Periksa izin KMS kunci untuk menentukan ruang lingkup penggunaan potensial Periksa AWS CloudTrail log untuk menentukan penggunaan aktual

Tentukan penggunaan KMS kunci di masa lalu

Sebelum menghapus KMS kunci, Anda mungkin ingin tahu berapa banyak ciphertext yang dienkripsi di bawah kunci itu. AWS KMS tidak menyimpan informasi ini, dan tidak menyimpan ciphertext apa pun. Mengetahui bagaimana KMS kunci digunakan di masa lalu dapat membantu Anda memutuskan apakah Anda akan membutuhkannya di masa depan atau tidak. Topik ini menyarankan beberapa strategi yang dapat membantu Anda menentukan penggunaan KMS kunci di masa lalu.

Awas

Strategi ini untuk menentukan penggunaan masa lalu dan aktual hanya efektif untuk AWS pengguna dan AWS KMS operasi. Mereka tidak dapat mendeteksi penggunaan kunci publik dari kunci asimetris KMS di luar. AWS KMS Untuk detail tentang risiko khusus menghapus KMS kunci asimetris yang digunakan untuk kriptografi kunci publik, termasuk membuat ciphertext yang tidak dapat didekripsi, lihat. Deleting asymmetric KMS keys

Topik

Periksa izin KMS kunci untuk menentukan ruang lingkup penggunaan potensial
Periksa AWS CloudTrail log untuk menentukan penggunaan aktual

Periksa izin KMS kunci untuk menentukan ruang lingkup penggunaan potensial

Menentukan siapa atau apa yang saat ini memiliki akses ke KMS kunci dapat membantu Anda menentukan seberapa luas KMS kunci itu digunakan dan apakah masih diperlukan. Untuk mempelajari cara menentukan siapa atau apa yang saat ini memiliki akses ke KMS kunci, bukaMenentukan akses ke AWS KMS keys.

Periksa AWS CloudTrail log untuk menentukan penggunaan aktual

Anda mungkin dapat menggunakan riwayat penggunaan KMS kunci untuk membantu Anda menentukan apakah Anda memiliki ciphertext yang dienkripsi di bawah kunci tertentu. KMS

Semua AWS KMS API aktivitas direkam dalam file AWS CloudTrail log. Jika Anda telah membuat CloudTrail jejak di wilayah tempat KMS kunci Anda berada, Anda dapat memeriksa file CloudTrail log Anda untuk melihat riwayat semua AWS KMS API aktivitas untuk KMS kunci tertentu. Jika Anda tidak memiliki jejak, Anda masih dapat melihat peristiwa terbaru dalam riwayat CloudTrail acara Anda. Untuk detail tentang cara AWS KMS penggunaan CloudTrail, lihatLogging AWS KMS API panggilan dengan AWS CloudTrail.

Contoh berikut menunjukkan entri CloudTrail log yang dihasilkan saat KMS kunci digunakan untuk melindungi objek yang disimpan di Amazon Simple Storage Service (Amazon S3). Dalam contoh ini, objek diunggah ke Amazon S3 menggunakan Melindungi data menggunakan enkripsi KMS sisi server dengan kunci (-). SSE KMS Saat Anda mengunggah objek ke Amazon S3 dengan SSE -KMS, Anda menentukan KMS kunci yang akan digunakan untuk melindungi objek. Amazon S3 menggunakan AWS KMS GenerateDataKeyoperasi untuk meminta kunci data unik untuk objek, dan peristiwa permintaan ini masuk CloudTrail dengan entri yang mirip dengan berikut ini:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Saat nanti Anda mengunduh objek ini dari Amazon S3, Amazon S3 mengirimkan permintaan AWS KMS untuk mendekripsi kunci data objek Decrypt menggunakan kunci yang ditentukan. KMS Ketika Anda melakukan ini, file CloudTrail log Anda menyertakan entri yang mirip dengan berikut ini:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Semua AWS KMS API aktivitas dicatat oleh CloudTrail. Dengan mengevaluasi entri log ini, Anda mungkin dapat menentukan penggunaan sebelumnya dari KMS kunci tertentu, dan ini mungkin membantu Anda menentukan apakah Anda ingin menghapusnya atau tidak.

Untuk melihat lebih banyak contoh bagaimana AWS KMS API aktivitas muncul di file CloudTrail log Anda, bukaLogging AWS KMS API panggilan dengan AWS CloudTrail. Untuk informasi lebih lanjut tentang CloudTrail pergi ke Panduan AWS CloudTrail Pengguna.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat alarm

Hapus materi kunci yang diimpor