Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Determinar el uso anterior de una KMS clave
Antes de eliminar una KMS clave, es posible que desee saber cuántos textos cifrados se cifraron con esa clave. AWS KMS no almacena esta información y no almacena ninguno de los textos cifrados. Saber cómo se usó una KMS clave en el pasado puede ayudarle a decidir si la necesitará o no en el futuro. En este tema se sugieren varias estrategias que pueden ayudarle a determinar el uso anterior de una KMS clave.
aviso
Estas estrategias para determinar el uso pasado y real solo son eficaces para AWS los usuarios y AWS KMS las operaciones. No pueden detectar el uso de la clave pública de una KMS clave asimétrica fuera de AWS KMS. Para obtener más información sobre los riesgos especiales de eliminar KMS las claves asimétricas utilizadas en la criptografía de clave pública, incluida la creación de textos cifrados que no se puedan descifrar, consulte. Deleting asymmetric KMS keys
Temas
Examine los permisos KMS clave para determinar el alcance del uso potencial
Determinar quién o qué tiene acceso actualmente a una KMS clave puede ayudarle a determinar con qué frecuencia se utilizó la KMS clave y si sigue siendo necesaria. Para saber cómo determinar quién o qué tiene acceso actualmente a una KMS clave, vaya aDeterminar el acceso a AWS KMS keys.
Examine AWS CloudTrail los registros para determinar el uso real
Es posible que pueda utilizar un historial de uso de KMS claves para determinar si tiene textos cifrados con una clave concretaKMS.
Toda AWS KMS API la actividad se registra en archivos de AWS CloudTrail registro. Si ha creado una CloudTrail ruta en la región en la que se encuentra su KMS clave, puede examinar los archivos de CloudTrail registro para ver un historial de toda la AWS KMS API actividad de una KMS clave concreta. Si no tienes una ruta, puedes ver los eventos recientes en tu historial de CloudTrail eventos. Para obtener más información sobre cómo se AWS KMS usa CloudTrail, consulteRegistrar AWS KMS API llamadas con AWS CloudTrail.
Los siguientes ejemplos muestran las entradas de CloudTrail registro que se generan cuando se utiliza una KMS clave para proteger un objeto almacenado en Amazon Simple Storage Service (Amazon S3). En este ejemplo, el objeto se carga en Amazon S3 mediante la protección de datos mediante el cifrado del lado del servidor con KMS claves (SSE-KMS). Cuando carga un objeto en Amazon S3 con SSE -KMS, especifica la KMS clave que se va a utilizar para proteger el objeto. Amazon S3 utiliza el AWS KMS GenerateDataKeyoperación para solicitar una clave de datos única para el objeto, y este evento de solicitud se registra CloudTrail con una entrada similar a la siguiente:
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "cea04450-5817-11e5-85aa-97ce46071236", "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
Cuando descargue más adelante este objeto de Amazon S3, Amazon S3 enviará una Decrypt solicitud AWS KMS a para descifrar la clave de datos del objeto con la KMS clave especificada. Al hacerlo, los archivos de CloudTrail registro incluyen una entrada similar a la siguiente:
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:39Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}}, "responseElements": null, "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0", "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
Toda AWS KMS API la actividad queda registrada por CloudTrail. Al evaluar estas entradas de registro, es posible que pueda determinar el uso anterior de una KMS clave en particular, lo que podría ayudarle a determinar si desea eliminarla o no.
Para ver más ejemplos de cómo aparece AWS KMS API la actividad en los archivos de CloudTrail registro, vaya aRegistrar AWS KMS API llamadas con AWS CloudTrail. Para obtener más información, CloudTrail consulta la Guía AWS CloudTrail del usuario.
