](https://aws.amazon.com/kms/pricing/).
## Persönlich identifizierbare Informationen
In der folgenden Tabelle werden die von Verified Access verwendeten personenbezogenen Daten (PII) und deren Verschlüsselung zusammengefasst.
| Datentyp | AWS Verschlüsselung mit eigenem Schlüssel | Vom Kunden verwaltete Schlüsselverschlüsselung (optional) |
| --- | --- | --- |
| Trust provider (user-type)Vertrauensanbieter vom Typ Benutzer enthalten OIDC-Optionen wie AuthorizationEndpoint,, UserInfoEndpoint ClientId, usw. ClientSecret, die als personenbezogene Daten betrachtet werden. | Aktiviert | Aktiviert |
| Trust provider (device-type)Vertrauensanbieter vom Typ Gerät enthalten eine TenantId, die als PII betrachtet wird. | Aktiviert | Aktiviert |
| Group policyWird bei der Erstellung oder Änderung der Verified Access-Gruppe bereitgestellt. Enthält Regeln für die Autorisierung von Zugriffsanfragen. Kann personenbezogene Daten wie Benutzername und E-Mail-Adresse usw. enthalten. | Aktiviert | Aktiviert |
| Endpoint policyWird bei der Erstellung oder Änderung des Verified Access-Endpunkts bereitgestellt. Enthält Regeln für die Autorisierung von Zugriffsanfragen. Kann personenbezogene Daten wie Benutzername und E-Mail-Adresse usw. enthalten. | Aktiviert | Aktiviert |
## So verwendet AWS Verified Access Zuschüsse in AWS KMS
Für Verified Access ist eine Genehmigung [erforderlich](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.
Wenn Sie Ressourcen mit verifiziertem Zugriff erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, erstellt Verified Access in Ihrem Namen einen Zuschuss, indem es eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an sendet AWS KMS. Grants in AWS KMS werden verwendet, um Verified Access den Zugriff auf einen vom Kunden verwalteten Schlüssel in Ihrem Konto zu gewähren.
Verified Access setzt voraus, dass der Zuschuss Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Vorgänge verwendet:
+ Senden Sie [Entschlüsselungsanfragen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zur Entschlüsselung Ihrer Daten verwendet werden können.
+ Senden Sie [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Anfragen an, um einen AWS KMS Zuschuss zu löschen.
Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Verified Access nicht auf die Daten zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind.
## Verwenden von kundenverwalteten Schlüsseln mit verifiziertem Zugriff
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS-Managementkonsole, oder den AWS KMS APIs verwenden. Folgen Sie den Schritten zum [Erstellen eines symmetrischen Verschlüsselungsschlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html) im *AWS Key Management Service Entwicklerhandbuch*.
**Wichtige Richtlinien**
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter [Wichtige Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *AWS Key Management Service Entwicklerhandbuch*.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren verifizierten Zugriffsressourcen verwenden zu können, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zugelassen sein:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: Fügt einem kundenverwalteten Schlüssel eine Erteilung hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS-Schlüssel, der den Zugriff auf die von Verified Access benötigten [Genehmigungsvorgänge](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) ermöglicht. Weitere Informationen finden Sie unter [Grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im *AWS Key Management Service Entwicklerhandbuch*.
Dadurch kann Verified Access Folgendes tun:
+ `GenerateDataKeyWithoutPlainText` aufrufen, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort zum Verschlüsseln verwendet wird.
+ `Decrypt` aufrufen, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden.
+ Einen Prinzipal für die Außerbetriebnahme einrichten, damit der Service in den Status `RetireGrant` wechseln kann.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Verified Access den Schlüssel validieren kann.
+ `[kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)`— Ermöglicht Verified Access, den Schlüssel zum Verschlüsseln von Daten zu verwenden.
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)`— Erlaubt Verified Access, die verschlüsselten Datenschlüssel zu entschlüsseln.
Im Folgenden finden Sie ein Beispiel für eine Schlüsselrichtlinie, die Sie für Verified Access verwenden können.
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Verified Access",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "verified-access.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Weitere Informationen finden Sie unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) und [Problembehandlung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im *AWS Key Management Service Entwicklerhandbuch*.
## Angabe eines vom Kunden verwalteten Schlüssels für Ressourcen mit verifiziertem Zugriff
Sie können einen vom Kunden verwalteten Schlüssel angeben, um eine zweite Verschlüsselungsebene für die folgenden Ressourcen bereitzustellen:
+ [Gruppe „Verifizierter Zugriff“](verified-access-groups.md)
+ [Verifizierter Zugriffsendpunkt](verified-access-endpoints.md)
+ [Verifizierter Access Trust Provider](trust-providers.md)
Wenn Sie eine dieser Ressourcen mit dem erstellen AWS-Managementkonsole, können Sie im Abschnitt **Zusätzliche Verschlüsselung — optional** einen vom Kunden verwalteten Schlüssel angeben. Aktivieren Sie während des Vorgangs das Kontrollkästchen **Verschlüsselungseinstellungen anpassen (erweitert)** und geben Sie dann die AWS KMS Schlüssel-ID ein, die Sie verwenden möchten. Dies kann auch beim Ändern einer vorhandenen Ressource oder mithilfe von geschehen AWS CLI.
**Anmerkung**
Wenn der vom Kunden verwaltete Schlüssel, mit dem eine zusätzliche Verschlüsselung für eine der oben genannten Ressourcen hinzugefügt wurde, verloren geht, sind die Konfigurationswerte für die Ressourcen nicht mehr zugänglich. Die Ressourcen können jedoch geändert werden, indem das AWS-Managementkonsole oder verwendet wird AWS CLI, um einen neuen vom Kunden verwalteten Schlüssel anzuwenden und die Konfigurationswerte zurückzusetzen.
