Documentación de Oracle Cloud Infrastructure

Supervisión del uso de claves

Descubra cómo supervisar el uso de claves en Oracle Cloud Infrastructure mediante datos de log.

La supervisión del uso de claves para operaciones de cifrado y descifrado puede ser valiosa para varios casos de uso, incluidos los siguientes:

  • Gestión del ciclo de vida: comprender cuándo se utilizó por última vez una clave es fundamental para tomar decisiones de retención informadas. Las claves que se utilizan con poca frecuencia, como las que soportan cargas de trabajo de base de datos, pueden seguir siendo de importancia operativa a pesar de la actividad limitada. La ampliación de la retención de logs a través de OCI Connector Hub permite una visibilidad más profunda de los patrones de uso históricos, lo que permite a los equipos tomar decisiones conscientes del riesgo sobre si retener, rotar o retirar claves.
  • Seguridad: el uso de la clave de supervisión puede alertarle de una actividad inusual.
  • Supervisión o investigación del comportamiento de la aplicación: la correlación del comportamiento de la aplicación con el uso de claves puede proporcionar información útil para resolver problemas con las aplicaciones o mejorar su rendimiento.

En este tema se detalla cómo puede utilizar los logs de Oracle Cloud Infrastructure (OCI) para supervisar el uso de claves.

Datos de registro disponibles

El servicio de registro de OCI proporciona varios tipos de logs, incluidos los siguientes:

Logs de auditoría

Logs de auditoría: utilice logs de auditoría para supervisar las operaciones de gestión, como:

  • Crear, actualizar y suprimir operaciones para gestionar claves y almacenes
  • Rotación de operaciones para claves

Los logs de auditoría no registran operaciones criptográficas como Decrypt o GenerateDataEncryptionKey (actividad de plano de datos), que, en su lugar, se registran opcionalmente en los logs de servicio.

Logs de servicio

El cliente debe activar los logs de servicio que se van a utilizar. Cuando se activa para Key Management, los logs de servicio capturan metadatos, incluidos:

  • Principio de llamada (el usuario, la función o la instancia que instiga la operación clave)
  • OCID de Clave
  • Versión de clave
  • Tipo de operación (por ejemplo, Decrypt)
  • Registro de hora
  • Detalles de almacén y compartimento
Importante

Los logs de servicio no registran información confidencial que pueda comprometer la seguridad de los datos para su organización o sus clientes. Consulte Detalles de Key Management para obtener más información sobre los datos que recopilan los logs de servicio para Key Management.

Activación de logs de servicio para un almacén

Para activar los logs de servicio, necesita los permisos de IAM necesarios. Consulte Detalles de Logging en la documentación de IAM Service para obtener información.

Tenga en cuenta que los logs de servicio están activados en el nivel de almacén. Repita los pasos de este tema para cada almacén regional para el que desee activar el registro.

Consulte Activación del registro para un recurso en la documentación del servicio Logging para obtener más información.

  1. Abra el menú de navegación y seleccione Observación y gestión. En Registro, seleccione Logs.
  2. Seleccione Enable Service Log (Activar log de servicio).
  3. Configure el log de la siguiente manera:
    • Compartimento: seleccione el compartimento que contiene el almacén para el que está activando el registro.
    • Servicio: gestión de claves
    • Recurso: seleccione el almacén que desea supervisar mediante logs de servicio.
    • Categoría de log: operaciones criptográficas.
    • Nombre de log: introduzca un nombre para el log.
  4. Seleccione Activar Registro.

Ver y consultar logs de KMS

  1. Abra el menú de navegación y seleccione Observación y gestión. En Registro, seleccione Logs.
  2. Vaya a un log de servicio que haya creado para un almacén en la vista de lista de logs. Consulte Obtención de detalles de un log si necesita instrucciones.
  3. Utilice los controles Ordenar y Filtrar por tiempo para controlar qué entradas de log se muestran en la lista de entradas de Explorar log. La columna type muestra el tipo de operación criptográfica que representa la entrada. Por ejemplo, una entrada para una operación de descifrado tiene el siguiente tipo de entrada:

    keymanagementservice.vault.crypto.decrypt

    En la siguiente imagen se muestra un log de ejemplo con una lista de entradas de log:

    Imagen de una página de detalles del log de servicio para operaciones criptográficas de KMS.
  4. Para ver los detalles completos de una entrada de log, seleccione la flecha al final de la fila de la entrada para ampliar la entrada y ver una vista con formato JSON de los detalles de la entrada.

    En la siguiente imagen se muestra un ejemplo de los detalles de una entrada de log en formato JSON:

    Imagen de una entrada de log de servicio de KMS en formato JSON.
    {
  "datetime": 1754361617552,
  "logContent": {
    "data": {
      "clientIpAddress": "<example_ip>",
      "keyVersionId": "ocid1.keyversion.oc1.iad.<example_ocid>",
      "opcRequestId": "<example_request_id>",
      "principalId": "objectstorage-us-ashburn-1/<example_principle>",
      "requestAction": "DECRYPT",
      "statusCode": 200
    },
    "id": "51777c94-e29c-4e78-9121-946c77301f62",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1.<example_ocid>",
      "ingestedtime": "2025-08-05T02:40:55.747Z",
      "loggroupid": "ocid1.loggroup.oc1.<example_ocid>",
      "logid": "ocid1.log.oc1.iad.<example_ocid>",
      "tenantid": "ocid1.tenancy.oc1.<example_ocid>"
    },
    "source": "ocid1.vault.oc1.iad.<example_ocid>",
    "specversion": "1.0",
    "subject": "ocid1.key.oc1.iad.<example_ocid>",
    "time": "2025-08-05T02:40:17.552Z",
    "type": "com.oraclecloud.keymanagementservice.vault.crypto.decrypt"
  },
  "regionId": "us-ashburn-1"
}
  5. Para buscar entradas por una consulta personalizada, seleccione Acciones y, a continuación, Explorar con búsqueda de log. El modo básico para la búsqueda de logs se muestra de forma predeterminada y permite escribir palabras clave (como "cifrar") o valores o cadenas únicos (como un valor principalId) en el campo Filtros personalizados. También puede seleccionar Modo avanzado y utilizar la sintaxis de consulta para buscar en el log. Consulte Obtención de detalles de un log y Búsqueda de log para obtener más información sobre la búsqueda de logs.