Déterminer l'utilisation passée d'une clé KMS - AWS Key Management Service

Déterminer l'utilisation passée d'une clé KMS

Avant de supprimer une clé KMS, vous pouvez découvrir combien de textes chiffrés ont été chiffrés sous cette clé. AWS KMS ne stocke pas ces informations et ne stocke aucun texte chiffré. Savoir comment une clé KMS a été utilisée dans le passé peut vous aider à décider si vous en aurez besoin ou non à l'avenir. Cette rubrique propose plusieurs politiques qui peuvent vous aider à déterminer l'utilisation passée d'une clé KMS.

Avertissement

Ces politiques pour déterminer l'utilisation passée et actuelle ne sont efficaces que pour les utilisateurs AWS et les opérations AWS KMS. Elles ne peuvent pas détecter l'utilisation de la clé publique d'une clé KMS asymétrique en dehors d'AWS KMS. Pour plus de détails sur les risques particuliers liés à la suppression de clés KMS asymétriques utilisées pour le chiffrement de la clé publique, en particulier la création de textes chiffrés qui ne peuvent pas être déchiffrés, veuillez consulter Suppression des clés KMS asymétriques.

Examen des autorisations d'une clé KMS afin de déterminer la portée potentielle de son utilisation

Déterminer qui a actuellement accès à une clé KMS peut vous aider à déterminer l'ampleur de l'utilisation passée de cette clé KMS et si elle est encore requise. Pour découvrir comment déterminer qui a actuellement accès à une clé KMS, consultez la rubrique Déterminer l'accès à des AWS KMS keys.

Examen des journaux AWS CloudTrail pour déterminer l'utilisation réelle

Vous pouvez éventuellement utiliser un historique d'utilisation de clé KMS pour déterminer si vous disposez de textes chiffrés sous une clé KMS particulière.

L'ensemble des activités d'API AWS KMS est enregistré dans des fichiers journaux AWS CloudTrail. Si vous avez créé un journal d'activité CloudTrail dans la région où vos clés KMS sont localisées, vous pouvez examiner vos fichiers de journaux CloudTrail afin de visualiser un historique de toutes les activités d'API AWS KMS pour une clé KMS particulière. Si vous n'avez pas de journal d'activité, vous pouvez toujours afficher les événements récents dans votre historique des événements CloudTrail. Pour plus de détails sur la façon dont AWS KMS utilise CloudTrail, veuillez consultez Journalisation des appels d'API AWS KMS avec AWS CloudTrail.

Les exemples suivants montrent des entrées de journal CloudTrail générées lorsqu'une clé KMS est utilisée pour protéger un objet stocké dans Amazon Simple Storage Service (Amazon S3). Dans cet exemple, l'objet est chargé vers Simple Storage Service (Amazon S3) au moyen de la Protection des données à l'aide du chiffrement côté serveur avec des clés KMS (SSE-KMS). Lorsque vous chargez un objet sur Amazon S3 avec SSE-KMS, vous spécifiez la clé KMS à utiliser pour protéger l'objet. Amazon S3 utilise l'opération AWS KMS GenerateDataKey pour demander une clé de données unique pour l'objet. Cet événement de demande est journalisé dans CloudTrail avec une entrée similaire à ce qui suit :

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "cea04450-5817-11e5-85aa-97ce46071236", "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

Lorsque vous téléchargez ultérieurement cet objet à partir d'Amazon S3, Amazon S3 envoie une demande Decrypt à AWS KMS pour déchiffrer la clé de données de l'objet à l'aide de la clé KMS spécifiée. Lorsque vous procédez ainsi, vos fichiers journaux CloudTrail incluent une entrée similaire à la suivante :

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:39Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}}, "responseElements": null, "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0", "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

L'ensemble des activités d'API AWS KMS est journalisé par CloudTrail. En évaluant ces entrées de journal, vous pouvez éventuellement déterminer l'utilisation passée d'une clé KMS particulière et cela peut vous aider à déterminer si vous souhaitez la supprimer ou non.

Pour consulter d'autres exemples montrant comment l'activité d'API AWS KMS apparaît dans vos fichiers journaux CloudTrail, veuillez consulter Journalisation des appels d'API AWS KMS avec AWS CloudTrail. Pour plus d'informations sur CloudTrail, veuillez consulter le Guide de l'utilisateur AWS CloudTrail.