本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS CloudTrail 记录 AWS KMS API 调用
AWS KMS 与 AWS CloudTrail 进行了集成,后者是一项纪录用户、角色和其他 AWS 服务对 AWS KMS 进行的所有调用的服务。CloudTrail 将对 AWS KMS 的所有 API 调用均作为事件捕获,包括来自 AWS KMS 控制台、AWS KMS API、CloudFormation 模板、AWS Command Line Interface(AWS CLI)和 AWS Tools for PowerShell 的调用。
CloudTrail 记录所有 AWS KMS 操作(包括只读操作),如 ListAliases 和 GetKeyRotationStatus,管理 KMS 密钥的操作,例如 CreateKey 和 PutKeyPolicy,以及加密操作,例如 GenerateDataKey 和 Decrypt。它还记录 AWS KMS 为您调用的内部操作,例如 DeleteExpiredKeyMaterial、DeleteKey、SynchronizeMultiRegionKey 和 RotateKey。
CloudTrail 会记录所有成功的操作,在某些情况下还会记录失败的调用尝试,例如当调用方被拒绝访问某个资源时。在 KMS 密钥上的跨账户操作将记录在调用方的账户和 KMS 密钥所有者账户中。但是,因访问被拒绝而受到拒绝的跨账户 AWS KMS 请求仅记录在发起人的账户中。
出于安全原因,有些字段将从 AWS KMS 日志条目中省略,例如 Encrypt 请求的 Plaintext 参数,以及对 GetKeyPolicy 或任何加密操作的响应。为了更轻松地搜索特定 KMS 密钥的 CloudTrail 日志条目,即使 API 操作没有返回密钥 ARN,AWS KMS 也会将受影响的 KMS 密钥的密钥 ARN 添加到某些 AWS KMS 密钥管理操作的日志条目中的 responseElements 字段中。
尽管默认情况下,所有 AWS KMS 操作都记录为 CloudTrail 事件,但您可以从 CloudTrail 跟踪中排除 AWS KMS 操作。有关更多信息,请参阅 从跟踪中排除 AWS KMS 事件。
了解更多
-
有关认证平台的 AWS KMS 操作 CloudTrail 日志示例,请参阅监控认证请求。
在 CloudTrail 中查找 AWS KMS 日志条目
要搜索 CloudTrail 日志条目,请使用 CloudTrail 控制台或 CloudTrail LookupEvents 操作。CloudTrail 支持多种属性值来筛选您的搜索,包括事件名称、用户名和事件源。
为了帮助您在 CloudTrail 中搜索 AWS KMS 日志条目,AWS KMS 会填充以下 CloudTrail 日志条目字段。
注意
从 2022 年 12 月开始,在更改特定 KMS 密钥的所有管理操作中,AWS KMS 会填充资源类型和资源名称属性。在以下操作的较早的 CloudTrail 条目中,这些属性值可能为空:CreateAlias、CreateGrant、DeleteAlias、DeleteImportedKeyMaterial、ImportKeyMaterial、ReplicateKey、RetireGrant、RevokeGrant、UpdateAlias 和 UpdatePrimaryRegion。
| 属性 | 值 | 日志条目 |
|---|---|---|
事件源(EventSource) |
kms.amazonaws.com |
全部操作。 |
资源类型(ResourceType) |
AWS::KMS::Key |
更改特定 KMS 密钥的管理操作,例如 CreateKey 和 EnableKey,而非 ListKeys。 |
资源名称(ResourceName) |
密钥 ARN(或密钥 ID 和密钥 ARN) | 更改特定 KMS 密钥的管理操作,例如 CreateKey 和 EnableKey,而非 ListKeys。 |
为了帮助您查找对特定 KMS 密钥进行管理操作的日志条目,即使 AWS KMS API 操作没有返回密钥 ARN,AWS KMS 也会将受影响的 KMS 密钥的密钥 ARN 记录在日志条目的 responseElements.keyId 元素中。
例如,成功调用 DisableKey 操作不会在响应中返回任何值,但是在 DisableKey 日志条目中,responseElements.keyId 值,而非空值,包含禁用的 KMS 密钥的密钥 ARN。
此功能添加于 2022 年 12 月,会影响以下 CloudTrail 日志条目:CreateAlias、CreateGrant、DeleteAlias、DeleteKey、DisableKey、EnableKey、EnableKeyRotation、ImportKeyMaterial、RotateKey、SynchronizeMultiRegionKey、TagResource、UntagResource、UpdateAlias 和 UpdatePrimaryRegion。
从跟踪中排除 AWS KMS 事件
大多数 AWS KMS 用户依靠 CloudTrail 跟踪中的事件来提供其 AWS KMS 资源的使用和管理记录。跟踪可以成为审核关键事件的宝贵数据来源,例如,创建、禁用和删除 AWS KMS keys,更改密钥策略以及 AWS 服务代表您使用 KMS 密钥。在某些情况下,CloudTrail 日志条目中的元数据(如加密操作中的加密上下文)可以帮助您避免或解决错误。
但是,由于 AWS KMS 可以生成大量事件,因此 AWS CloudTrail 允许您从跟踪中排除 AWS KMS 事件。此按跟踪设置会排除所有 AWS KMS 事件。您不能排除特定 AWS KMS 事件。
警告
从 CloudTrail 日志中排除 AWS KMS 事件可能会掩盖使用 KMS 密钥的操作。请谨慎赋予委托人执行此操作所需的 cloudtrail:PutEventSelectors 权限。
要从跟踪中排除 AWS KMS 事件,请执行以下操作:
-
在 CloudTrail 控制台中,在您创建跟踪或者更新跟踪时使用记录密钥管理服务事件设置。有关说明,请参阅 AWS CloudTrail 用户指南中的使用 AWS 管理控制台 记录管理事件。
-
在 CloudTrail API 中,使用 PutEventSelectors 操作。将
ExcludeManagementEventSources属性添加到值为kms.amazonaws.com的事件选择器中。有关示例,请参阅 AWS CloudTrail 用户指南中的示例:不记录 AWS Key Management Service 事件的跟踪。
您可以随时更改控制台设置或跟踪的事件选择器,以禁用此排除。随后,跟踪将开始记录 AWS KMS 事件。但是,它无法恢复在排除生效期间发生的 AWS KMS 事件。
使用控制台或 API 排除 AWS KMS 事件时,生成的 CloudTrail PutEventSelectors API 操作也会记录在 CloudTrail 日志中。如果 AWS KMS 事件未显示在 CloudTrail 日志中,请查找 ExcludeManagementEventSources 属性设置为 kms.amazonaws.com 的 PutEventSelectors 事件。
