As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Registrar em log chamadas de API do AWS KMS com o AWS CloudTrail
O AWS KMSestá integrado aoAWS CloudTrail, um serviço que registra todas as chamadas parao AWS KMSpor usuários, funções e outros serviços da AWS. O CloudTrail captura todas as chamadas de API para o AWS KMS como eventos, incluindo chamadas do console do AWS KMS, APIs do AWS KMS, modelos do CloudFormation, a AWS Command Line Interface (AWS CLI) e o Ferramentas da AWS para PowerShell.
O CloudTrail registra todas as operações do AWS KMS, incluindo operações somente leitura, como ListAliases e GetKeyRotationStatus, operações que gerenciam chaves do KMS, como CreateKey e PutKeyPolicy, e operações de criptografia, como GenerateDataKey e DecryptDecrypt. Também registra as operações internas que o AWS KMS chama para você, como DeleteExpiredKeyMaterial, DeleteKey, SynchronizeMultiRegionKey e RotateKey.
O CloudTrail registra em log as operações bem-sucedidas e, em alguns cenários, as tentativas de chamadas que falharam, como quando o acesso do autor da chamada a um recurso é negado. As operações entre contas em chaves do KMS são registradas em log na conta do autor da chamada e na conta do proprietário da chave do KMS. No entanto, as solicitações do AWS KMS entre contas que são rejeitadas porque o acesso foi negado só são registradas na conta do chamador.
Por motivos de segurança, alguns campos são omitidos das entradas de log do AWS KMS, como o parâmetro Plaintext de uma solicitação de criptografia e a resposta a GetKeyPolicy ou a qualquer operação de criptografia. Para facilitar a pesquisa de entradas de log do CloudTrail para chaves do KMS específicas, o AWS KMS adiciona o ARN da chave da chave do KMS afetada ao campo responseElements nas entradas de log de algumas operações de gerenciamento de chaves do AWS KMS, mesmo quando a operação da API não retorna o ARN da chave.
Embora todas as ações do AWS KMS sejam registradas como eventos do CloudTrail por padrão, é possível excluir ações do AWS KMS de uma trilha do CloudTrail. Para obter detalhes, consulte Excluir eventos do AWS KMS de uma trilha.
Saiba mais:
-
Para obter exemplos de registro em log do CloudTrail de operações do AWS KMS para as plataformas atestadas, consulte Monitorar solicitações atestadas.
Tópicos
Localizar entradas de log do AWS KMS no CloudTrail
Para pesquisar entradas de log do CloudTrail, use o console do CloudTrail ou a operação LookupEvents do CloudTrail. O CloudTrail oferece suporte a vários valores de atributos para filtrar a pesquisa, como nome do evento, nome de usuário e origem do evento.
Para ajudar você a pesquisar entradas de log do AWS KMS no CloudTrail, o AWS KMS preenche os seguintes campos de entrada de log do CloudTrail.
nota
Desde de dezembro de 2022, o AWS KMS preenche os atributos Resource type (Tipo de recurso) e Resource name (Nome do recurso) em todas as operações de gerenciamento que alteram uma chave do KMS específica. Esses valores de atributos podem ser nulos em entradas antigas do CloudTrail para as seguintes operações: CreateAlias, CreateGrant, DeleteAlias, DeleteImportedKeyMaterial, ImportKeyMaterial, ReplicateKey, RetireGrant, RevokeGrant, UpdateAlias e UpdatePrimaryRegion.
| Atributo | Valor | Entradas de log |
|---|---|---|
Origem do evento (EventSource) |
kms.amazonaws.com |
Todas as operações. |
Tipo de recurso (ResourceType) |
AWS::KMS::Key |
Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys. |
Nome do recurso (ResourceName) |
ARN da chave (ou ID da chave e ARN da chave) | Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys. |
Para ajudar a encontrar entradas de log para operações de gerenciamento em chaves do KMS específicas, o AWS KMS registra o ARN da chave do KMS afetada no elemento responseElements.keyId da entrada de log, mesmo quando a operação da API do AWS KMS não retorna o ARN da chave.
Por exemplo, uma chamada bem-sucedida para a operação DisableKey não retorna nenhum valor na resposta, mas em vez de um valor nulo, o valor responseElements.keyId na entrada de log DisableKey inclui o ARN da chave do KMS desabilitada.
Esse recurso foi adicionado em dezembro de 2022 e afeta as seguintes entradas de log do CloudTrail: CreateAlias, CreateGrant, DeleteAlias, DeleteKey, DisableKey, EnableKey, EnableKeyRotation, ImportKeyMaterial, RotateKey, SynchronizeMultiRegionKey, TagResource, UntagResource, UpdateAlias e UpdatePrimaryRegion.
Excluir eventos do AWS KMS de uma trilha
Para fornecer um registro de uso e gerenciamento dos recursos do AWS KMS, a maioria dos usuários do AWS KMS conta com os eventos de uma trilha do CloudTrail . Essa trilha pode ser uma fonte de dados valiosa para auditar eventos críticos, como criar, desabilitar e excluir AWS KMS keys, alterar a política de chaves e o uso das chaves do KMS pelos serviços da AWS em seu nome. Em alguns casos, os metadados em uma entrada de log do CloudTrail, como o contexto de criptografia em uma operação de criptografia, podem ajudar a evitar ou resolver erros.
No entanto, como o AWS KMS pode gerar um grande número de eventos, o AWS CloudTrail permite excluir eventos do AWS KMS de uma trilha. Essa configuração por trilha exclui todos os eventos do AWS KMS; não é possível excluir eventos específicos do AWS KMS.
Atenção
A exclusão de eventos do AWS KMS de um log do CloudTrail pode obscurecer ações que usam as suas chaves do KMS. Tenha cuidado ao conceder aos principais a permissão cloudtrail:PutEventSelectors que é necessária para executar essa operação.
Para excluir eventos do AWS KMS de uma trilha:
-
No console do CloudTrail, use a configuração Log Key Management Service events (Registrar em log eventos do Key Management Service) ao criar uma trilha ou atualizar uma trilha. Para instruções, consulte Registrar em log eventos de gerenciamento com o Console de gerenciamento da AWS, no Manual do usuário do AWS CloudTrail.
-
Na API do CloudTrail, use a operação PutEventSelectors. Adicione o atributo
ExcludeManagementEventSourcesaos seletores de eventos com um valor dekms.amazonaws.com. Para um exemplo, consulte Exemplo: uma trilha que não registra eventos do AWS Key Management Service, no Manual do usuário do AWS CloudTrail.
É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. Então, a trilha começará a gravar os eventos do AWS KMS. No entanto, ela não pode recuperar eventos do AWS KMS que ocorreram enquanto a exclusão estava em vigor.
Quando você exclui eventos do AWS KMS usando o console ou a API, a operação resultante da API PutEventSelectors do CloudTrail também é registrada no CloudTrail Logs. Se eventos do AWS KMS não aparecem no CloudTrail Logs, procure um evento PutEventSelectors com o atributo ExcludeManagementEventSources definido como kms.amazonaws.com.
