本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 记录使用 VPC 终端节点的 AWS KMS 请求 AWS CloudTrail 记录使用 VPC 终端节点的所有操作。当请求 AWS KMS 使用 VPC 终端节点时,VPC 终端节点 ID 会出现在记录该请求的[AWS CloudTrail 日志](logging-using-cloudtrail.md)条目中。您可以使用终端节点 ID 来审计 AWS KMS VPC 终端节点的使用情况。 但是,您的 CloudTrail 日志不包括其他账户中的委托人请求的操作或其他账户中对 KMS 密钥和别名的 AWS KMS 操作请求。此外,为了保护您的 VPC,被 VPC 端点策略拒绝但却以其他方式允许的请求不记录在 [AWS CloudTrail](logging-using-cloudtrail.md) 中。 例如,此示例日志条目记录了使用 VPC 终端节点的 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 请求。`vpcEndpointId` 字段出现在日志条目的末尾。 ``` { "eventVersion":"1.05", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accessKeyId": "EXAMPLE_KEY_ID", "accountId": "111122223333", "userName": "Alice" }, "eventTime":"2018-01-16T05:46:57Z", "eventSource":"kms.amazonaws.com", "eventName":"GenerateDataKey", "awsRegion":"eu-west-1", "sourceIPAddress":"172.01.01.001", "userAgent":"aws-cli/1.14.23 Python/2.7.12 Linux/4.9.75-25.55.amzn1.x86_64 botocore/1.8.27", "requestParameters":{ "keyId":"1234abcd-12ab-34cd-56ef-1234567890ab", "numberOfBytes":128 }, "responseElements":null, "requestID":"a9fff0bf-fa80-11e7-a13c-afcabff2f04c", "eventID":"77274901-88bc-4e3f-9bb6-acf1c16f6a7c", "readOnly":true, "resources":[{ "ARN":"arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId":"111122223333", "type":"AWS::KMS::Key" }], "eventType":"AwsApiCall", "recipientAccountId":"111122223333", "vpcEndpointId": "vpce-1234abcdf5678c90a" } ```