Audit kms cloudtrail

(audit) các lệnh gọi API sử dụng khóa KMS thông qua CloudTrail. Đây là một điểm rất quan trọng, đặc biệt là trong các kỳ thi chứng chỉ AWS.

Kiểm tra hoạt động KMS bằng CloudTrail chi tiết hơn:

AWS CloudTrail là dịch vụ ghi lại các lệnh gọi API (actions) được thực hiện bởi người dùng, vai trò hoặc dịch vụ AWS trong tài khoản của bạn. Đối với AWS KMS, CloudTrail sẽ tự động ghi lại tất cả các lệnh gọi API liên quan đến việc quản lý và sử dụng các khóa KMS của bạn.

Những loại lệnh gọi API nào của KMS được ghi lại bởi CloudTrail?

Hầu như mọi tương tác với KMS đều được ghi lại. Các loại lệnh gọi API phổ biến được ghi lại bao gồm (nhưng không giới hạn):

  • Các hoạt động quản lý khóa (Key Management Operations):
  • CreateKey: Tạo một khóa KMS mới.
  • DisableKey: Vô hiệu hóa một khóa KMS.
  • EnableKey: Kích hoạt lại một khóa KMS.
  • DeleteKey: Yêu cầu xóa một khóa KMS (có thời gian chờ).
  • PutKeyPolicy: Đặt hoặc cập nhật chính sách cho khóa KMS.
  • GetKeyPolicy: Lấy chính sách hiện tại của khóa KMS.
  • ListKeys: Liệt kê các khóa KMS trong tài khoản.
  • ScheduleKeyDeletion: Lên lịch xóa khóa.
  • CancelKeyDeletion: Hủy bỏ lịch xóa khóa.
  • EnableKeyRotation: Bật xoay vòng khóa tự động.
  • DisableKeyRotation: Tắt xoay vòng khóa tự động.
  • ImportKeyMaterial: Nhập vật liệu khóa.
  • Các hoạt động mật mã (Cryptographic Operations):
  • Encrypt: Mã hóa dữ liệu bằng khóa KMS.
  • Decrypt: Giải mã dữ liệu bằng khóa KMS.
  • GenerateDataKey: Tạo khóa dữ liệu (data key) được mã hóa bởi khóa KMS chính.
  • GenerateDataKeyWithoutPlaintext: Tạo khóa dữ liệu chỉ ở dạng được mã hóa.
  • ReEncrypt: Mã hóa lại dữ liệu đã được mã hóa bằng một khóa KMS khác.
  • Sign: Ký dữ liệu bằng khóa bất đối xứng.
  • Verify: Xác minh chữ ký bằng khóa bất đối xứng.

Thông tin có trong nhật ký CloudTrail cho một sự kiện KMS:

Mỗi bản ghi trong CloudTrail (gọi là "event record") cho một lệnh gọi API KMS sẽ chứa các thông tin chi tiết giúp bạn xác định:

  • Ai đã thực hiện hành động? (User identity: user, role, AWS service).
  • Thời gian hành động xảy ra? (Timestamp).
  • Hành động cụ thể là gì? (Event name: tên lệnh gọi API, ví dụ: Decrypt, PutKeyPolicy).
  • Tài nguyên nào bị ảnh hưởng? (Resource ARN: ARN của khóa KMS được sử dụng hoặc quản lý).
  • Hành động được thực hiện từ đâu? (Source IP address).
  • Hành động được thực hiện như thế nào? (Request parameters: các tham số được truyền vào lệnh gọi API, ví dụ: ID khóa, dữ liệu cần mã hóa/giải mã - lưu ý: dữ liệu nhạy cảm thường không hiển thị trực tiếp).
  • Kết quả của hành động là gì? (Event outcome: thành công hay thất bại, và mã lỗi nếu có).
  • Vùng AWS nào hành động diễn ra? (AWS Region).

Tại sao khả năng kiểm tra này quan trọng?

  1. Bảo mật: Giúp phát hiện các hoạt động trái phép hoặc đáng ngờ liên quan đến khóa mã hóa của bạn. Bạn có thể biết liệu ai đó đang cố gắng truy cập hoặc thay đổi khóa mà họ không được phép.
  2. Tuân thủ (Compliance): Nhiều tiêu chuẩn tuân thủ yêu cầu ghi lại tất cả các hoạt động liên quan đến dữ liệu và khóa mã hóa. Nhật ký CloudTrail cung cấp bằng chứng về việc tuân thủ các quy định này.
  3. Điều tra sự cố: Khi có sự cố liên quan đến mã hóa/giải mã hoặc quyền truy cập dữ liệu, bạn có thể sử dụng nhật ký CloudTrail để truy vết nguyên nhân, xác định ai đã thực hiện hành động gì và vào thời điểm nào.
  4. Giám sát hoạt động: Hiểu rõ cách các ứng dụng và người dùng đang sử dụng các khóa KMS của bạn.

Tóm lại, sự tích hợp của KMS với CloudTrail cung cấp một lớp bảo mật và khả năng quan sát (observability) cực kỳ quan trọng. Nó không chỉ cho phép bạn sử dụng các khóa mã hóa một cách an toàn mà còn cung cấp khả năng kiểm tra chi tiết về mọi hoạt động sử dụng các khóa đó, điều này là nền tảng cho bảo mật, tuân thủ và khắc phục sự cố.

Hy vọng phần giải thích chi tiết này đã làm rõ hơn về khả năng kiểm tra (audit) của KMS thông qua CloudTrail!

Bình luận