Criptografia de dados em repouso em AWS IoT Core - AWS IoT Core
AWS chaves de propriedadeChaves gerenciadas pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em repouso em AWS IoT Core

Por padrão, todos os AWS IoT Core dados em repouso são criptografados usando chaves AWS próprias. AWS IoT Core também suporta chaves simétricas gerenciadas pelo cliente a partir de AWS Key Management Service (AWS KMS). Com as chaves gerenciadas pelo cliente, você pode criar, possuir e gerenciar as AWS KMS chaves em sua AWS conta. AWS IoT Core usará suas chaves KMS para criptografar seus dados em repouso. Você tem controle total sobre essas chaves do KMS, incluindo a criação e a manutenção de suas políticas de chaves. Você também pode configurar políticas do IAM para as funções que acessam AWS KMS para controlar as permissões dessas chaves.

AWS chaves de propriedade

AWS chaves próprias são uma coleção de chaves KMS que um AWS serviço possui e gerencia para uso em várias AWS contas. AWS os serviços podem usar chaves AWS próprias para proteger seus dados. Por padrão, AWS IoT Core criptografa dados em repouso usando chaves AWS próprias. Essas chaves são gerenciadas pelo serviço. Você não pode visualizar, gerenciar ou usar chaves AWS próprias. No entanto, você não precisa realizar nenhuma ação para proteger essas chaves.

Para obter mais informações sobre chaves AWS próprias, consulte chaves AWS próprias no Guia do AWS Key Management Service desenvolvedor.

Chaves gerenciadas pelo cliente

As chaves gerenciadas pelo cliente são chaves KMS em sua AWS conta que você cria, possui e gerencia. Você tem controle total sobre essas AWS KMS chaves, incluindo a criação e a manutenção de suas políticas principais. Você também pode configurar políticas do IAM para as funções que acessam AWS KMS para controlar as permissões dessas chaves. Você pode configurar AWS IoT Core para usar chaves KMS gerenciadas pelo cliente para criptografar seus dados.

Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service .

Para ativar as chaves gerenciadas pelo cliente AWS IoT Core, siga estas etapas:

Etapa 1: criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS KMS console ou os comandos da AWS KMS CLI. O keySpec deve ser SYMMETRIC_DEFAULT e o keyUsage deve serENCRYPT_DECRYPT.

nota

AWS IoT Core só suporta AWS KMS SYMMETRIC_DEFAULT chaves com especificação e uso de ENCRYPT_DECRYPT chaves para chaves gerenciadas pelo cliente.

Veja a seguir um exemplo de AWS CLI comando para criar uma chave KMS que pode ser usada com chaves gerenciadas AWS IoT Core pelo cliente.

aws kms create-key --key-spec SYMMETRIC_DEFAULT --key-usage ENCRYPT_DECRYPT --region us-west-2

Veja a seguir um exemplo de saída do comando.

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": "2024-09-19T11:45:23.982000-07:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": false
    }
}

Para obter mais informações, consulte Criação de uma chave simétrica gerenciada pelo cliente no Guia do AWS Key Management Service desenvolvedor.

Política de chave

Ao criar uma chave gerenciada pelo cliente, você pode especificar uma política de chaves. As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Para obter mais informações, consulte Políticas principais no Guia do AWS Key Management Service desenvolvedor.

AWS IoT Core usa uma função do IAM em sua conta para acessar sua chave gerenciada pelo cliente. Se você estiver usando uma política de chave personalizada, certifique-se de que a função do IAM criada nessa chave tenha as seguintes permissões:

  • kms:DescribeKey

  • kms:Decrypt

  • kms:Encrypt

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncryptTo

  • kms:ReEncryptFrom

Etapa 2: criar uma função do IAM para conceder AWS IoT Core permissões para usar a chave KMS

AWS IoT Core Para usar a chave KMS que você criou para criptografar seus dados em repouso, você também precisa criar uma função do IAM em sua conta, que AWS IoT Core pode assumir o acesso à chave KMS.

A função deve ter a seguinte política de confiança para AWS IoT Core permitir que você assuma a função.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "iot.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "111122223333"
            },
            "ArnLike": {
                "aws:SourceArn": "arn:aws:iot:us-west-2:111122223333:*"
            }
        }
    }
}

Certifique-se de que as políticas do IAM anexadas à função do IAM tenham as seguintes permissões na chave KMS:

  • kms:DescribeKey

  • kms:Decrypt

  • kms:Encrypt

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncryptTo

  • kms:ReEncryptFrom

Veja a seguir um exemplo de política do IAM com as permissões necessárias para chaves gerenciadas pelo cliente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIoTToAccessKMSResource",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": [
                "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws-crypto-ec:vendor": "iot.amazonaws.com"
                }
            }
        }
    ]
}

Para obter mais informações, consulte Criar uma função para delegar permissões a um usuário do IAM no Guia do AWS Identity and Access Management usuário.

