Untersuchen der KMS-Schlüssel-Berechtigungen, um den Umfang einer potentiellen Nutzung zu bestimmen Untersuchen der AWS CloudTrail-Protokolle, um die tatsächliche Nutzung zu bestimmen

Feststellen der früheren Nutzung eines KMS-Schlüssels

Bevor Sie einen KMS-Schlüssel löschen, möchten Sie vielleicht wissen, wie viele Chiffretexte unter diesem KMS-Schlüssel verschlüsselt wurden. AWS KMS speichert diese Informationen nicht und speichert keine der Chiffretexte. Wenn Sie wissen, wie ein KMS-Schlüssel in der Vergangenheit verwendet wurde, kann das Ihnen bei der Entscheidung helfen, ob Sie ihn in der Zukunft benötigen. In diesem Thema werden verschiedene Strategien vorgeschlagen, mit denen Sie die frühere Nutzung eines KMS-Schlüssels feststellen können.

Warnung

Diese Strategien zur Bestimmung vergangener und tatsächlicher Nutzung sind nur für AWS-Benutzer und AWS KMS-Produktionen wirksam. Sie können die Nutzung des öffentlichen Schlüssels eines asymmetrischen KMS-Schlüssels außerhalb von AWS KMS nicht erkennen. Weitere Informationen zu den besonderen Risiken des Löschens asymmetrischer KMS-Schlüssel, die für die Kryptographie von öffentlichen Schlüsseln verwendet werden, einschließlich der Erstellung von Chiffretexten, die nicht entschlüsselt werden können, finden Sie unter Löschen asymmetrischer KMS-Schlüssel.

Themen

Untersuchen der KMS-Schlüssel-Berechtigungen, um den Umfang einer potentiellen Nutzung zu bestimmen
Untersuchen der AWS CloudTrail-Protokolle, um die tatsächliche Nutzung zu bestimmen

Untersuchen der KMS-Schlüssel-Berechtigungen, um den Umfang einer potentiellen Nutzung zu bestimmen

Wenn Sie bestimmen, wer oder was derzeit Zugriff auf einen KMS-Schlüssel hat, kann Ihnen das helfen zu bestimmen, wie weit der KMS-Schlüssel verwendet wurde und ob er noch benötigt wird. Um zu erfahren, wie man feststellt, wer oder was derzeit Zugriff auf einem KMS-Schlüssel hat, öffnen Sie Bestimmen des Zugriffs auf AWS KMS keys.

Untersuchen der AWS CloudTrail-Protokolle, um die tatsächliche Nutzung zu bestimmen

Sie können mit der Nutzungshistorik eines KMS-Schlüssels feststellen, ob Chiffretexte unter einem bestimmten KMS-Schlüssel verschlüsselt sind.

Alle AWS KMS-API-Aktivitäten werden in AWS CloudTrail-Protokolldateien aufgezeichnet. Wenn Sie in der Region, in der sich Ihr KMS-Schlüssel befindet, einen CloudTrail Trail erstellt haben, können Sie Ihre CloudTrail Protokolldateien untersuchen, um einen Verlauf aller AWS KMS API-Aktivitäten für einen bestimmten KMS-Schlüssel anzuzeigen. Wenn Sie keinen Trail haben, können Sie die letzten Ereignisse trotzdem in Ihrem CloudTrail Ereignisverlauf anzeigen. Weitere Informationen zur AWS KMS Verwendung von CloudTrailfinden Sie unter Protokollierung von AWS KMS-API-Aufrufen mit AWS CloudTrail.

Die folgenden Beispiele zeigen CloudTrail Protokolleinträge, die generiert werden, wenn ein KMS-Schlüssel zum Schutz eines in Amazon Simple Storage Service (Amazon S3) gespeicherten Objekts verwendet wird. In diesem Beispiel wird das Objekt unter Verwendung der serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) in Simple Storage Service (Amazon S3) hochgeladen. Wenn Sie ein Objekt auf Simple Storage Service (Amazon S3) mit SSE-KMS hochladen, geben Sie den KMS-Schlüssel an, mit dem das Objekts geschützt werden soll. Amazon S3 verwendet die -AWS KMSGenerateDataKeyOperation, um einen eindeutigen Datenschlüssel für das Objekt anzufordern, und dieses Anforderungsereignis wird CloudTrail mit einem Eintrag ähnlich dem folgenden angemeldet:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Wenn Sie dieses Objekt später von Simple Storage Service (Amazon S3) herunterladen, sendet Amazon S3 eine Decrypt-Anforderung an AWS KMS, um den Datenschlüssel des Objekts mit dem angegebenen KMS-Schlüssel zu entschlüsseln. Wenn Sie dies tun, enthalten Ihre CloudTrail Protokolldateien einen Eintrag ähnlich dem folgenden:


{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Die gesamte AWS KMS-API-Aktivität wird von CloudTrail protokolliert. Durch die Auswertung dieser Protokolleinträge können Sie die bisherige Nutzung eines bestimmten KMS-Schlüssels feststellen, und so können Sie bestimmen, ob Sie ihn löschen möchten.

Weitere Beispiele dafür, wie APIAWS KMS-Aktivitäten in Ihren CloudTrail Protokolldateien angezeigt werden, finden Sie unter Protokollierung von AWS KMS-API-Aufrufen mit AWS CloudTrail. Weitere Informationen zu CloudTrail finden Sie im AWS CloudTrail -Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen eines Alarms

Referenz zum Schlüsselstatus