Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Logging panggilan AWS KMS API dengan AWS CloudTrail
AWS KMS terintegrasi dengan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/), layanan yang merekam semua panggilan AWS KMS oleh pengguna, peran, dan AWS layanan lainnya. CloudTrail menangkap semua panggilan API ke AWS KMS sebagai event, termasuk panggilan dari AWS KMS konsol AWS KMS APIs, CloudFormation template, AWS Command Line Interface (AWS CLI), dan Alat AWS untuk PowerShell.
CloudTrail [mencatat semua AWS KMS operasi, termasuk operasi hanya-baca, seperti [ListAliases](ct-listaliases.md)dan [GetKeyRotationStatus](ct-getkeyrotationstatus.md), operasi yang mengelola kunci KMS, seperti dan, [CreateKey](ct-createkey.md)dan [operasi kriptografi [PutKeyPolicy](ct-put-key-policy.md)](kms-cryptography.md#cryptographic-operations), seperti dan Dekripsi. [GenerateDataKey](ct-generatedatakey.md)](ct-decrypt.md) Ini juga mencatat operasi internal yang AWS KMS memanggil Anda, seperti [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md), [DeleteKey](ct-delete-key.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), dan [RotateKey](ct-rotatekey.md).
CloudTrail mencatat semua operasi yang berhasil dan, dalam beberapa skenario, percobaan panggilan yang gagal, seperti ketika pemanggil ditolak akses ke sumber daya. [Operasi lintas akun pada kunci KMS](key-policy-modifying-external-accounts.md) dicatat di akun penelepon dan akun pemilik kunci KMS. Namun, AWS KMS permintaan lintas akun yang ditolak karena akses ditolak hanya dicatat di akun pemanggil.
Untuk alasan keamanan, beberapa bidang dihilangkan dari entri AWS KMS log, seperti `Plaintext` parameter permintaan [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html), dan respons terhadap [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)atau operasi kriptografi apa pun. Untuk mempermudah pencarian entri CloudTrail log untuk kunci KMS tertentu, AWS KMS tambahkan [ARN](concepts.md#key-id-key-ARN) kunci dari kunci KMS yang terpengaruh ke `responseElements` bidang di entri log untuk beberapa operasi manajemen AWS KMS kunci, bahkan ketika operasi API tidak mengembalikan ARN kunci.
Meskipun secara default, semua AWS KMS tindakan dicatat sebagai CloudTrail peristiwa, Anda dapat mengecualikan AWS KMS tindakan dari CloudTrail jejak. Lihat perinciannya di [Tidak termasuk AWS KMS acara dari jejak](#filtering-kms-events).
**Pelajari lebih lanjut**:
+ Untuk contoh CloudTrail log AWS KMS operasi untuk platform yang dibuktikan, lihat[Memantau permintaan yang dibuktikan](ct-attestation.md).
**Topics**
+ [Menemukan entri AWS KMS log di CloudTrail](#searching-kms-ct)
+ [Tidak termasuk AWS KMS acara dari jejak](#filtering-kms-events)
+ [Contoh entri AWS KMS log](understanding-kms-entries.md)
## Menemukan entri AWS KMS log di CloudTrail
Untuk mencari entri CloudTrail log, gunakan [CloudTrail konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) atau [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)operasi. CloudTrail mendukung banyak [nilai atribut](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) untuk memfilter pencarian Anda, termasuk nama acara, nama pengguna, dan sumber acara.
Untuk membantu Anda mencari entri AWS KMS log di CloudTrail, AWS KMS isi kolom entri CloudTrail log berikut.
**catatan**
Mulai Desember 2022, AWS KMS mengisi atribut **tipe Sumber Daya** dan **nama Sumber Daya** di semua operasi manajemen yang mengubah kunci KMS tertentu. Nilai atribut ini mungkin null dalam CloudTrail entri lama untuk operasi berikut: [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html),, [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html), [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant[RevokeGrant[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), dan. [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)
| Atribut | Nilai | Entri log |
| --- | --- | --- |
| Sumber acara (EventSource) | kms.amazonaws.com | Semua operasi. |
| Jenis sumber daya (ResourceType) | AWS::KMS::Key | Operasi manajemen yang mengubah kunci KMS tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys. |
| Nama sumber daya (ResourceName) | ARN kunci (atau ID kunci dan kunci ARN) | Operasi manajemen yang mengubah kunci KMS tertentu, seperti CreateKey danEnableKey, tetapi tidakListKeys. |
Untuk membantu Anda menemukan entri log untuk operasi manajemen pada kunci KMS tertentu, AWS KMS mencatat ARN kunci dari kunci KMS yang terpengaruh dalam `responseElements.keyId` elemen entri log, bahkan ketika operasi AWS KMS API tidak mengembalikan kunci ARN.
