As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Registrando chamadas de AWS KMS API com AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

AWS KMS é integrado com [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/), um serviço que registra todas as chamadas feitas AWS KMS por usuários, funções e outros AWS serviços. CloudTrail captura todas as chamadas de API para AWS KMS como eventos, incluindo chamadas do AWS KMS console AWS KMS APIs, CloudFormation modelos, do AWS Command Line Interface (AWS CLI) e. Ferramentas da AWS para PowerShell

CloudTrail [registra todas as AWS KMS operações, incluindo operações somente para leitura, como [ListAliases](ct-listaliases.md)e [GetKeyRotationStatus](ct-getkeyrotationstatus.md), operações que gerenciam chaves KMS, como e, [CreateKey](ct-createkey.md)e [operações criptográficas [PutKeyPolicy](ct-put-key-policy.md)](kms-cryptography.md#cryptographic-operations), como e Decrypt. [GenerateDataKey](ct-generatedatakey.md)](ct-decrypt.md) Ele também registra operações internas que AWS KMS chamam por você [DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md), como [DeleteKey[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)](ct-delete-key.md),, [RotateKey](ct-rotatekey.md)e.

CloudTrail registra todas as operações bem-sucedidas e, em alguns cenários, tentativas de chamadas que falharam, como quando o chamador não tem acesso a um recurso. As [operações entre contas em chaves do KMS](key-policy-modifying-external-accounts.md) são registradas em log na conta do autor da chamada e na conta do proprietário da chave do KMS. No entanto, as AWS KMS solicitações entre contas que são rejeitadas porque o acesso foi negado são registradas somente na conta do chamador.

Por motivos de segurança, alguns campos são omitidos das entradas de AWS KMS registro, como o `Plaintext` parâmetro de uma solicitação [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) e a resposta [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)ou qualquer operação criptográfica. Para facilitar a pesquisa de entradas de CloudTrail registro para chaves KMS específicas, AWS KMS adiciona o [ARN da chave](concepts.md#key-id-key-ARN) KMS afetada ao `responseElements` campo nas entradas de registro de AWS KMS algumas operações de gerenciamento de chaves, mesmo quando a operação da API não retorna o ARN da chave.

Embora, por padrão, todas AWS KMS as ações sejam registradas como CloudTrail eventos, você pode excluir AWS KMS ações de uma CloudTrail trilha. Para obter detalhes, consulte [Excluindo AWS KMS eventos de uma trilha](#filtering-kms-events).

**Saiba mais:** 
+ Para obter exemplos de CloudTrail registros de AWS KMS operações para plataformas certificadas, consulte[Monitorar solicitações atestadas](ct-attestation.md).

**Topics**
+ [Localizando entradas de AWS KMS registro em CloudTrail](#searching-kms-ct)
+ [Excluindo AWS KMS eventos de uma trilha](#filtering-kms-events)
+ [Exemplos de entradas de AWS KMS registro](understanding-kms-entries.md)

## Localizando entradas de AWS KMS registro em CloudTrail
<a name="searching-kms-ct"></a>

Para pesquisar entradas de CloudTrail registro, use o [CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) ou a [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)operação. CloudTrail suporta vários [valores de atributos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events) para filtrar sua pesquisa, incluindo nome do evento, nome do usuário e fonte do evento. 

Para ajudá-lo a pesquisar entradas de AWS KMS registro em CloudTrail, AWS KMS preenche os seguintes campos de entrada de CloudTrail registro.

**nota**  
A partir de dezembro de 2022, AWS KMS preenche os atributos **Tipo de recurso** e **Nome do recurso** em todas as operações de gerenciamento que alteram uma chave KMS específica. Esses valores de atributos podem ser nulos em CloudTrail entradas mais antigas para as seguintes operações: [CreateAlias[CreateGrant[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html), [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html), [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html), [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html), [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html), e. [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)


| Atributo | Valor | Entradas de log | 
| --- | --- | --- | 
| Origem do evento (EventSource) | kms.amazonaws.com | Todas as operações. | 
| Tipo de recurso (ResourceType) | AWS::KMS::Key | Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys. | 
| Nome do recurso (ResourceName) | ARN da chave (ou ID da chave e ARN da chave) | Operações de gerenciamento que alteram uma chave do KMS específica, como CreateKey e EnableKey, mas não ListKeys. | 

Para ajudá-lo a encontrar entradas de registro para operações de gerenciamento em chaves KMS específicas, AWS KMS registra o ARN da chave KMS afetada no elemento `responseElements.keyId` da entrada de registro, mesmo quando a operação da API não AWS KMS retorna o ARN da chave.

