Examiner les autorisations KMS clés pour déterminer l'étendue de l'utilisation potentielle Examiner AWS CloudTrail les journaux pour déterminer l'utilisation réelle

Déterminer l'utilisation passée d'une KMS clé

Avant de supprimer une KMS clé, vous souhaiterez peut-être savoir combien de textes chiffrés ont été chiffrés sous cette clé. AWS KMS ne stocke pas ces informations et ne stocke aucun des textes chiffrés. Savoir comment une KMS clé a été utilisée dans le passé peut vous aider à décider si vous en aurez besoin à l'avenir. Cette rubrique propose plusieurs stratégies qui peuvent vous aider à déterminer l'utilisation passée d'une KMS clé.

Avertissement

Ces stratégies visant à déterminer l'utilisation passée et réelle ne sont efficaces que pour AWS les utilisateurs et les AWS KMS opérations. Ils ne peuvent pas détecter l'utilisation de la clé publique d'une KMS clé asymétrique en dehors de AWS KMS. Pour plus de détails sur les risques particuliers liés à la suppression de KMS clés asymétriques utilisées pour le chiffrement à clé publique, notamment la création de textes chiffrés impossibles à déchiffrer, voir. Deleting asymmetric KMS keys

Rubriques

Examiner les autorisations KMS clés pour déterminer l'étendue de l'utilisation potentielle
Examiner AWS CloudTrail les journaux pour déterminer l'utilisation réelle

Examiner les autorisations KMS clés pour déterminer l'étendue de l'utilisation potentielle

Déterminer qui ou quoi a actuellement accès à une KMS clé peut vous aider à déterminer dans quelle mesure la KMS clé a été utilisée et si elle est toujours nécessaire. Pour savoir comment déterminer qui ou quoi a actuellement accès à une KMS clé, rendez-vous surDéterminer l'accès à AWS KMS keys.

Examiner AWS CloudTrail les journaux pour déterminer l'utilisation réelle

Vous pouvez peut-être utiliser un historique d'utilisation des KMS clés pour déterminer si vous avez chiffré des textes chiffrés sous une clé particulièreKMS.

Toutes les AWS KMS API activités sont enregistrées dans des fichiers AWS CloudTrail journaux. Si vous avez créé une CloudTrail trace dans la région où se trouve votre KMS clé, vous pouvez consulter vos fichiers CloudTrail journaux pour consulter l'historique de toutes les AWS KMS API activités relatives à une KMS clé en particulier. Si vous n'avez pas de parcours, vous pouvez toujours consulter les événements récents dans l'historique de vos CloudTrail événements. Pour plus de détails sur la façon dont AWS KMS les utilisations sont CloudTrail utilisées, voirEnregistrement AWS KMS API des appels avec AWS CloudTrail.

Les exemples suivants montrent les entrées de CloudTrail journal générées lorsqu'une KMS clé est utilisée pour protéger un objet stocké dans Amazon Simple Storage Service (Amazon S3). Dans cet exemple, l'objet est chargé sur Amazon S3 à l'aide de la protection des données à l'aide du chiffrement côté serveur avec des KMS clés (SSE-KMS). Lorsque vous chargez un objet sur Amazon S3 avec SSE -KMS, vous spécifiez la KMS clé à utiliser pour protéger l'objet. Amazon S3 utilise le AWS KMS GenerateDataKeyopération pour demander une clé de données unique pour l'objet, et cet événement de demande est enregistré CloudTrail avec une entrée similaire à la suivante :


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Lorsque vous téléchargerez ultérieurement cet objet depuis Amazon S3, Amazon S3 envoie une Decrypt demande AWS KMS pour déchiffrer la clé de données de l'objet à l'aide de la KMS clé spécifiée. Dans ce cas, vos fichiers CloudTrail journaux incluent une entrée similaire à la suivante :


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Toutes les AWS KMS API activités sont enregistrées par CloudTrail. En évaluant ces entrées de journal, vous pourrez peut-être déterminer l'utilisation passée d'une KMS clé particulière, ce qui peut vous aider à déterminer si vous souhaitez ou non la supprimer.

Pour voir d'autres exemples illustrant la façon dont AWS KMS API l'activité apparaît dans vos fichiers CloudTrail journaux, rendez-vous surEnregistrement AWS KMS API des appels avec AWS CloudTrail. Pour plus d'informations, CloudTrail consultez le guide de AWS CloudTrail l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Créer une alarme

Supprimer le matériel clé importé