Misalnya, panggilan yang berhasil ke [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operasi tidak mengembalikan nilai apa pun dalam respons, tetapi alih-alih nilai nol, `responseElements.keyId` nilai dalam [entri DisableKey log](ct-disablekey.md) menyertakan ARN kunci dari kunci KMS yang dinonaktifkan.
Fitur ini ditambahkan pada Desember 2022 dan memengaruhi entri CloudTrail log berikut: [CreateAlias](ct-createalias.md),,,, [CreateGrant](ct-creategrant.md), [DeleteAlias](ct-deletealias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource[UpdateAlias](ct-updatealias.md)](ct-untagresource.md), dan [UpdatePrimaryRegion](ct-update-primary-region.md).
## Tidak termasuk AWS KMS acara dari jejak
Untuk memberikan catatan penggunaan dan pengelolaan AWS KMS sumber daya mereka, sebagian besar AWS KMS pengguna mengandalkan peristiwa dalam CloudTrail jejak. Jejak dapat menjadi sumber data yang berharga untuk mengaudit peristiwa penting, seperti membuat, menonaktifkan, dan menghapus, mengubah kebijakan utama AWS KMS keys, dan penggunaan kunci KMS Anda oleh AWS layanan atas nama Anda. Dalam beberapa kasus, metadata dalam entri CloudTrail log, seperti [konteks enkripsi](encrypt_context.md) dalam operasi enkripsi, dapat membantu Anda menghindari atau menyelesaikan kesalahan.
Namun, karena AWS KMS dapat menghasilkan sejumlah besar peristiwa, AWS CloudTrail memungkinkan Anda mengecualikan AWS KMS acara dari jejak. Pengaturan per-jejak ini mengecualikan semua AWS KMS peristiwa; Anda tidak dapat mengecualikan acara tertentu. AWS KMS
**Awas**
Mengecualikan AWS KMS peristiwa dari CloudTrail Log dapat mengaburkan tindakan yang menggunakan kunci KMS Anda. Berhati-hatilah saat memberikan `cloudtrail:PutEventSelectors` kepada pengguna utama yang diperlukan untuk melakukan operasi ini.
Untuk mengecualikan AWS KMS acara dari jejak:
+ Di CloudTrail konsol, gunakan setelan **peristiwa Layanan Manajemen Kunci Log** saat Anda [membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) atau [memperbarui jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Untuk petunjuk, lihat [Logging Management Events dengan Konsol Manajemen AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html) di Panduan AWS CloudTrail Pengguna.
+ Di CloudTrail API, gunakan [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operasi. Tambahkan atribut `ExcludeManagementEventSources` pada pemilih peristiwa Anda dengan nilai `kms.amazonaws.com`. Sebagai contoh, lihat [Contoh: Jejak yang tidak mencatat AWS Key Management Service peristiwa](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms) di Panduan AWS CloudTrail Pengguna.
Anda dapat menonaktifkan pengecualian ini kapan saja dengan mengubah pengaturan konsol atau pemilih peristiwa untuk jejak. Jejak kemudian akan mulai merekam AWS KMS acara. Namun, itu tidak dapat memulihkan AWS KMS peristiwa yang terjadi saat pengecualian efektif.
Saat Anda mengecualikan AWS KMS peristiwa dengan menggunakan konsol atau API, operasi CloudTrail `PutEventSelectors` API yang dihasilkan juga dicatat di CloudTrail Log Anda. Jika AWS KMS peristiwa tidak muncul di CloudTrail Log Anda, cari `PutEventSelectors` acara dengan `ExcludeManagementEventSources` atribut yang disetel ke`kms.amazonaws.com`.