Etapa 3: ativar as chaves gerenciadas pelo cliente no AWS IoT Core

Depois de concluir todas as etapas anteriores, execute o comando update-encryption-configuration CLI para optar por usar as chaves gerenciadas pelo cliente. AWS IoT Core Quando você opta por usar as chaves gerenciadas pelo cliente, todos os AWS IoT Core recursos AWS da sua conta serão criptografados usando a AWS KMS chave especificada.

  1. Para ativar o AWS IoT Core uso de chaves gerenciadas pelo cliente AWS CLI, execute o comando update-encryption-configuration CLI.

    aws iot update-encryption-configuration --encryption-type "CUSTOMER_MANAGED_KMS_KEY" \
--kms-access-role-arn "arn:aws:iam::111122223333:role/myrole" \
--kms-key-arn "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --region us-west-2

  2. Para verificar se as chaves gerenciadas pelo cliente estão AWS CLI sendo usadas, execute o comando describe-encryption-configuration CLI: AWS IoT Core 

    aws iot describe-encryption-configuration --region us-west-2

    Se você ativou as chaves gerenciadas pelo cliente AWS IoT Core, a saída pode ter a seguinte aparência:

    {
    "encryptionType": "CUSTOMER_MANAGED_KMS_KEY",
    "kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "kmsAccessRoleArn": "arn:aws:iam::111122223333:role/myrole",
    "configurationDetails": {
        "configurationStatus": "HEALTHY"
    },
    "lastModifiedDate": "2024-09-26T22:01:02.365000-07:00"
}

    O lastModifiedDate campo indica a data em que a configuração de criptografia foi atualizada pela última vez.

    Se você não ativou as chaves gerenciadas pelo cliente, o resultado pode ser semelhante ao seguinte:

    {
    "encryptionType": "AWS_OWNED_KMS_KEY",
    "lastModifiedDate": "2024-09-26T22:01:02.365000-07:00"
}

Etapa 4: Permissões adicionais necessárias para operações do plano de AWS IoT Core controle

Depois de optar pelas chaves gerenciadas pelo cliente, todos os AWS IoT Core recursos pertencentes à sua AWS conta são criptografados com a chave KMS fornecida. Todas as operações do plano de controle agora exigem que o chamador tenha kms:Decrypt permissões na chave KMS, além das permissões necessárias para a operação específica no AWS IoT Core recurso. Se o chamador não tiver kms:Decrypt permissão e fizer uma chamada de API que exija criptografia ou decodificação de dados (por exemplo,GetPolicy), ele receberá uma. UnauthorizedException

Por exemplo, ao ligarGetPolicy, você precisa de ambas as kms:Decrypt permissões iot:GetPolicy e da chave KMS gerenciada pelo cliente para que a chamada de API seja bem-sucedida.

nota

Ao atualizar os usuários ou funções do IAM para conceder AWS KMS permissões na chave usada para sua configuração de criptografia, certifique-se de que a política de chaves do KMS também conceda as permissões necessárias aos respectivos usuários ou funções do IAM.

AWS KMS permissões para UpdateEncryptionConfiguration

A chamada de UpdateEncryptionConfiguration API precisa das seguintes AWS KMS permissões na chave KMS para poder aceitar as chaves gerenciadas pelo cliente ou modificar a configuração da chave:

  • kms:DescribeKey

  • kms:Decrypt

  • kms:Encrypt

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:ReEncryptTo

  • kms:ReEncryptFrom

AWS KMS permissões para todos os outros planos de controle APIs

A maioria dos planos de controle APIs exige kms:Decrypt permissões quando as chaves gerenciadas pelo cliente estão habilitadas. No entanto, alguns APIs não exigem essas permissões adicionais:

APIs que não exigem AWS KMS permissões

A List* e Delete* APIs não caia nesse balde. Os clientes sempre podem invocar qualquer API List* ou uma API do plano de Delete* controle, e essas chamadas de API seriam bem-sucedidas mesmo que o chamador não tivesse kms:Decrypt permissão. Essas chamadas de API serão bem-sucedidas mesmo que sua chave gerenciada pelo cliente não esteja íntegra List* e não Delete* APIs faça nenhuma decodificação.

