Esamina le KMS autorizzazioni delle chiavi per determinare l'ambito del potenziale utilizzo Esamina AWS CloudTrail i log per determinare l'utilizzo effettivo

Determinare l'utilizzo passato di una KMS chiave

Prima di eliminare una KMS chiave, potresti voler sapere quanti testi cifrati sono stati crittografati con quella chiave. AWS KMS non memorizza queste informazioni e non memorizza nessuno dei testi cifrati. Conoscere come veniva usata una KMS chiave in passato potrebbe aiutarvi a decidere se ne avrete bisogno o meno in futuro. Questo argomento suggerisce diverse strategie che possono aiutarti a determinare l'utilizzo passato di una KMS chiave.

avvertimento

Queste strategie per determinare l'utilizzo passato ed effettivo sono efficaci solo per AWS gli utenti e AWS KMS le operazioni. Non sono in grado di rilevare l'uso della chiave pubblica di una KMS chiave asimmetrica al di fuori di. AWS KMS Per dettagli sui rischi particolari dell'eliminazione delle KMS chiavi asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decifrati, vedere. Deleting asymmetric KMS keys

Argomenti

Esamina le KMS autorizzazioni delle chiavi per determinare l'ambito del potenziale utilizzo
Esamina AWS CloudTrail i log per determinare l'utilizzo effettivo

Esamina le KMS autorizzazioni delle chiavi per determinare l'ambito del potenziale utilizzo

Determinare chi o cosa ha attualmente accesso a una KMS chiave può aiutarti a determinare in che misura la KMS chiave è stata utilizzata e se è ancora necessaria. Per sapere come determinare chi o cosa ha attualmente accesso a una KMS chiave, vai aDeterminare l'accesso a AWS KMS keys.

Esamina AWS CloudTrail i log per determinare l'utilizzo effettivo

Potresti essere in grado di utilizzare una cronologia di utilizzo delle KMS chiavi per determinare se hai testi cifrati crittografati con una chiave particolare. KMS

Tutte le AWS KMS API attività vengono registrate nei AWS CloudTrail file di registro. Se hai creato un CloudTrail percorso nella regione in cui si trova la KMS chiave, puoi esaminare i file di CloudTrail registro per visualizzare una cronologia di tutte le AWS KMS API attività relative a una determinata KMS chiave. Se non disponi di un percorso, puoi comunque visualizzare gli eventi recenti nella cronologia degli CloudTrail eventi. Per informazioni dettagliate sulle modalità di AWS KMS utilizzo CloudTrail, consultaRegistrazione delle AWS KMS API chiamate con AWS CloudTrail.

Gli esempi seguenti mostrano le voci di CloudTrail registro generate quando viene utilizzata una KMS chiave per proteggere un oggetto archiviato in Amazon Simple Storage Service (Amazon S3). In questo esempio, l'oggetto viene caricato su Amazon S3 utilizzando Protecting data using server-side encryption with KMS keys (-). SSE KMS Quando carichi un oggetto su Amazon S3 con SSE -KMS, specifichi la KMS chiave da utilizzare per proteggere l'oggetto. Amazon S3 utilizza il AWS KMS GenerateDataKeyoperazione per richiedere una chiave dati univoca per l'oggetto e questo evento di richiesta viene registrato CloudTrail con una voce simile alla seguente:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Quando successivamente scarichi questo oggetto da Amazon S3, Amazon S3 invia Decrypt una richiesta AWS KMS per decrittografare la chiave dati dell'oggetto utilizzando la chiave specificata. KMS Quando esegui questa operazione, i tuoi file di CloudTrail registro includono una voce simile alla seguente:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Tutte le AWS KMS API attività vengono registrate da CloudTrail. Valutando queste voci di registro, potresti essere in grado di determinare l'utilizzo passato di una particolare KMS chiave e questo potrebbe aiutarti a determinare se desideri eliminarla o meno.

Per vedere altri esempi di come AWS KMS API l'attività viene visualizzata nei file di CloudTrail registro, vai aRegistrazione delle AWS KMS API chiamate con AWS CloudTrail. Per ulteriori informazioni su questo argomento, CloudTrail consulta la Guida per AWS CloudTrail l'utente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di un allarme

Eliminare il materiale chiave importato