Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Stabilire l'utilizzo passato di una chiave KMS
Prima di eliminare una chiave KMS, potresti voler sapere in che modo numerosi testi cifrati sono stati crittografati per quella chiave. AWS KMS non archivia queste informazioni né i testi cifrati. Sapere in che modo una chiave KMS è stata utilizzata in passato potrebbe aiutarti a decidere se ti servirà in futuro. In questo argomento vengono suggerite diverse strategie che consentono di determinare l'utilizzo passato di una chiave KMS.
avvertimento
Queste strategie per determinare l'utilizzo passato e corrente sono efficaci solo per gli utenti AWS e le operazioni AWS KMS. Non sono in grado di rilevare l'uso della chiave pubblica di una asimmetrica al di fuori di AWS KMS. Per informazioni dettagliate sui rischi particolari derivanti dall'eliminazione delle chiavi KMS asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decrittati, consulta Eliminazione delle chiavi KMS asimmetriche.
Argomenti
Analisi delle autorizzazioni della chiave KMS per determinare l'ambito dell'utilizzo potenziale
Stabilire chi o cosa ha attualmente accesso a una chiave KMS potrebbe aiutarti a determinare in quale misura è stata utilizzata la chiave KMS e se è ancora necessaria. Per ulteriori informazioni su come determinare chi o cosa ha attualmente accesso a una chiave KMS, consulta Determinazione dell'accesso a una AWS KMS keys.
Analisi dei log AWS CloudTrail per determinare l'utilizzo effettivo
Potresti voler utilizzare la cronologia di utilizzo di una chiave KMS per stabilire se in una determinata chiave KMS sono crittografati i testi cifrati.
Tutte le attività API AWS KMS vengono registrate nei file di log AWS CloudTrail. Se hai creato un CloudTrail percorso nella regione in cui si trova la tua chiave KMS, puoi esaminare i tuoi file di CloudTrail registro per visualizzare una cronologia di tutte le attività dell'AWS KMSAPI per una particolare chiave KMS. Se un trail non è disponibile, è comunque possibile visualizzare gli eventi recenti nella cronologia degli eventi CloudTrail . Per informazioni dettagliate sulle modalità di AWS KMS utilizzo CloudTrail, consulta. Registrazione delle chiamate AWS KMS API con AWS CloudTrail
Gli esempi seguenti mostrano le voci di CloudTrail registro generate quando viene utilizzata una chiave KMS per proteggere un oggetto archiviato in Amazon Simple Storage Service (Amazon S3). In questo esempio, l'oggetto viene caricato in Amazon S3 utilizzando le informazioni riportate in Protezione dei dati utilizzando la crittografia lato server con chiavi KMS (SSE-KMS). Quando carichi un oggetto in Amazon S3 con SSE-KMS, specifichi la chiave KMS da utilizzare per proteggere l'oggetto. Amazon S3 utilizza l'AWS KMSGenerateDataKeyoperazione per richiedere una chiave dati univoca per l'oggetto e questo evento di richiesta viene registrato CloudTrail con una voce simile alla seguente:
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "cea04450-5817-11e5-85aa-97ce46071236", "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
Quando in un secondo momento scarichi questo oggetto da Amazon S3, Amazon S3 invia una richiesta Decrypt a AWS KMS per decrittare la chiave di dati dell'oggetto utilizzando la chiave KMS specificata. Quando esegui questa operazione, i tuoi file di CloudTrail registro includono una voce simile alla seguente:
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:39Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}}, "responseElements": null, "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0", "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
L'attività delle API di AWS KMS viene registrata da CloudTrail. Esaminando queste voci di registro, potresti essere in grado di determinare l'utilizzo passato di una chiave KMS specifica e ciò potrebbe aiutarti a decidere se eliminarla o meno.
Per vedere altri esempi di come l'attività delle AWS KMS API viene visualizzata nei file di CloudTrail registro, vai aRegistrazione delle chiamate AWS KMS API con AWS CloudTrail. Per ulteriori informazioni su questo argomento, CloudTrail consulta la Guida per AWS CloudTrail l'utente.
