Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Registrar llamadas a la AWS KMS API con AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

AWS KMS está integrado con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)un servicio que registra todas las llamadas realizadas AWS KMS por los usuarios, los roles y otros AWS servicios. CloudTrail captura todas las llamadas a la API AWS KMS como eventos, incluidas las llamadas desde la AWS KMS consola AWS KMS APIs, las CloudFormation plantillas, el AWS Command Line Interface (AWS CLI) y Herramientas de AWS para PowerShell.

CloudTrail [registra todas AWS KMS las operaciones, incluidas las operaciones de solo lectura, como [ListAliases](ct-listaliases.md)y [GetKeyRotationStatus](ct-getkeyrotationstatus.md), las operaciones que administran las claves de KMS, como [CreateKey](ct-createkey.md)y [PutKeyPolicy](ct-put-key-policy.md), las [operaciones criptográficas](kms-cryptography.md#cryptographic-operations), como [GenerateDataKey](ct-generatedatakey.md)Decrypt.](ct-decrypt.md) También registra las operaciones internas que lo AWS KMS requieran, como,, [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)y [DeleteKey](ct-delete-key.md). [SynchronizeMultiRegionKey[RotateKey](ct-rotatekey.md)](ct-synchronize-multi-region-key.md)

CloudTrail registra todas las operaciones realizadas correctamente y, en algunos casos, los intentos de llamadas fallidos, como cuando se deniega a la persona que llama el acceso a un recurso. [Las operaciones que utilizan claves de KMS en otras cuentas](key-policy-modifying-external-accounts.md) se registran tanto en la cuenta del autor de la llamada como en la cuenta del propietario de la clave de KMS. Sin embargo, AWS KMS las solicitudes entre cuentas que se rechazan porque se deniega el acceso se registran únicamente en la cuenta de la persona que llama.

Por motivos de seguridad, algunos campos se omiten de las entradas de AWS KMS registro, como el `Plaintext` parámetro de una solicitud de [cifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) y la respuesta a [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)cualquier operación criptográfica. Para facilitar la búsqueda de entradas de CloudTrail registro para determinadas claves de KMS, AWS KMS agrega el [ARN de clave](concepts.md#key-id-key-ARN) de la clave de KMS afectada al `responseElements` campo de las entradas de registro para algunas operaciones de administración de AWS KMS claves, incluso cuando la operación de API no devuelva el ARN de clave.

Aunque, de forma predeterminada, todas AWS KMS las acciones se registran como CloudTrail eventos, puedes AWS KMS excluirlas de un CloudTrail registro. Para obtener más información, consulte [Excluir AWS KMS eventos de una ruta](#filtering-kms-events).

**Más información:** 
+ Para ver ejemplos de AWS KMS operaciones de CloudTrail registro para plataformas certificadas, consulte[Monitoreo de solicitudes certificadas](ct-attestation.md).

**Topics**
+ [Búsqueda de entradas AWS KMS de registro en CloudTrail](#searching-kms-ct)
+ [Excluir AWS KMS eventos de una ruta](#filtering-kms-events)
+ [Ejemplos de entradas de AWS KMS registro](understanding-kms-entries.md)

## Búsqueda de entradas AWS KMS de registro en CloudTrail
<a name="searching-kms-ct"></a>

Para buscar entradas de CloudTrail registro, utilice la [CloudTrail consola](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) o la [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)operación. CloudTrail admite numerosos [valores de atributos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) para filtrar la búsqueda, incluidos el nombre del evento, el nombre de usuario y la fuente del evento. 

Para ayudarle a buscar entradas de AWS KMS registro CloudTrail, AWS KMS rellena los siguientes campos de entrada de CloudTrail registro.