  • Lista* APIs — Todas as operações de listagem (por exemplo,ListThings,ListPolicies,ListCertificates)

  • Excluir* APIs — Todas as operações de exclusão (por exemplo,,,) DeleteThing DeletePolicy DeleteCertificate

Etapa 5: Gerenciando chaves

AWS IoT Core executa verificações periódicas na configuração da chave gerenciada pelo cliente para garantir que as operações de criptografia e descriptografia não sejam afetadas. Essas verificações de saúde são executadas uma vez a cada minuto e verificam a capacidade AWS IoT Core da empresa de acessar e usar a AWS KMS chave e a função do IAM associada para operações de criptografia e descriptografia.

SAUDÁVEL

AWS IoT Core pode acessar com êxito a AWS KMS chave por meio da função do IAM especificada e realizar encryption/decryption operações. Todos os componentes funcionam corretamente.

INSALUBRE

AWS IoT Core não consigo acessar ou usar a AWS KMS chave. Isso evita novas operações de criptografia e pode afetar a funcionalidade do serviço. O errorCode campo indica se o problema está na chave ou na função do IAM.

Ações do cliente que podem afetar a saúde essencial

Várias ações do cliente podem fazer com que o status principal de saúde mude de HEALTHY paraUNHEALTHY:

Principais ações relacionadas

  • Excluindo uma AWS KMS chave — Quando você agenda a exclusão de uma chave, ela está em um Pending deletion status e não pode ser usada

  • Desabilitar uma AWS KMS chave — Quando você desativa uma chave KMS, ela não pode mais ser usada para operações de criptografar/descriptografar

  • Chave de agendamento para exclusão — A chave se torna inutilizável quando a exclusão é concluída

  • Modificando a política de chaves — Removendo as permissões necessárias para AWS IoT Core acesso

  • Alterando as permissões de uso das chaves — Restringindo as ações necessárias AWS KMS

Ações relacionadas à função do IAM

  • Excluindo a função do IAM — não AWS IoT Core consigo assumir a função de acessar a chave

  • Modificando as permissões da função — Removendo AWS KMS as permissões necessárias da política da função

  • Mudando a política de confiança — impedindo que o AWS IoT Core serviço assuma a função

  • Adicionar condições restritivas — Condições que AWS IoT Core impedem o uso da função

Ações em nível de conta

  • Alterações de acesso às chaves entre contas — Modificação de permissões para chaves em contas diferentes

  • Políticas de controle de serviços (SCPs) — políticas em nível organizacional que restringem o acesso AWS KMS

  • Políticas de IAM em nível de conta — políticas que substituem ou entram em conflito com o acesso à chave

Importante

Qualquer alteração nas AWS KMS chaves, funções do IAM ou políticas usadas pelo AWS IoT Core deve ser testada primeiro em ambientes de desenvolvimento. Monitore o status de integridade da chave de perto após fazer qualquer alteração para garantir que a AWS IoT Core funcionalidade não seja afetada.

Atualizando a configuração de criptografia

Atualize sua configuração de criptografia AWS IoT Core para mudar de uma chave gerenciada pelo cliente para outra, ou entre chaves AWS próprias e chaves gerenciadas pelo cliente.

Para alterar a configuração para uma chave gerenciada pelo cliente diferente:

  1. Crie uma nova chave gerenciada pelo cliente seguindo as etapas emEtapa 1: criar uma chave gerenciada pelo cliente.

  2. Atualize sua política de função do IAM para incluir permissões para as chaves antigas e novas durante o período de atualização.

  3. Atualize sua configuração de criptografia para usar a nova chave:

    aws iot update-encryption-configuration --encryption-type "CUSTOMER_MANAGED_KMS_KEY" \
--kms-access-role-arn "arn:aws:iam::111122223333:role/myrole" \
--kms-key-arn "arn:aws:kms:us-west-2:111122223333:key/new-key-id"
Importante

Durante as atualizações da configuração de criptografia, mantenha o acesso à função anterior do IAM e à chave KMS por até uma hora. Isso permite concluir AWS IoT Core o processo de recriptografia enquanto mantém o acesso ininterrupto aos dados. Monitore a CMK.Health métrica para verificar uma transição bem-sucedida.

Para alterar a configuração das chaves gerenciadas pelo cliente para chaves AWS próprias:

aws iot update-encryption-configuration --encryption-type "AWS_OWNED_KMS_KEY"
nota

Ao atualizar a configuração de criptografia para novas chaves gerenciadas pelo cliente, certifique-se de que as chaves antigas e novas permaneçam acessíveis para que a operação seja bem-sucedida.

