本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
判斷KMS金鑰的過去用量
在刪除KMS金鑰之前,您可能想知道在該金鑰下有多少密碼文字已加密。 AWS KMS 不會儲存此資訊,也不會儲存任何密碼文字。了解過去如何使用金鑰,可能有助於您決定未來是否需要該KMS金鑰。本主題提供數種策略,可協助您判斷過去使用KMS金鑰的情況。
警告
這些用於確定過去和實際用量的策略僅適用於 AWS 使用者和 AWS KMS 操作。他們無法偵測 外部非對稱金鑰的公有KMS金鑰使用情況 AWS KMS。如需刪除用於公有KMS金鑰加密的非對稱金鑰的特殊風險詳細資訊,包括建立無法解密的密碼文字,請參閱 Deleting asymmetric KMS keys。
檢查KMS金鑰許可以判斷潛在用量的範圍
判斷目前誰或什麼可以存取KMS金鑰,可能有助於您判斷KMS金鑰的使用範圍,以及是否仍然需要。若要了解如何判斷目前誰或什麼可以存取KMS金鑰,請前往 判斷對 的存取權 AWS KMS keys。
檢查 AWS CloudTrail 日誌以判斷實際用量
您或許可以使用KMS金鑰使用歷史記錄來協助您判斷是否有在特定KMS金鑰下加密的密碼文字。
所有 AWS KMS API活動都會記錄在 AWS CloudTrail 日誌檔案中。如果您已在KMS金鑰所在的區域中建立 CloudTrail 追蹤,您可以檢查 CloudTrail 日誌檔案,以檢視特定KMS金鑰的所有 AWS KMS API活動歷史記錄。如果您沒有追蹤,您仍然可以檢視事件CloudTrail 歷史記錄 中的最近事件。如需 AWS KMS 如何使用 的詳細資訊 CloudTrail,請參閱 使用 記錄 AWS KMS API通話 AWS CloudTrail。
下列範例顯示當KMS金鑰用於保護存放在 Amazon Simple Storage Service (Amazon S3) 中的物件時所產生的 CloudTrail 日誌項目。在此範例中,物件會使用使用伺服器端加密與KMS金鑰 (SSE-KMS) 保護資料,上傳至 Amazon S3。當您使用 SSE- 將物件上傳至 Amazon S3 時KMS,您可以指定用於保護物件的KMS金鑰。Amazon S3 使用 AWS KMS GenerateDataKey 操作,以請求物件的唯一資料金鑰,此請求事件 CloudTrail 會使用類似下列的項目登入:
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "cea04450-5817-11e5-85aa-97ce46071236", "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
當您稍後從 Amazon S3 下載此物件時,Amazon S3 會傳送Decrypt請求至 AWS KMS ,以使用指定的金鑰解密物件的資料KMS金鑰。執行此操作時,您的 CloudTrail 日誌檔案會包含類似以下項目:
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:39Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}}, "responseElements": null, "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0", "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
所有 AWS KMS API活動都會由 記錄 CloudTrail。透過評估這些日誌項目,您或許能夠判斷特定KMS金鑰的過去用量,這可能有助於您判斷是否要刪除它。
若要查看更多活動出現在 AWS KMS API CloudTrail 日誌檔案中的範例,請前往 使用 記錄 AWS KMS API通話 AWS CloudTrail。如需詳細資訊, CloudTrail 請前往 AWS CloudTrail 使用者指南 。