**nota**  
A partir de diciembre de 2022, AWS KMS rellena los atributos **Tipo de recurso** y **Nombre del recurso** en todas las operaciones de administración que cambien una clave de KMS concreta. Estos valores de atributo pueden ser nulos en CloudTrail las entradas anteriores para las siguientes operaciones: [CreateAlias[CreateGrant[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), [RevokeGrant[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html), y [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html).


| Atributo | Valor | Entradas de registro | 
| --- | --- | --- | 
| Fuente del evento (EventSource) | kms.amazonaws.com | Todas las operaciones. | 
| Tipo de recurso (ResourceType) | AWS::KMS::Key | Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys. | 
| Nombre del recurso (ResourceName) | ARN de clave (o ID de clave y ARN de clave) | Operaciones de administración que cambian una clave de KMS en particular, como CreateKey y EnableKey, pero no ListKeys. | 

Para ayudarle a encontrar entradas de registro para las operaciones de administración en determinadas claves de KMS, AWS KMS registra el ARN de clave de la clave de KMS afectada en el `responseElements.keyId` elemento de la entrada de registro, incluso cuando la operación de AWS KMS API no devuelva el ARN de clave.

Por ejemplo, una llamada correcta a la [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación no devuelve ningún valor en la respuesta, pero en lugar de un valor nulo, el `responseElements.keyId` valor de la [entrada de DisableKey registro](ct-disablekey.md) incluye la clave ARN de la clave KMS deshabilitada.

Esta función se agregó en diciembre de 2022 y afecta a las siguientes entradas de CloudTrail registro: [CreateAlias[CreateGrant[DeleteAlias](ct-deletealias.md)](ct-creategrant.md)](ct-createalias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource[UpdateAlias](ct-updatealias.md)](ct-untagresource.md), y [UpdatePrimaryRegion](ct-update-primary-region.md).

## Excluir AWS KMS eventos de una ruta
<a name="filtering-kms-events"></a>

Para proporcionar un registro del uso y la administración de sus AWS KMS recursos, la mayoría de AWS KMS los usuarios se basan en los eventos de una CloudTrail ruta. El registro puede ser una fuente de datos valiosa para auditar eventos críticos, como la creación, inhabilitación y eliminación AWS KMS keys, el cambio de la política de claves y el uso de las claves de KMS por parte de AWS los servicios que actúan en su nombre. En algunos casos, los metadatos de una entrada de CloudTrail registro, como el [contexto de cifrado](encrypt_context.md) de una operación de cifrado, pueden ayudarle a evitar o resolver errores.

Sin embargo, dado que AWS KMS puede generar una gran cantidad de eventos, AWS CloudTrail le permite excluir AWS KMS eventos de un registro. Esta configuración por ruta excluye todos los AWS KMS eventos; no puedes excluir eventos específicos AWS KMS .

**aviso**  
Si se excluyen AWS KMS los eventos de un CloudTrail registro, se pueden ocultar las acciones que utilizan las claves de KMS. Actúe con precaución al conceder a las entidades principales el permiso `cloudtrail:PutEventSelectors` necesario para realizar esta operación.

Para excluir AWS KMS eventos de un registro: 
+ En la CloudTrail consola, utilice la configuración de **eventos del Servicio de administración de claves de registro** cuando [cree](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) o [actualice una ruta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Para obtener instrucciones, consulte [Registrar los eventos de administración Consola de administración de AWS en la](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html) Guía del AWS CloudTrail usuario.
+ En la CloudTrail API, utilice la [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operación. Agregue el atributo `ExcludeManagementEventSources` a sus selectores de eventos con un valor de `kms.amazonaws.com`. Para ver un ejemplo, consulte [Ejemplo: una ruta que no registra AWS Key Management Service eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms) en la Guía del AWS CloudTrail usuario.

Puede desactivar esta exclusión en cualquier momento cambiando la configuración de la consola o los selectores de eventos de un registro de seguimiento. A continuación, el sendero empezará a registrar AWS KMS los eventos. Sin embargo, no puede recuperar AWS KMS los eventos que ocurrieron mientras la exclusión estaba vigente.

Cuando excluyes AWS KMS eventos mediante la consola o la API, la operación de CloudTrail `PutEventSelectors` API resultante también se registra en tus CloudTrail registros. Si AWS KMS los eventos no aparecen en tus CloudTrail registros, busca un `PutEventSelectors` evento con el `ExcludeManagementEventSources` atributo establecido en`kms.amazonaws.com`.