Cenários e impactos comuns de falhas

A tabela a seguir descreve cenários de falha comuns quando as chaves são excluídas ou desativadas:

Cenário Impacto imediato Consequências a longo

Chave desativada

Todas as novas encryption/decryption operações falham imediatamente

Interrupção do serviço até que a chave seja reativada ou substituída

Chave programada para exclusão

O status da chave é alterado para exclusão pendente e todas as encryption/decryption operações falharão

Falha automática do serviço quando a exclusão é concluída

Chave excluída permanentemente

Falha imediata e permanente de todas as operações

Perda permanente de dados e incapacidade de recuperar dados criptografados

Política de chave modificada incorretamente

AWS IoT Core perde as permissões de acesso à chave

Falhas no serviço até que a política seja corrigida

Função do IAM excluída

AWS IoT Core não pode assumir a função de acessar a chave

Falha completa no serviço de criptografia

A função do IAM foi modificada incorretamente

AWS IoT Core não pode assumir a função ou usar a função para acessar a chave

Falhas de serviço até que a função do IAM seja corrigida
Prevenção e melhores práticas

Para evitar a exclusão ou desativação acidental da chave e minimizar o risco de falhas no serviço:

Implemente as principais políticas de ciclo de vida

Estabeleça procedimentos claros para criação, rotação e retirada de chaves. Documente quais chaves são usadas por quais AWS IoT Core recursos e mantenha um inventário das chaves ativas.

Use políticas do IAM para restringir a exclusão de chaves

Crie políticas de IAM que evitem que usuários não autorizados excluam ou desativem chaves críticas de criptografia. Use condições para exigir aprovação adicional para operações de exclusão de chaves.

Ativar CloudTrail registro

Monitore todas as AWS KMS principais operações CloudTrail para detectar atividades de gerenciamento de chaves não autorizadas ou acidentais. Configure alertas para exclusão, desativação ou alterações na política de chaves.

Procedimentos de substituição de chaves de teste

Teste regularmente seus procedimentos de substituição de chaves em ambientes que não sejam de produção para garantir que você possa se recuperar rapidamente de falhas relacionadas a chaves.

Mantenha os principais backups

Embora você não possa exportar material de AWS KMS chaves, mantenha registros detalhados das chaves ARNs, das políticas e das AWS IoT Core configurações associadas para facilitar a substituição rápida das chaves, se necessário.

Monitore a integridade das chaves

Monitore continuamente a CMK.Health métrica e configure alertas automatizados para as principais mudanças no status de saúde. Implemente respostas automatizadas para resolver rapidamente os principais problemas relacionados.

Importante

Sempre teste os principais procedimentos de atualização em ambientes de desenvolvimento antes de implementá-los na produção. Tenha um plano de reversão documentado e garanta que os principais procedimentos de substituição possam ser executados rapidamente em caso de emergências.

Etapa 6: Monitorando a integridade das chaves

Como parte das verificações AWS IoT Core periódicas, CloudWatch métricas e registros são emitidos para fornecer visibilidade sobre o status de integridade da configuração de sua chave gerenciada pelo cliente

AWS IoT Core emite a CMK.Health métrica pelo CloudWatch menos uma vez a cada minuto. A métrica fornece informações sobre o status de integridade das chaves gerenciadas pelo cliente usadas AWS IoT Core para criptografar e descriptografar seus dados.

A CMK.Health métrica pode ter os seguintes valores:

  • O valor é1: AWS IoT Core é capaz de usar as chaves de criptografia com sucesso para criptografar e descriptografar seus dados.

  • O valor AWS IoT Core é0: não consegue usar as chaves de criptografia para criptografar e descriptografar seus dados.

AWS IoT Core também emite registros AWS IoT V2 quando o status de integridade das chaves de criptografia muda. Esses registros fornecem detalhes adicionais sobre a atualização do status de saúde. Para visualizar esses registros, você deve habilitar os registros AWS IoT V2. Os HEALTHY registros são emitidos em INFO nível e os UNHEALTHY registros são emitidos em nívelERROR. Para obter mais informações sobre os níveis de registro, consulte Níveis de registro.

Os exemplos a seguir são entradas de CloudWatch registro emitidas por AWS IoT Core para indicar a atualização do status de saúde das chaves gerenciadas pelo cliente.

