기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Verified·Access에 대한 저장 데이터 암호화
AWS Verified·Access는 기본적으로 AWS 소유 KMS 키를 사용하여 저장 데이터를 암호화합니다. 저장 데이터를 기본적으로 암호화하면 민감한 데이터를 보호하는 데 수반되는 운영 오버헤드와 복잡성을 줄이는 데 도움이 됩니다. 동시에 엄격한 암호화 규정 준수 및 규제 요구 사항을 충족하는 안전한 애플리케이션을 구축할 수 있습니다. 다음 섹션에서는 Verified·Access가 저장된 데이터 암호화에 KMS 키를 사용하는 방법에 대한 세부 정보를 제공합니다.
**Topics**
+ [Verified·Access 및 KMS 키](#kms-keys)
+ [개인 식별 정보](#types-of-pii)
+ [AWS Verified·Access가에서 권한 부여를 사용하는 방법 AWS KMS](#encryption-grant)
+ [Verified·Access로 고객 관리형 키 사용](#using-cmk)
+ [Verified·Access 리소스에 대한 고객 관리형 키 지정](#enable-additional-encryption)
+ [AWS Verified·Access 암호화 컨텍스트](#encryption-context)
+ [AWS Verified·Access에 대한 암호화 키 모니터링](#monitor-key-use)
## Verified·Access 및 KMS 키
**AWS 소유 키**
Verified·Access는 KMS 키를 사용하여 개인 식별 정보(PII)를 자동으로 암호화합니다. 이는 기본적으로 발생하며 AWS 소유 키의 사용을 직접 확인, 관리, 사용 또는 감사할 수 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 조치를 취하거나 어떤 프로그램을 변경할 필요가 없습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS 소유 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)를 참조하세요.
이 암호화 계층을 비활성화하거나 대체 암호화 유형을 선택할 수는 없지만 Verified Access 리소스를 생성할 때 고객 관리형 키를 선택하여 기존 AWS 소유 암호화 키에 두 번째 암호화 계층을 추가할 수 있습니다.
**고객 관리형 키**
Verified·Access는 생성 및 관리하는 대칭 고객 관리형 키를 사용하여 기존 기본 암호화에 두 번째 암호화 계층을 추가할 수 있도록 지원합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+ 태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키
자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하십시오.
**참고**
Verified·Access는 AWS 소유 키를 사용하여 저장 데이터 암호화를 자동으로 활성화하여 개인 식별 데이터를 무료로 보호합니다.
그러나 고객 관리형 키를 사용하는 경우 AWS KMS 요금이 적용됩니다. 요금에 대한 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/)을 참조하십시오.
## 개인 식별 정보
다음 표는 Verified·Access에서 사용하는 개인 식별 정보(PII) 및 암호화 방법을 요약합니다.
| 데이터 유형 | AWS 소유 키 암호화 | 고객 관리형 키 암호화(선택 사항) |
| --- | --- | --- |
| Trust provider (user-type)사용자 유형 신뢰 공급자에는 AuthorizationEndpoint, UserInfoEndpoint, ClientId, ClientSecret 등과 같이 PII로 간주되는 OIDC 옵션이 포함되어 있습니다. | 활성화됨 | 활성화됨 |
| Trust provider (device-type)디바이스 유형 신뢰 공급자에는 PII로 간주되는 TenantId가 포함되어 있습니다. | 활성화됨 | 활성화됨 |
| Group policyVerified·Access 그룹을 생성하거나 수정하는 동안 제공됩니다. 액세스 요청 승인에 대한 규칙을 포함합니다. 사용자 이름, 이메일 주소 등과 같은 PII를 포함할 수 있습니다. | 활성화됨 | 활성화됨 |
| Endpoint policyVerified·Access 엔드포인트를 생성하거나 수정하는 동안 제공됩니다. 액세스 요청 승인에 대한 규칙을 포함합니다. 사용자 이름, 이메일 주소 등과 같은 PII를 포함할 수 있습니다. | 활성화됨 | 활성화됨 |
## AWS Verified·Access가에서 권한 부여를 사용하는 방법 AWS KMS
Verified·Access는 고객 관리형 키를 사용할 수 있는 [권한](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)이 필요합니다.
고객 관리형 키로 암호화된 Verified·Access 리소스를 생성하면 Verified·Access는 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을에 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 Verified·Access에 계정의 고객 관리형 키에 대한 액세스 권한을 부여하는 데 사용됩니다.
Verified·Access는 다음 내부 작업에 대해 고객 관리형 키를 사용할 수 있는 권한이 필요합니다.
+ AWS KMS 에 [복호화](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 요청을 보내 암호화된 데이터 키를 복호화하여 데이터를 복호화하는 데 사용할 수 있도록 합니다.
