Untersuchen Sie die KMS wichtigsten Berechtigungen, um den Umfang der potenziellen Nutzung zu ermitteln Untersuchen Sie die AWS CloudTrail Protokolle, um die tatsächliche Nutzung zu ermitteln

Ermitteln Sie die frühere Verwendung eines KMS Schlüssels

Bevor Sie einen KMS Schlüssel löschen, möchten Sie vielleicht wissen, wie viele Chiffretexte unter diesem Schlüssel verschlüsselt wurden. AWS KMS speichert diese Informationen nicht und speichert auch keinen der Chiffretexte. Wenn Sie wissen, wie ein KMS Schlüssel in der Vergangenheit verwendet wurde, können Sie möglicherweise entscheiden, ob Sie ihn in future benötigen werden oder nicht. In diesem Thema werden verschiedene Strategien vorgeschlagen, anhand derer Sie ermitteln können, wie ein KMS Schlüssel in der Vergangenheit verwendet wurde.

Warnung

Diese Strategien zur Bestimmung der vergangenen und tatsächlichen Nutzung sind nur für AWS Benutzer und AWS KMS Operationen wirksam. Sie können die Verwendung des öffentlichen Schlüssels oder eines asymmetrischen KMS Schlüssels außerhalb von AWS KMS nicht erkennen. Einzelheiten zu den besonderen Risiken beim Löschen asymmetrischer KMS Schlüssel, die für die Kryptografie mit öffentlichen Schlüsseln verwendet werden, einschließlich der Erstellung von Chiffretexten, die nicht entschlüsselt werden können, finden Sie unter. Deleting asymmetric KMS keys

Themen

Untersuchen Sie die KMS wichtigsten Berechtigungen, um den Umfang der potenziellen Nutzung zu ermitteln
Untersuchen Sie die AWS CloudTrail Protokolle, um die tatsächliche Nutzung zu ermitteln

Untersuchen Sie die KMS wichtigsten Berechtigungen, um den Umfang der potenziellen Nutzung zu ermitteln

Wenn Sie herausfinden, wer oder was derzeit Zugriff auf einen KMS Schlüssel hat, können Sie möglicherweise feststellen, wie häufig der KMS Schlüssel verwendet wurde und ob er noch benötigt wird. Informationen darüber, wie Sie feststellen können, wer oder was derzeit Zugriff auf einen KMS Schlüssel hat, finden Sie unterBestimmung des Zugriffs auf AWS KMS keys.

Untersuchen Sie die AWS CloudTrail Protokolle, um die tatsächliche Nutzung zu ermitteln

Möglicherweise können Sie anhand eines Verlaufs der KMS Schlüsselverwendungen feststellen, ob Sie Chiffriertexte unter einem bestimmten KMS Schlüssel verschlüsselt haben.

Alle AWS KMS API Aktivitäten werden in AWS CloudTrail Protokolldateien aufgezeichnet. Wenn Sie in der Region, in der sich Ihr KMS Schlüssel befindet, einen CloudTrail Pfad erstellt haben, können Sie Ihre CloudTrail Protokolldateien überprüfen, um einen Verlauf aller AWS KMS API Aktivitäten für einen bestimmten KMS Schlüssel einzusehen. Wenn Sie keine Spur haben, können Sie sich die jüngsten Ereignisse trotzdem in Ihrem CloudTrail Eventverlauf ansehen. Einzelheiten zur AWS KMS Nutzung finden Sie CloudTrail unterAWS KMS APIAnrufe protokollieren mit AWS CloudTrail.

Die folgenden Beispiele zeigen CloudTrail Protokolleinträge, die generiert werden, wenn ein KMS Schlüssel zum Schutz eines in Amazon Simple Storage Service (Amazon S3) gespeicherten Objekts verwendet wird. In diesem Beispiel wird das Objekt mithilfe von Protecting data using serverseitiger Verschlüsselung mit KMS Schlüsseln (SSE-KMS) auf Amazon S3 hochgeladen. Wenn Sie ein Objekt mit SSE - auf Amazon S3 hochladenKMS, geben Sie den KMS Schlüssel an, der zum Schutz des Objekts verwendet werden soll. Amazon S3 verwendet die AWS KMS GenerateDataKeyVorgang zum Anfordern eines eindeutigen Datenschlüssels für das Objekt, und dieses Anforderungsereignis wird CloudTrail mit einem Eintrag angemeldet, der dem folgenden ähnelt:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Wenn Sie dieses Objekt später von Amazon S3 herunterladen, sendet Amazon S3 eine Decrypt Anfrage AWS KMS an, den Datenschlüssel des Objekts mithilfe des angegebenen KMS Schlüssels zu entschlüsseln. Wenn Sie dies tun, enthalten Ihre CloudTrail Protokolldateien einen Eintrag, der dem folgenden ähnelt:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Alle AWS KMS API Aktivitäten werden von protokolliert CloudTrail. Durch die Auswertung dieser Protokolleinträge können Sie möglicherweise feststellen, wie ein bestimmter KMS Schlüssel in der Vergangenheit verwendet wurde. Auf diese Weise können Sie feststellen, ob Sie ihn löschen möchten oder nicht.

Weitere Beispiele dafür, wie AWS KMS API Aktivitäten in Ihren CloudTrail Protokolldateien dargestellt werden, finden Sie unterAWS KMS APIAnrufe protokollieren mit AWS CloudTrail. Weitere Informationen CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Alarm erstellen

Importiertes Schlüsselmaterial löschen