KMS支援和Action Trail、Log Service整合,記錄密鑰和憑據使用過程中的各種事件,用於故障排除、安全監控等。本文介紹如何查詢密鑰以及憑據的使用記錄。
背景資訊
通常我們將密鑰和憑據的事件分為兩部分,一部分是管控類操作,例如密鑰的建立、刪除,憑據的建立、刪除,修改密鑰別名等。一部分是業務類操作,即密碼運算操作、擷取憑據值。不同事件以及不同業務情境查詢方式不同。
KMS執行個體中的密鑰和憑據
資源類型 | 事件類型 | 事件查詢方式 |
密鑰 | 管控類操作 | Action Trail。 |
業務類操作(即密碼運算操作) |
| |
憑據 | 管控類操作 | Action Trail。 |
業務類操作(即擷取憑據值操作) |
|
非KMS執行個體中的密鑰和憑據
非KMS執行個體中的密鑰,即預設密鑰。非KMS執行個體中的憑據,即針對部分舊版本使用者,無需購買KMS執行個體也能建立憑據,目前已不支援該情境。
資源類型 | 事件類型 | 事件查詢方式 |
密鑰 | 管控類操作 | Action Trail。 |
業務類操作(即密碼運算操作) | Action Trail。 | |
憑據 | 管控類操作 | Action Trail。 |
業務類操作(即擷取憑據值操作) | 可以通過Action Trail,也可以通過Log Service。 說明 僅能通過KMS服務Endpoint擷取憑據值。 |
注意事項
查詢密鑰相關事件時,通過Action Trail可以查詢所有狀態的密鑰的事件記錄,但使用Log Service時僅能查詢處於可用狀態(即啟用中)的密鑰的事件記錄。
通過Action Trail查詢
Action Trail控制台的事件查詢頁面以及進階查詢頁面,都可以查詢相關事件。支援查詢的事件詳情,請參見Key Management Service支援被審計的事件說明。
事件查詢:預設支援查詢最近90天內的事件,由Action Trail免費提供。
進階查詢:您需要先建立跟蹤並選擇將事件投遞到Log ServiceSLS,才能使用進階查詢。具體操作,請參見單帳號跟蹤概覽、多帳號跟蹤概覽。需要注意您只能查詢到建立跟蹤後的事件,如果您需要查詢建立跟蹤前的90天內的事件,請參見建立資料回補投遞任務。
說明建立跟蹤將事件投遞到Log ServiceSLS,需要按照SLS定價單獨付費。
方式一:在事件查詢頁面查詢
在左側導覽列,單擊。
選擇關聯資源名稱,輸入您要查詢的密鑰ID或憑據ID,選擇時間範圍後單擊
表徵圖。
在頁面下方找到目標事件,單擊操作列的查看事件詳情。
方式二:在進階查詢頁面查詢
在左側導覽列,單擊。
選擇跟蹤名稱,然後關閉頁面右上方的簡單查詢,輸入查詢語句。
可以參考如下查詢語句:
查詢指定密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.eventRW: "Read") AND "key-szz63dc8c429ermur****",請將key-szz63dc8c429ermur****替換為真實的密鑰ID。查詢處于禁用狀態的密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.Disabled")。查詢處於待刪除狀態的密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.PendingDeletion")。查詢已到期執行個體中的密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.Unavailable")。說明關於更多與密鑰狀態相關的錯誤碼,請參見公用錯誤碼。
查詢指定憑據的事件:
* AND (event.serviceName: "Kms") AND (event.eventName: "GetSecretValue") AND "SecretName",請將SecretName替換為真實的憑據ID。
在頁面下方找到目標事件,單擊操作列的查看事件詳情。
使用Log Service查詢
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
在日志服务頁面,選擇執行個體ID,在密鑰/憑據ID中輸入密鑰ID或憑據ID。
設定查詢的時間範圍,然後單擊查詢/分析。
說明日誌的儲存時間為180天,180天之前的日誌資料會被刪除,因此只支援查詢最近180天內的日誌資料。
查詢結果相對於指定的時間範圍有1分鐘以內的誤差。
查詢/分析操作不產生額外的後付費。