+ [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) 요청을에 전송 AWS KMS 하여 권한 부여를 삭제합니다.
언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 그렇게 하면 Verified·Access는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 의존하는 작업에 영향을 미칩니다.
## Verified·Access로 고객 관리형 키 사용
AWS Management Console또는 AWS KMS APIs. *AWS Key Management Service 개발자 안내서*의 [대칭 암호화 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html) 단계를 따릅니다.
**키 정책**
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)을 참조하세요.
Verified·Access 리소스에서 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다.
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` - 고객 관리형 키에 권한 부여를 추가합니다. 지정된 KMS 키에 제어 액세스 권한을 부여하여 Verified·Access에 필요한 [작업을 허용](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)를 참조하세요.
이를 통해 Verified·Access는 다음을 수행할 수 있습니다.
+ 데이터 키가 암호화에 즉시 사용되지 않으므로 암호화된 데이터 키를 생성하고 저장하려면 `GenerateDataKeyWithoutPlainText`를 호출합니다.
+ 저장된 암호화된 데이터 키를 사용하여 암호화된 데이터에 액세스하려면 `Decrypt`를 호출합니다.
+ `RetireGrant`에 대한 서비스를 허용하도록 사용 중지 주체를 설정합니다.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)` – Verified·Access에서 키를 검증할 수 있도록 고객 관리형 키 세부 정보를 제공합니다.
+ `[kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)` - Verified·Access가 키를 사용하여 데이터를 암호화할 수 있도록 허용합니다.
+ `[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)` - Verified·Access가 암호화된 데이터 키를 해독할 수 있도록 허용합니다.
다음은 Verified·Access에 사용할 수 있는 키 정책의 예입니다.
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Verified Access",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "verified-access.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [키 정책 생성](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) 및 [키 액세스 문제 해결을](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) 참조하세요.
## Verified·Access 리소스에 대한 고객 관리형 키 지정
고객 관리형 키를 지정하여 다음 리소스에 2차 계층 암호화를 제공할 수 있습니다.
+ [Verified·Access 그룹](verified-access-groups.md)
+ [Verified·Access 엔드포인트](verified-access-endpoints.md)
+ [Verified·Access 신뢰 공급자](trust-providers.md)
를 사용하여 이러한 리소스를 생성할 때 **추가 암호화 -- 선택 사항** 섹션에서 고객 관리형 키를 지정할 AWS Management Console수 있습니다. 프로세스 중에 **암호화 설정 사용자 지정(고급)** 확인란을 선택한 다음 사용하려는 AWS KMS 키 ID를 입력합니다. 기존 리소스를 수정하거나 AWS CLI를 사용하여 이 작업을 수행할 수도 있습니다.
**참고**
위의 리소스에 암호화를 더 추가하는 데 사용되는 고객 관리형 키가 손실될 경우 리소스의 구성 값에 더 이상 액세스할 수 없습니다. 그러나 AWS Management Console 또는를 사용하여 새 고객 관리형 키를 AWS CLI적용하고 구성 값을 재설정하여 리소스를 수정할 수 있습니다.
## AWS Verified·Access 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.는 암호화 컨텍스트를 추가 인증 데이터로 AWS KMS 사용하여 인증된 암호화를 지원합니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하면는 암호화 컨텍스트를 암호화된 데이터에 AWS KMS 바인딩합니다. 요청에 동일한 암호화 컨텍스트를 포함해야 이 데이터를 해독할 수 있습니다.
**AWS Verified·Access 암호화 컨텍스트**
Verified·Access는 모든 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 여기서 키는 AWS KMS `aws:verified-access:arn`이고 값은 리소스 Amazon 리소스 이름(ARN)입니다. 다음은 Verified·Access 리소스의 암호화 컨텍스트입니다.
**Verified·Access 신뢰 공급자**
```
"encryptionContext": {
"aws:verified-access:arn":
"arn:aws:ec2:region:111122223333:VerifiedAccessTrustProviderId"
}
```
**Verified·Access 그룹**
```
"encryptionContext": {
"aws:verified-access:arn":
"arn:aws:ec2:region:111122223333:VerifiedAccessGroupId"
}
```
**Verified·Access 엔드포인트**
```
"encryptionContext": {
"aws:verified-access:arn":
"arn:aws:ec2:region:111122223333:VerifiedAccessEndpointId"
}
```
## AWS Verified·Access에 대한 암호화 키 모니터링
AWS Verified·Access 리소스와 함께 고객 관리형 KMS 키를 사용하는 경우 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)를 사용하여 Verified·Access가 보내는 요청을 추적할 수 있습니다 AWS KMS.
