カスタマーマスターキーの過去の使用状況を確認する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタマーマスターキーの過去の使用状況を確認する

カスタマーマスターキー (CMK) を削除する前に、そのキーでどの程度の数の暗号化テキストが暗号化されているかを確認することが必要な場合があります。AWS KMS には、この情報や暗号化テキストを保存しません。CMK の過去の使用状況を把握することで、今後その CMK が必要かどうかを容易に判断できる場合があります。このトピックでは、CMK の過去の使用状況を判断するのに役立ついくつかの戦略を説明します。

警告

過去と実際の使用方法を決定するためのこれらの戦略は、AWS ユーザーと AWS KMS オペレーションに対してのみ有効です。AWS KMS の外部で非対称 CMK のパブリックキーの使用を検出することはできません。公開鍵暗号化に使用される非対称 CMK を削除する場合の特別なリスク(復号できない暗号テキストの作成など)の詳細については、を参照してください 非対称 CMK の削除

CMK のアクセス許可を確認し、潜在的な使用の範囲を判断する

カスタマーマスターキー (CMK) に現在アクセスできるユーザーやアプリケーションを明らかにすることで、CMK が使用されている範囲や、今後必要かどうかを容易に判断できる場合があります。カスタマーマスターキー (CMK) に現在アクセスできるユーザーやアプリケーションを明らかにする方法については、「AWS KMS カスタマーマスターキーへのアクセスの確認」を参照してください。

AWS CloudTrail ログを確認して実際の使用状況を判断する

CMK の使用履歴を使用して、特定の CMK で暗号化されている暗号化テキストがあるかどうかを判断できます。

すべての AWS KMS API アクティビティは AWS CloudTrail ログファイルに記録されます。ある場合CloudTrail 証跡を作成カスタマーマスターキー(CMK)があるリージョンで、CloudTrail ログファイルを調べて、AWS KMS特定の CMK の API アクティビティ。トレイルを持っていない場合でも、 CloudTrail イベント履歴で最近のイベントを表示できます。方法の詳細については、AWS KMSが CloudTrail を使用する場合の詳細については、AWS CloudTrail による AWS KMS API 呼び出しのログ記録

次の例は、CloudTrail ログエントリを示しています。AWS KMSCMK は、Amazon Simple Storage Service (Amazon S3) に格納されているオブジェクトを保護するために使用されます。この例では、オブジェクトを Amazon S3 にアップロードし、サーバー側の暗号化AWS KMSマネージドキー (SSE-KMS)。SSE-KMS を使用して Amazon S3 にオブジェクトをアップロードする場合、オブジェクトの保護に使用する CMK を指定します。Amazon S3 はAWS KMS GenerateDataKeyオペレーションを使用してオブジェクトの一意のデータキーをリクエストし、このリクエストイベントは CloudTrail に次のようなエントリで記録されます。

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "cea04450-5817-11e5-85aa-97ce46071236", "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

後で Amazon S3 からこのオブジェクトをダウンロードすると、Amazon S3 はDecryptリクエストをAWS KMS指定された CMK を使用してオブジェクトのデータキーを復号します。これを行うと、CloudTrail ログファイルに次のようなエントリが含まれます。

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:39Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}}, "responseElements": null, "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0", "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

すべてAWS KMSAPI アクティビティは CloudTrail によって記録されます。これらのログエントリを評価すると、特定の CMK の過去の使用状況を明らかにでき、その CMK を削除する必要があるかどうかを容易に判断できる場合があります。

方法の例をさらに参照するにはAWS KMSCloudTrail ログファイルに表示される API アクティビティは、AWS CloudTrail による AWS KMS API 呼び出しのログ記録。CloudTrail の詳細については、「」を参照してください。AWS CloudTrailユーザーガイド