操作审计支持查询密钥管理服务KMS(Key Management Service)相关事件。您可以快速查询KMS事件并获取事件发生的时间、地域和密钥等信息。本文为您举例说明KMS相关事件。

阿里云账号通过控制台获取密钥信息

以下示例表示,在北京时间2021年08月05日17:21:32,阿里云账号调用DescribeKey接口获取了杭州地域密钥3a6a031d-87ad-4a84-9c17-aa22e0b0****的信息。

{
  "eventId": "ab35a7a7-373a-4a36-a4f8-01fd6adcc6a0",
  "eventVersion": 1,
  "eventSource": "kms-intranet.cn-hangzhou.aliyuncs.com",
  "requestParameters": {
    "KeyId": "3a6a031d-87ad-4a84-9c17-aa22e0b0****"
  },
  "sourceIpAddress": "Internal",
  "userAgent": "AliyunConsole",
  "eventType": "ApiCall",
  "userIdentity": {
    "accountId": "506899367883****",
    "principalId": "506899367883****",
    "type": "root-account",
    "userName": "root"
  },
  "serviceName": "Kms",
  "apiVersion": "2016-01-20",
  "requestId": "ab35a7a7-373a-4a36-a4f8-01fd6adcc6a0",
  "eventTime": "2021-08-05T09:21:32Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DescribeKey"
}

示例中关键字段含义如下:

  • userIdentity.type:请求者的身份类型。取值为root-account,表示阿里云账号。
  • serviceName:事件相关的阿里云服务名称。取值为Kms,表示KMS。
  • eventName:事件名称。取值为DescribeKey,表示获取密钥信息。
  • requestParameters.KeyId:密钥ID。取值为3a6a031d-87ad-4a84-9c17-aa22e0b0****
  • acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。
  • eventTime:事件发生的时间(UTC格式)。取值为2021-08-05T09:21:32Z,表示北京时间2021年08月05日17:21:32。

RAM用户通过控制台获取密钥信息

以下示例表示,在北京时间2021年08月05日16:53:03,RAM用户Alice调用DescribeKey接口获取了杭州地域密钥e1ea5c30-04d3-41e4-b445-1eb5b656****的信息。

{
  "eventId": "c8d094ca-64b8-49cf-bbf3-2a9b540abed9",
  "eventVersion": 1,
  "eventSource": "kms-intranet.cn-hangzhou.aliyuncs.com",
  "requestParameters": {
    "KeyId": "e1ea5c30-04d3-41e4-b445-1eb5b656****"
  },
  "sourceIpAddress": "192.168.XX.XX",
  "userAgent": "AliyunConsole",
  "eventType": "ApiCall",
  "userIdentity": {
    "accountId": "111737649404****",
    "principalId": "23899132441193****",
    "type": "ram-user",
    "userName": "Alice"
  },
  "serviceName": "Kms",
  "apiVersion": "2016-01-20",
  "requestId": "c8d094ca-64b8-49cf-bbf3-2a9b540abed9",
  "eventTime": "2021-08-05T08:53:03Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DescribeKey"
}

示例中关键字段含义如下:

  • userIdentity.type:请求者的身份类型。取值为ram-user,表示RAM用户。
  • userIdentity.userName:请求者的RAM用户名称。
  • serviceName:事件相关的阿里云服务名称。取值为Kms,表示KMS。
  • eventName:事件名称。取值为DescribeKey,表示获取密钥信息。
  • requestParameters.KeyId:密钥ID。取值为e1ea5c30-04d3-41e4-b445-1eb5b656****
  • acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。
  • eventTime:事件发生的时间(UTC格式)。取值为2021-08-05T08:53:03Z,表示北京时间2021年08月05日16:53:03。

RAM用户通过AK调用API获取密钥信息

以下示例表示,在北京时间2021年08月05日17:02:30,RAM用户kms-test通过AK LTAI4GDYPA5jNycoezLH****调用DescribeKey接口获取了杭州地域密钥e1ea5c30-04d3-41e4-b445-1eb5b656****的信息。