다음 예제는 고객 관리형 KMS 키로 암호화된 데이터에 액세스하기 위해 Verified Access에서 호출한 KMS 작업을 `GenerateDataKey`모니터링하는 `CreateGrant` `RetireGrant``Decrypt`, , `DescribeKey`, 및에 대한 AWS CloudTrail 이벤트입니다.
------
#### [ CreateGrant ]
고객 관리형 키를 사용하여 리소스를 암호화하는 경우 Verified·Access는 사용자를 대신하여 AWS 계정의 키에 액세스하라는 `CreateGrant` 요청을 보냅니다. Verified·Access에서 생성하는 권한 부여는 고객 관리형 키와 연결된 리소스에만 적용됩니다.
다음 예제 이벤트는 `CreateGrant` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T16:27:12Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T16:41:42Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"operations": [
"Decrypt",
"RetireGrant",
"GenerateDataKey"
],
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae",
"constraints": {
"encryptionContextSubset": {
"aws:verified-access:arn": "arn:aws:ec2:ca-central-1:111122223333:verified-access-trust-provider/vatp-0e54f581e2e5c97a2"
}
},
"granteePrincipal": "verified-access.ca-central-1.amazonaws.com",
"retiringPrincipal": "verified-access.ca-central-1.amazonaws.com"
},
"responseElements": {
"grantId": "e5a050fff9893ba1c43f83fddf61e5f9988f579beaadd6d4ad6d1df07df6048f",
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
},
"requestID": "0faa837e-5c69-4189-9736-3957278e6444",
"eventID": "1b6dd8b8-cbee-4a83-9b9d-d95fa5f6fd08",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ RetireGrant ]
Verified·Access는 리소스를 삭제할 때 `RetireGrant` 작업을 사용하여 권한 부여를 제거합니다.
다음 예제 이벤트는 `RetireGrant` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T16:42:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T16:47:53Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": null,
"responseElements": {
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
},
"additionalEventData": {
"grantId": "b35e66f9bacb266cec214fcaa353c9cf750785e28773e61ba6f434d8c5c7632f"
},
"requestID": "7d4a31c2-d426-434b-8f86-336532a70462",
"eventID": "17edc343-f25b-43d4-bbff-150d8fff4cf8",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/5ed79e7f-88c9-420c-ae1a-61ee87104dae"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Verified·Access는 저장된 암호화된 데이터 키를 사용하여 암호화된 데이터에 액세스하는 `Decrypt` 작업을 호출합니다.
다음 예제 이벤트는 `Decrypt` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T17:19:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T17:47:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e",
"encryptionContext": {
"aws:verified-access:arn": "arn:aws:ec2:ca-central-1:111122223333:verified-access-trust-provider/vatp-00f20a4e455e9340f",
"aws-crypto-public-key": "AkK+vi1W/acBKv7OR8p2DeUrA8EgpTffSrjBqNucODuBYhyZ3hlMuYYJz9x7CwQWZw=="
}
},
"responseElements": null,
"requestID": "2e920fd3-f2f6-41b2-a5e7-2c2cb6f853a9",
"eventID": "3329e0a3-bcfb-44cf-9813-8106d6eee31d",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
Verified·Access는 `DescribeKey` 작업을 사용하여 리소스와 연결된 고객 관리형 키가 계정 및 리전에 존재하는지 확인합니다.
다음 예제 이벤트는 `DescribeKey` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T17:19:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T17:46:48Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
},
"responseElements": null,
"requestID": "5b127082-6691-48fa-bfb0-4d40e1503636",
"eventID": "ffcfc2bb-f94b-4c00-b6fb-feac77daff2a",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
다음 예제 이벤트는 `GenerateDataKey` 작업을 기록합니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-11T17:19:33Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "verified-access.amazonaws.com"
},
"eventTime": "2023-09-11T17:46:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "ca-central-1",
"sourceIPAddress": "verified-access.amazonaws.com",
"userAgent": "verified-access.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:verified-access:arn": "arn:aws:ec2:ca-central-1:111122223333:verified-access-trust-provider/vatp-00f20a4e455e9340f",
"aws-crypto-public-key": "A/ATGxaYatPUlOtM+l/mfDndkzHUmX5Hav+29IlIm+JRBKFuXf24ulztmOIsqFQliw=="
},
"numberOfBytes": 32,
"keyId": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
},
"responseElements": null,
"requestID": "06535808-7cce-4ae1-ab40-e3afbf158a43",
"eventID": "1ce79601-5a5e-412c-90b3-978925036526",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:ca-central-1:111122223333:key/380d006e-706a-464b-99c5-68768297114e"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------