KMS支持和操作審計、日志服務集成,記錄密鑰和憑據使用過程中的各種事件,用于故障排除、安全監控等。本文介紹如何查詢密鑰以及憑據的使用記錄。
背景信息
通常我們將密鑰和憑據的事件分為兩部分,一部分是管控類操作,例如密鑰的創建、刪除,憑據的創建、刪除,修改密鑰別名等。一部分是業務類操作,即密碼運算操作、獲取憑據值。不同事件以及不同業務場景查詢方式不同。
KMS實例中的密鑰和憑據
資源類型 | 事件類型 | 事件查詢方式 |
密鑰 | 管控類操作 | 操作審計。 |
業務類操作(即密碼運算操作) |
| |
憑據 | 管控類操作 | 操作審計。 |
業務類操作(即獲取憑據值操作) |
|
非KMS實例中的密鑰和憑據
非KMS實例中的密鑰,即默認密鑰。非KMS實例中的憑據,即針對部分舊版本用戶,無需購買KMS實例也能創建憑據,目前已不支持該場景。
資源類型 | 事件類型 | 事件查詢方式 |
密鑰 | 管控類操作 | 操作審計。 |
業務類操作(即密碼運算操作) | 操作審計。 | |
憑據 | 管控類操作 | 操作審計。 |
業務類操作(即獲取憑據值操作) | 可以通過操作審計,也可以通過日志服務。 說明 僅能通過KMS服務Endpoint獲取憑據值。 |
注意事項
查詢密鑰相關事件時,通過操作審計可以查詢所有狀態的密鑰的事件記錄,但使用日志服務時僅能查詢處于可用狀態(即啟用中)的密鑰的事件記錄。
通過操作審計查詢
操作審計控制臺的事件查詢頁面以及高級查詢頁面,都可以查詢相關事件。支持查詢的事件詳情,請參見密鑰管理服務支持被審計的事件說明。
事件查詢:默認支持查詢最近90天內的事件,由操作審計免費提供。
高級查詢:您需要先創建跟蹤并選擇將事件投遞到日志服務SLS,才能使用高級查詢。具體操作,請參見單賬號跟蹤概覽、多賬號跟蹤概覽。需要注意您只能查詢到創建跟蹤后的事件,如果您需要查詢創建跟蹤前的90天內的事件,請參見創建跟蹤歷史投遞任務。
說明創建跟蹤將事件投遞到日志服務SLS,需要按照SLS定價單獨付費。詳細信息,請參見SLS計費詳情。
方式一:在事件查詢頁面查詢
登錄操作審計控制臺。
在左側導航欄,單擊。
選擇關聯資源名稱,輸入您要查詢的密鑰ID或憑據ID,選擇時間范圍后單擊
圖標。
在頁面下方找到目標事件,單擊操作列的查看事件詳情。
方式二:在高級查詢頁面查詢
登錄操作審計控制臺。
在左側導航欄,單擊。
選擇跟蹤名稱,然后關閉頁面右上角的簡單查詢,輸入查詢語句。
可以參考如下查詢語句:
查詢指定密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.eventRW: "Read") AND "key-szz63dc8c429ermur****",請將key-szz63dc8c429ermur****替換為真實的密鑰ID。查詢處于禁用狀態的密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.Disabled")。查詢處于待刪除狀態的密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.PendingDeletion")。查詢已到期實例中的密鑰的事件:
* AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.Unavailable")。說明關于更多與密鑰狀態相關的錯誤碼,請參見公共錯誤碼。
查詢指定憑據的事件:
* AND (event.serviceName: "Kms") AND (event.eventName: "GetSecretValue") AND "SecretName",請將SecretName替換為真實的憑據ID。
在頁面下方找到目標事件,單擊操作列的查看事件詳情。
使用日志服務查詢
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
在日志服務頁面,選擇實例ID,在密鑰/憑據ID中輸入密鑰ID或憑據ID。
設置查詢的時間范圍,然后單擊查詢/分析。
說明日志的保存時間為180天,180天之前的日志數據會被刪除,因此只支持查詢最近180天內的日志數據。
查詢結果相對于指定的時間范圍有1分鐘以內的誤差。
查詢/分析操作不產生額外的后付費。