{
  "eventId": "da43d031-cf5a-44ec-aec8-4a13f468aa12",
  "eventVersion": 1,
  "eventSource": "kms.cn-hangzhou.aliyuncs.com",
  "requestParameters": {
    "KeyId": "e1ea5c30-04d3-41e4-b445-1eb5b656****"
  },
  "sourceIpAddress": "192.168.XX.XX",
  "userAgent": "AlibabaCloud (Linux; amd64) Java/1.8.0_212-b04 Core/4.5.1 HTTPClient/ApacheHttpClient",
  "eventType": "ApiCall",
  "userIdentity": {
    "accessKeyId": "LTAI4GDYPA5jNycoezLH****",
    "accountId": "164165083897****",
    "principalId": "21682348916186****",
    "type": "ram-user",
    "userName": "kms-test"
  },
  "serviceName": "Kms",
  "apiVersion": "2016-01-20",
  "requestId": "da43d031-cf5a-44ec-aec8-4a13f468aa12",
  "eventTime": "2021-08-05T09:02:30Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DescribeKey"
}

示例中关键字段含义如下:

  • userIdentity.accessKeyId:发起API调用的AccessKey ID。取值为LTAI4GDYPA5jNycoezLH****
  • userIdentity.principalId:AK所属的账号ID。取值为21682348916186****
  • userIdentity.type:请求者的身份类型。取值为ram-user,表示RAM用户。
  • userIdentity.userName:请求者的RAM用户名称。
  • serviceName:事件相关的阿里云服务名称。取值为Kms,表示KMS。
  • eventName:事件名称。取值为DescribeKey,表示获取密钥信息。
  • requestParameters.KeyId:密钥ID。取值为e1ea5c30-04d3-41e4-b445-1eb5b656****
  • acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。
  • eventTime:事件发生的时间(UTC格式)。取值为2021-08-05T09:02:30Z,表示北京时间2021年08月05日17:02:30。

RAM用户通过角色扮演获取密钥信息

以下示例表示,在北京时间2021年08月05日17:20:28,阿里云账号132295042695****中的RAM用户通过扮演账号119997133354****下的RAM角色aliyunedasdefaultrole,获取了杭州地域密钥e1ea5c30-04d3-41e4-b445-1eb5b656****的信息。

{
  "eventId": "4e059394-8b95-4788-84cf-efe7aa8f6935",
  "eventVersion": 1,
  "eventSource": "kms.cn-hangzhou.aliyuncs.com",
  "requestParameters": {
    "KeyId": "e1ea5c30-04d3-41e4-b445-1eb5b656****",
    "stsTokenPlayerUid": "132295042695****"
  },
  "sourceIpAddress": "192.168.XX.XX",
  "userAgent": "AlibabaCloud (Linux; amd64) Java/1.8.0_92-b18 Core/4.5.6 HTTPClient/ApacheHttpClient",
  "eventType": "ApiCall",
  "userIdentity": {
    "accessKeyId": "STS.NUCmmh2n5RQcqryWqxsuv****",
    "accountId": "119997133354****",
    "principalId": "34933955188809****:fb23c186-5930-498a-a630-0a****",
    "type": "assumed-role",
    "userName": "aliyunedasdefaultrole:fb23c186-5930-498a-a630-0a****"
  },
  "serviceName": "Kms",
  "apiVersion": "2016-01-20",
  "requestId": "4e059394-8b95-4788-84cf-efe7aa8f6935",
  "eventTime": "2021-08-05T09:20:28Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DescribeKey"
}

示例中关键字段含义如下:

  • userIdentity.type:请求者的身份类型。取值为assumed-role,表示RAM角色。
  • userIdentity.userName:请求者的用户名。格式为{roleName}:{sessionName}roleName表示被扮演的角色名称,sessionName表示进行角色扮演时指定的名称。取值为aliyunedasdefaultrole:fb23c186-5930-498a-a630-0a****,表示被扮演的RAM角色名称是aliyunedasdefaultrole,进行角色扮演时指定的名称为fb23c186-5930-498a-a630-0a****
    说明 企业级分布式应用服务EDAS默认使用aliyunedasdefaultrole角色来访问您在其他云服务中的资源。
  • requestParameters.stsTokenPlayerUid:扮演者的阿里云账号ID。取值为132295042695****
  • serviceName:事件相关的阿里云服务名称。取值为Kms,表示KMS。
  • eventName:事件名称。取值为DescribeKey,表示获取密钥信息。
  • requestParameters.KeyId:密钥ID。取值为e1ea5c30-04d3-41e4-b445-1eb5b656****
  • acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。
  • eventTime:事件发生的时间(UTC格式)。取值为2021-08-05T09:20:28Z,表示北京时间2021年08月05日17:20:28。