Examen de los permisos de clave KMS para determinar el ámbito de uso potencial Examen de los registros de AWS CloudTrail para determinar el uso real

Determinación del uso anterior de una clave KMS

Antes de eliminar una clave KMS, es recomendable que averigüe cuántos textos se han cifrado con dicha clave. AWS KMS no almacena esta información ni ninguno de los textos cifrados. Saber cómo se ha usado una clave KMS anteriormente puede ayudarle a decidir si la necesitará en el futuro. En este tema se sugieren varias estrategias que pueden ayudarle a determinar el uso anterior de una clave KMS.

aviso

Estas estrategias para determinar el uso anterior y real son efectivas solo para los usuarios de AWS y las operaciones de AWS KMS. No pueden detectar el uso de la clave pública de una clave KMS asimétrica fuera de AWS KMS. Para obtener detalles acerca de los riesgos especiales de la eliminación de las claves KMS asimétricas utilizadas para la criptografía de clave pública, incluida la creación de textos cifrados que no se pueden descifrar, consulte Deleting asymmetric KMS keys.

Temas

Examen de los permisos de clave KMS para determinar el ámbito de uso potencial
Examen de los registros de AWS CloudTrail para determinar el uso real

Examen de los permisos de clave KMS para determinar el ámbito de uso potencial

Determinar quién o qué tiene acceso actualmente a una clave KMS puede ayudarle a determinar el alcance de uso de la clave KMS y si sigue siendo necesaria. Para obtener información sobre cómo determinar quién o qué tiene acceso actualmente a una clave KMS, vaya a Determinar el acceso a AWS KMS keys.

Examen de los registros de AWS CloudTrail para determinar el uso real

Puede utilizar un historial de uso de claves KMS como ayuda para determinar si tiene textos cifrados en una clave KMS concreta.

Toda la actividad de la API de la AWS KMS se registra en los archivos de registro AWS CloudTrail. Si ha creado un seguimiento de CloudTrail en la región donde se encuentra su clave de KMS, puede examinar sus archivos de registro de CloudTrail para ver un historial de toda la actividad de la API de AWS KMS para una clave de KMS concreta. Si no configura un registro de seguimiento, puede ver los eventos más recientes en su historial de eventos de CloudTrail. Obtenga más información sobre cómo AWS KMS utiliza CloudTrail, consulte Registrar AWS KMS API llamadas con AWS CloudTrail.

En los siguientes ejemplos se muestran las entradas de registro de CloudTrail que se generan cuando se usa una clave KMS para proteger un objeto almacenado en Amazon Simple Storage Service (Amazon S3). En este ejemplo, el objeto se carga en Amazon S3 utilizando Protección de datos mediante cifrado del lado del servidor con claves KMS (SSE-KMS). Al cargar un objeto en Amazon S3 con SSE-KMS, especifique la clave KMS que se usará para proteger el objeto. Amazon S3 utiliza la operación AWS KMS GenerateDataKey para solicitar una clave de datos única para el objeto y este evento de solicitud se registra en CloudTrail con una entrada similar a la siguiente:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Cuando posteriormente descargue este objeto de Amazon S3, Amazon S3 envía una solicitud de Decrypt de la AWS KMS para descifrar la clave de datos del objeto mediante la clave KMS especificada. De este modo, los archivos de registro de CloudTrail incluyen una entrada similar a la siguiente:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

CloudTrail registra toda la actividad de la API de AWS KMS. Al evaluar estas entradas de registro, puede determinar el uso anterior de una determinada clave KMS y esto puede ayudarle a determinar si desea eliminarla.

Para ver más ejemplos de cómo aparece la actividad de la API de AWS KMS en los archivos de registro de CloudTrail vaya a Registrar AWS KMS API llamadas con AWS CloudTrail. Para obtener más información sobre CloudTrail, diríjase a la Guía del usuario de AWS CloudTrail.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Crear una alarma

Eliminación del material de claves importado