Para monitorar e responder de forma eficaz às principais mudanças no estado de saúde:

  1. Configure CloudWatch alarmes para a CMK.Health métrica:

    aws cloudwatch put-metric-alarm --region us-west-2 \
  --alarm-name "IoTCore-CMK-Health-Alert" \
  --alarm-description "Alert when IoT Core CMK health is unhealthy" \
  --metric-name "CMK.Health" \
  --namespace "AWS/IoT" \
  --statistic "Minimum" \
  --period 300 \
  --evaluation-periods 1 \
  --threshold 1 \
  --comparison-operator "LessThanThreshold" \
  --alarm-actions "arn:aws:sns:us-west-2:111122223333:iot-alerts"

  2. Ative o registro AWS IoT V2 para capturar eventos detalhados de alteração do status de saúde com códigos e mensagens de erro.

  3. Verifique o status da configuração para solucionar problemas:

    aws iot describe-encryption-configuration --region us-west-2

  4. Investigue o status de NÃO SAUDÁVEL examinando o errorCode campo:

    • KMS_KEY_VALIDATION_ERROR— Problema com a AWS KMS chave (desativado, excluído ou problemas de política)

    • ROLE_VALIDATION_ERROR— Problema com a função do IAM (excluído, problemas de política ou problemas de confiança)

De INSALUBRE a SAUDÁVEL

Quando o status das chaves de criptografia for atualizado de UNHEALTHY paraHEALTHY, AWS IoT Core emitirá uma mensagem de log AWS IoT V2 no seguinte formato.

{
    "timestamp": "2017-08-10 15:37:23.476",
    "logLevel": "INFO",
    "traceId": "8421693b-f4f0-4e4a-9235-0cff8bab897d",
    "accountId": "111122223333",
    "status": "SUCCESS",
    "cmkStatus": "HEALTHY",
    "kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "kmsAccessRoleArn": "arn:aws:iam::111122223333:role/myrole",
    "eventType": "CmkHealthCheck"
}

De SAUDÁVEL a INSALUBRE

Quando o status das chaves de criptografia for atualizado de HEALTHY paraUNHEALTHY, AWS IoT Core emitirá uma mensagem de log AWS IoT V2 no seguinte formato.

{
    "timestamp": "2017-08-10 15:37:23.476",
    "logLevel": "ERROR",
    "traceId": "8421693b-f4f0-4e4a-9235-0cff8bab897d",
    "accountId": "111122223333",
    "status": "FAILURE",
    "cmkStatus": "UNHEALTHY",
    "errorCode": "KMS_KEY_VALIDATION_ERROR / ROLE_VALIDATION_ERROR",
    "errorMessage": "Error message on why there was a failure",
    "kmsKeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "kmsAccessRoleArn": "arn:aws:iam::111122223333:role/myrole",
    "eventType": "CmkHealthCheck"
}
Atenção

Quando a integridade é fundamentalUNHEALTHY, AWS IoT Core as operações falham imediatamente. Se isso ocorrer, revise suas principais configurações, permissões de função e políticas do IAM. Monitore a CMK.Health métrica em busca de mudanças de status. Se as operações continuarem falhando após revisar suas configurações, entre em contato com seu gerente de conta ou com o AWS Support Center para obter assistência adicional.

AWS CloudTrail eventos

Você também pode monitorar AWS IoT Core o uso da chave KMS para operações de criptografia e descriptografia. AWS IoT Core faráDescribeKey,, DecryptReEncrypt, e GenerateDataKeyWithoutPlaintext operações em sua chave KMS para criptografar/descriptografar dados pertencentes à sua AWS conta armazenados em repouso.

Existem CloudTrail eventos para DescribeKeyDecrypt,ReEncrypt, GenerateDataKeyWithoutPlaintext e. Esses eventos monitoram AWS KMS as operações chamadas por AWS IoT Core para acessar dados criptografados pela chave gerenciada pelo cliente.

Exemplo de Decrypt
{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "*********************",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "*****"
            },
            "attributes": {
                "creationDate": "2024-09-16T20:23:39Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "iot.amazonaws.com"
    },
    "eventTime": "2024-09-16T20:32:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "iot.amazonaws.com",
    "userAgent": "iot.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "kms-arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws-crypto-ec:vendor": "iot.amazonaws.com",
            "branch-key-id": "111122223333",
            "type": "branch:ACTIVE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "responseElements": null,
    "requestID": "1afb6d98-8388-455d-8b48-e62c9e0cf7f4",
    "eventID": "b59a5f16-0d98-46d8-a590-0e040a48b39b",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}