Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Monitorización de claves de cifrado Los conectores de voz del SDK de Amazon Chime envían solicitudes a AWS KMS y usted puede realizar un seguimiento de esas solicitudes en nuestros registros CloudTrail . CloudWatch ------ #### [ CreateGrant ] Cuando utiliza una clave administrada por el cliente para crear un recurso de dominio de perfil de voz, el conector de voz asociado envía una `CreateGrant` solicitud en su nombre para acceder a la clave de KMS de su AWS cuenta. La concesión que crea el conector de voz es específica del recurso asociado a la clave gestionada por el cliente. El conector de voz también utiliza la `RetireGrant` operación para eliminar una concesión al eliminar un recurso. El siguiente ejemplo graba una `CreateGrant` operación. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "accessKeyId": "{{AKIAIOSFODNN7EXAMPLE3}}", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "{{2021-04-22T17:02:00Z}}" } }, "invokedBy": "AWS Internal" }, "eventTime": "{{2021-04-22T17:07:02Z}}", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "constraints": { "encryptionContextSubset": { "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:{{111122223333}}:voice-profile-domain/sample-domain-id" } }, "retiringPrincipal": "chimevoiceconnector.region.amazonaws.com", "operations": [ "GenerateDataKey", "Decrypt", "DescribeKey", "RetireGrant" ], "keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "granteePrincipal": "chimevoiceconnector.region.amazonaws.com", "retiringPrincipal": "chimevoiceconnector.region.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE" }, "requestID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "eventID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "readOnly": false, "resources": [ { "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "{{111122223333}}" } ``` ------ #### [ GenerateDataKey ] Al crear un dominio de perfil de voz y asignar al dominio una clave gestionada por el cliente, el conector de voz asociado crea una clave de datos única para cifrar el audio de inscripción de cada altavoz. El conector de voz envía una `GenerateDataKey` solicitud al AWS KMS en la que se especifica la clave del recurso. En el siguiente ejemplo, se graba una `GenerateDataKey` operación. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "AWS Internal" }, "eventTime": "{{2021-04-22T17:07:02Z}}", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:{{111122223333}}:{{voice-profile-domain}}/{{sample-domain-id}}" }, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-123456SAMPLE}}" }, "responseElements": null, "requestID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "eventID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "readOnly": true, "resources": [ { "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-123456SAMPLE}}" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "{{111122223333}}", "sharedEventID": "{{57f5dbee-16da-413e-979f-2c4c6663475e}}" } ``` ------ #### [ Decrypt ] Cuando un perfil de voz de un dominio de perfiles de voz necesita actualizar su impresión de voz debido a un modelo de reconocimiento de voz más reciente, el conector de voz asociado solicita a la `Decrypt` operación que utilice la clave de datos cifrada almacenada para acceder a los datos cifrados. En el siguiente ejemplo, se graba una `Decrypt` operación. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "AWS Internal" }, "eventTime": "{{2021-10-12T23:59:34Z}}", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/44444444-3333-2222-1111-EXAMPLE11111", "encryptionContext": { "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:{{111122223333}}:{{voice-profile-domain}}/{{sample-domain-id}}" }, "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe", "eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6", "readOnly": true, "resources": [{ "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{00000000-1111-2222-3333-9999999999999}}" }], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "{{111122223333}}", "sharedEventID": "{{35d58aa1-26b2-427a-908f-025bf71241f6}}", "eventCategory": "Management" } ``` ------ #### [ DescribeKey ] Los conectores de voz utilizan la `DescribeKey` operación para comprobar que la clave asociada a un dominio de perfil de voz existe en la cuenta y la región. En el siguiente ejemplo, se graba una `DescribeKey` operación. ``` { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "accessKeyId": "{{AKIAIOSFODNN7EXAMPLE3}}", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "{{AROAIGDTESTANDEXAMPLE}}:{{Sampleuser01}}", "arn": "arn:aws:sts::{{111122223333}}:assumed-role/Admin/{{Sampleuser01}}", "accountId": "{{111122223333}}", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "{{2021-04-22T17:02:00Z}}" } }, "invokedBy": "AWS Internal" }, "eventTime": "{{2021-04-22T17:07:02Z}}", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "{{ExampleDesktop}}/1.0 (V1; OS)", "requestParameters": { "keyId": "{{00dd0db0-0000-0000-ac00-b0c000SAMPLE}}" }, "responseElements": null, "requestID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "eventID": "{{ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE}}", "readOnly": true, "resources": [ { "accountId": "{{111122223333}}", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-123456SAMPLE}}" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "{{111122223333}}" } ``` ------