Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Determina l'utilizzo passato di una chiave KMS

PDF
RSS
Modalità Focus
Determina l'utilizzo passato di una chiave KMS - AWS Key Management Service
Esamina le autorizzazioni delle chiavi KMS per determinare l'ambito del potenziale utilizzoEsamina AWS CloudTrail i log per determinare l'utilizzo effettivo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prima di eliminare una chiave KMS, potresti voler sapere quanti testi cifrati sono stati crittografati con quella chiave. AWS KMS non memorizza queste informazioni e non memorizza nessuno dei testi cifrati. Sapere in che modo una chiave KMS è stata utilizzata in passato potrebbe aiutarti a decidere se ti servirà in futuro. In questo argomento vengono suggerite diverse strategie che consentono di determinare l'utilizzo passato di una chiave KMS.

avvertimento

Queste strategie per determinare l'utilizzo passato ed effettivo sono efficaci solo per AWS gli utenti e AWS KMS le operazioni. Non sono in grado di rilevare l'uso della chiave pubblica di una asimmetrica al di fuori di AWS KMS. Per informazioni dettagliate sui rischi particolari derivanti dall'eliminazione delle chiavi KMS asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decrittati, consulta Deleting asymmetric KMS keys.

Esamina le autorizzazioni delle chiavi KMS per determinare l'ambito del potenziale utilizzo

Stabilire chi o cosa ha attualmente accesso a una chiave KMS potrebbe aiutarti a determinare in quale misura è stata utilizzata la chiave KMS e se è ancora necessaria. Per ulteriori informazioni su come determinare chi o cosa ha attualmente accesso a una chiave KMS, consulta Determinare l'accesso a AWS KMS keys.

Esamina AWS CloudTrail i log per determinare l'utilizzo effettivo

Potresti voler utilizzare la cronologia di utilizzo di una chiave KMS per stabilire se in una determinata chiave KMS sono crittografati i testi cifrati.

Tutte le attività dell' AWS KMS API vengono registrate nei file di AWS CloudTrail registro. Se hai creato un CloudTrail percorso nella regione in cui si trova la tua chiave KMS, puoi esaminare i file di CloudTrail registro per visualizzare una cronologia di tutte le attività AWS KMS API per una particolare chiave KMS. Se un trail non è disponibile, è comunque possibile visualizzare gli eventi recenti nella cronologia degli eventi CloudTrail . Per informazioni dettagliate sulle modalità di AWS KMS utilizzo CloudTrail, consulta. Registrazione delle chiamate AWS KMS API con AWS CloudTrail

Gli esempi seguenti mostrano le voci di CloudTrail registro generate quando viene utilizzata una chiave KMS per proteggere un oggetto archiviato in Amazon Simple Storage Service (Amazon S3). In questo esempio, l'oggetto viene caricato in Amazon S3 utilizzando le informazioni riportate in Protezione dei dati utilizzando la crittografia lato server con chiavi KMS (SSE-KMS). Quando carichi un oggetto in Amazon S3 con SSE-KMS, specifichi la chiave KMS da utilizzare per proteggere l'oggetto. Amazon S3 utilizza il AWS KMS GenerateDataKeyoperazione per richiedere una chiave dati univoca per l'oggetto e questo evento di richiesta viene registrato CloudTrail con una voce simile alla seguente:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Quando successivamente scarichi questo oggetto da Amazon S3, Amazon S3 invia Decrypt una richiesta AWS KMS per decrittografare la chiave dati dell'oggetto utilizzando la chiave KMS specificata. Quando esegui questa operazione, i tuoi file di CloudTrail log includono una voce simile alla seguente:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Tutte le attività dell' AWS KMS API vengono registrate da CloudTrail. Esaminando queste voci di registro, potresti essere in grado di determinare l'utilizzo passato di una chiave KMS specifica e ciò potrebbe aiutarti a decidere se eliminarla o meno.

Per vedere altri esempi di come l'attività delle AWS KMS API viene visualizzata nei file di CloudTrail registro, vai aRegistrazione delle chiamate AWS KMS API con AWS CloudTrail. Per ulteriori informazioni su questo argomento, CloudTrail consulta la Guida per AWS CloudTrail l'utente.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.