## AWS Verschlüsselungskontext für verifizierten Zugriff
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.
**AWS Verifizierter Access-Verschlüsselungskontext**
Verified Access verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel `aws:verified-access:arn` und der Wert die Ressource Amazon Resource Name (ARN) ist. Im Folgenden finden Sie die Verschlüsselungskontexte für Ressourcen mit verifiziertem Zugriff.
**Vertrauensanbieter für verifizierten Zugriff**
```
"encryptionContext": {
"aws:verified-access:arn":
"arn:aws:ec2:region:111122223333:VerifiedAccessTrustProviderId"
}
```
**Gruppe „Verifizierter Zugriff“**
```
"encryptionContext": {
"aws:verified-access:arn":
"arn:aws:ec2:region:111122223333:VerifiedAccessGroupId"
}
```
**Verifizierter Zugriffsendpunkt**
```
"encryptionContext": {
"aws:verified-access:arn":
"arn:aws:ec2:region:111122223333:VerifiedAccessEndpointId"
}
```
## Überwachung Ihrer Verschlüsselungsschlüssel für AWS verifizierten Zugriff
Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel mit Ihren AWS Verified Access-Ressourcen verwenden, können Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)damit Anfragen verfolgen, an die Verified Access sendet AWS KMS.
Die folgenden Beispiele sind AWS CloudTrail Ereignisse für`CreateGrant`,, und `RetireGrant` `Decrypt``DescribeKey`, mit denen KMS-Vorgänge überwacht werden`GenerateDataKey`, die von Verified Access aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten KMS-Schlüssel verschlüsselt wurden:
------
#### [ CreateGrant ]
Wenn Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Ressourcen verwenden, sendet Verified Access in Ihrem Namen eine `CreateGrant` Anfrage, um auf den Schlüssel in Ihrem AWS Konto zuzugreifen. Die Gewährung, die Verified Access gewährt, ist spezifisch für die Ressource, die dem vom Kunden verwalteten Schlüssel zugeordnet ist.
Das folgende Beispielereignis zeichnet den Vorgang `CreateGrant` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T16:27:12Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T16:41:42Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"operations": [
"Decrypt",
"RetireGrant",
"GenerateDataKey"
],
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae",
"constraints": {
"encryptionContextSubset": {
"aws:verified-access:arn": "arn:aws:ec2:ca-central-1:111122223333:verified-access-trust-provider/vatp-0e54f581e2e5c97a2"
}
},
"granteePrincipal": "verified-access.ca-central-1.amazonaws.com",
"retiringPrincipal": "verified-access.ca-central-1.amazonaws.com"
},
"responseElements": {
"grantId": "e5a050fff9893ba1c43f83fddf61e5f9988f579beaadd6d4ad6d1df07df6048f",
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
},
"requestID": "0faa837e-5c69-4189-9736-3957278e6444",
"eventID": "1b6dd8b8-cbee-4a83-9b9d-d95fa5f6fd08",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ RetireGrant ]
Verified Access verwendet den `RetireGrant` Vorgang, um einen Zuschuss zu entfernen, wenn Sie eine Ressource löschen.
Das folgende Beispielereignis zeichnet den Vorgang `RetireGrant` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T16:42:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T16:47:53Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": null,
"responseElements": {
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
},
"additionalEventData": {
"grantId": "b35e66f9bacb266cec214fcaa353c9cf750785e28773e61ba6f434d8c5c7632f"
},
"requestID": "7d4a31c2-d426-434b-8f86-336532a70462",
"eventID": "17edc343-f25b-43d4-bbff-150d8fff4cf8",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Verified Access ruft den `Decrypt` Vorgang auf, um mithilfe des gespeicherten verschlüsselten Datenschlüssels auf die verschlüsselten Daten zuzugreifen.
Das folgende Beispielereignis zeichnet den Vorgang `Decrypt` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T17:19:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T17:47:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e",
"encryptionContext": {
"aws:verified-access:arn": "arn:aws:ec2:ca-central-1:111122223333:verified-access-trust-provider/vatp-00f20a4e455e9340f",
"aws-crypto-public-key": "AkK+vi1W/acBKv7OR8p2DeUrA8EgpTffSrjBqNucODuBYhyZ3hlMuYYJz9x7CwQWZw=="
}
},
"responseElements": null,
"requestID": "2e920fd3-f2f6-41b2-a5e7-2c2cb6f853a9",
"eventID": "3329e0a3-bcfb-44cf-9813-8106d6eee31d",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
Verified Access verwendet den `DescribeKey` Vorgang, um zu überprüfen, ob der vom Kunden verwaltete Schlüssel, der Ihrer Ressource zugeordnet ist, im Konto und in der Region vorhanden ist.
Das folgende Beispielereignis zeichnet den Vorgang `DescribeKey` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T17:19:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T17:46:48Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
},
"responseElements": null,
"requestID": "5b127082-6691-48fa-bfb0-4d40e1503636",
"eventID": "ffcfc2bb-f94b-4c00-b6fb-feac77daff2a",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
Das folgende Beispielereignis zeichnet den Vorgang `GenerateDataKey` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T17:19:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T17:46:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:verified-access:arn": "arn:aws:ec2:ca-central-1:111122223333:verified-access-trust-provider/vatp-00f20a4e455e9340f",
"aws-crypto-public-key": "A/ATGxaYatPUlOtM+l/mfDndkzHUmX5Hav+29IlIm+JRBKFuXf24ulztmOIsqFQliw=="
},
"numberOfBytes": 32,
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
},
"responseElements": null,
"requestID": "06535808-7cce-4ae1-ab40-e3afbf158a43",
"eventID": "1ce79601-5a5e-412c-90b3-978925036526",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------