Por exemplo, uma chamada bem-sucedida para a [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operação não retorna nenhum valor na resposta, mas em vez de um valor nulo, o `responseElements.keyId` valor na [entrada do DisableKey registro](ct-disablekey.md) inclui o ARN da chave KMS desativada.

Esse recurso foi adicionado em dezembro de 2022 e afeta as seguintes entradas de CloudTrail registro: [CreateAlias[CreateGrant[DeleteAlias](ct-deletealias.md)](ct-creategrant.md)](ct-createalias.md), [DeleteKey](ct-delete-key.md), [DisableKey](ct-disablekey.md), [EnableKey](ct-enablekey.md), [EnableKeyRotation](ct-enablekeyrotation.md), [ImportKeyMaterial](ct-importkeymaterial.md), [RotateKey](ct-rotatekey.md), [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md), [TagResource](ct-tagresource.md), [UntagResource](ct-untagresource.md), [UpdateAlias](ct-updatealias.md),, [UpdatePrimaryRegion](ct-update-primary-region.md)e.

## Excluindo AWS KMS eventos de uma trilha
<a name="filtering-kms-events"></a>

Para fornecer um registro do uso e gerenciamento de seus AWS KMS recursos, a maioria dos AWS KMS usuários confia nos eventos em uma CloudTrail trilha. A trilha pode ser uma fonte valiosa de dados para auditar eventos críticos, como criar, desativar e excluir AWS KMS keys, alterar a política de chaves e o uso de suas chaves KMS por AWS serviços em seu nome. Em alguns casos, os metadados em uma entrada de CloudTrail registro, como o [contexto de criptografia](encrypt_context.md) em uma operação de criptografia, podem ajudá-lo a evitar ou resolver erros.

No entanto, como AWS KMS pode gerar um grande número de eventos, AWS CloudTrail permite excluir AWS KMS eventos de uma trilha. Essa configuração por trilha exclui todos os AWS KMS eventos; você não pode excluir eventos específicos AWS KMS .

**Atenção**  
A exclusão de AWS KMS eventos de um CloudTrail registro pode obscurecer ações que usam suas chaves KMS. Tenha cuidado ao conceder aos principais a permissão `cloudtrail:PutEventSelectors` que é necessária para executar essa operação.

Para excluir AWS KMS eventos de uma trilha: 
+ No CloudTrail console, use a configuração **Registrar eventos do Serviço de Gerenciamento de Chaves** ao [criar uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) ou [atualizar uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html). Para obter instruções, consulte [Registrar eventos de gerenciamento com o Console de gerenciamento da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html) no Guia AWS CloudTrail do usuário.
+ Na CloudTrail API, use a [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operação. Adicione o atributo `ExcludeManagementEventSources` aos seletores de eventos com um valor de `kms.amazonaws.com`. Por exemplo, consulte [Exemplo: uma trilha que não registra AWS Key Management Service eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms) no Guia do AWS CloudTrail usuário.

É possível desativar essa exclusão a qualquer momento alterando a configuração do console ou os seletores de eventos de uma trilha. A trilha então começará a registrar AWS KMS os eventos. No entanto, ele não pode recuperar AWS KMS eventos que ocorreram enquanto a exclusão era efetiva.

Quando você exclui AWS KMS eventos usando o console ou a API, a operação de CloudTrail `PutEventSelectors` API resultante também é registrada nos seus CloudTrail registros. Se AWS KMS os eventos não aparecerem nos seus CloudTrail registros, procure um `PutEventSelectors` evento com o `ExcludeManagementEventSources` atributo definido como`kms.amazonaws.com`.