View a markdown version of this page

Ermitteln Sie die frühere Verwendung eines KMS-Schlüssels - AWS Key Management Service
Untersuchen Sie die Berechtigungen für KMS-Schlüssel, um den Umfang der potenziellen Nutzung zu ermittelnUntersuchen Sie den letzten kryptografischen Vorgang, der mit einem KMS-Schlüssel ausgeführt wurdeUntersuchen Sie die AWS CloudTrail Protokolle, um die bisherige Nutzung zu überprüfen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ermitteln Sie die frühere Verwendung eines KMS-Schlüssels

Zu Überwachungs- und Prüfungszwecken möchten Sie vielleicht wissen, wie ein KMS-Schlüssel in der Vergangenheit verwendet wurde. Möglicherweise möchten Sie beispielsweise feststellen, ob ein KMS-Schlüssel noch aktiv verwendet wird, bevor Sie ihn deaktivieren oder für das Löschen planen, oder ungenutzte Schlüssel in Ihrem Konto identifizieren. Mithilfe der folgenden Strategien können Sie ermitteln, wie ein KMS-Schlüssel in der Vergangenheit verwendet wurde.

Warnung

Diese Strategien zur Bestimmung der Nutzung in der Vergangenheit sind nur für AWS Prinzipale und AWS KMS Operationen wirksam. Sie können die Verwendung des Schlüssels nicht erkennen, für die keine API-Aufrufe erforderlich sind. AWS KMS Nachdem ein Datenschlüssel aus einem symmetrischen KMS-Schlüssel generiert wurde, spiegelt sich seine spätere Verwendung für die lokale Verschlüsselung oder Entschlüsselung außerhalb von AWS KMS nicht in den letzten Verwendungsinformationen wider. Ebenso können diese Strategien die Verwendung des öffentlichen Schlüssels eines asymmetrischen KMS-Schlüssels außerhalb von nicht erkennen. AWS KMS Weitere Informationen zu den besonderen Risiken des Löschens asymmetrischer KMS-Schlüssel, die für die Kryptographie von öffentlichen Schlüsseln verwendet werden, einschließlich der Erstellung von Chiffretexten, die nicht entschlüsselt werden können, finden Sie unter Deleting asymmetric KMS keys.

Untersuchen Sie die Berechtigungen für KMS-Schlüssel, um den Umfang der potenziellen Nutzung zu ermitteln

Wenn Sie ermitteln, wer oder was derzeit Zugriff auf einen KMS-Schlüssel hat, können Sie feststellen, wie häufig der KMS-Schlüssel verwendet wird und ob er weiterhin benötigt wird. Informationen darüber, wer oder was derzeit Zugriff auf einen KMS-Schlüssel hat, finden Sie unterBestimmung des Zugriffs auf AWS KMS keys.

Untersuchen Sie den letzten kryptografischen Vorgang, der mit einem KMS-Schlüssel ausgeführt wurde

AWS KMS bietet Nutzungsinformationen zum letzten erfolgreichen kryptografischen Vorgang, der mit jedem KMS-Schlüssel ausgeführt wurde, zusammen mit der zugehörigen CloudTrail Ereignis-ID. Dies kann das Identifizieren ungenutzter KMS-Schlüssel erleichtern. Sie können den TrailingDaysWithoutKeyUsage Bedingungsschlüssel kms: auch in wichtigen Richtlinien verwenden, um zu verhindern, dass kürzlich verwendete Schlüssel versehentlich deaktiviert oder gelöscht werden.

Sie können den letzten erfolgreichen kryptografischen Vorgang, der mit einem KMS-Schlüssel ausgeführt wurde, mithilfe der API AWS-Managementkonsole AWS CLI, oder anzeigen. AWS KMS

Anmerkung

Bestimmte AWS Dienste erstellen Ressourcen, die für den Datenschutz von einem KMS-Schlüssel abhängen, rufen jedoch nicht häufig kryptografische Operationen mit diesem Schlüssel auf. Beispielsweise ruft der Amazon EC2-Service nur dann auf, AWS KMS um den Datenschlüssel für ein verschlüsseltes Amazon EBS-Volume zu entschlüsseln, wenn das Volume an eine Instance angehängt ist. In diesen Fällen dürfen Sie sich nicht allein auf die letzten Nutzungsinformationen verlassen, um festzustellen, ob ein KMS-Schlüssel gelöscht werden kann. Wenn der KMS-Schlüssel, der ein Amazon EBS-Volume schützt, gelöscht wird, wird das bereits angehängte Amazon EBS-Volume nicht unterbrochen, aber nachfolgende Versuche, dieses verschlüsselte Amazon EBS-Volume an eine andere Amazon EC2 EC2-Instance anzuhängen, würden fehlschlagen.

Grundlegendes zum Zeitraum der Nutzungsverfolgung

AWS KMS verfolgt nur den letzten erfolgreichen kryptografischen Vorgang, der mit jedem KMS-Schlüssel ausgeführt wurde. Zwischen dem Zeitpunkt, an dem ein kryptografischer Vorgang ausgeführt wird, und dem Zeitpunkt, zu dem die Nutzung aufgezeichnet wird, kann es zu einer Verzögerung von bis zu einer Stunde kommen.

Wenn Sie die letzten Nutzungsinformationen für einen KMS-Schlüssel überprüfen, enthält die Antwort ein Startdatum für die Nachverfolgung. Das TrackingStartDate ist das Datum, ab dem mit der Aufzeichnung der kryptografischen Aktivitäten für diesen Schlüssel AWS KMS begonnen wurde. Verwenden Sie dieses Datum zusammen mit dem Erstellungsdatum des Schlüssels, um dessen Nutzungshistorie zu ermitteln, indem Sie das Erstellungsdatum des Schlüssels mit dem Startdatum der Nachverfolgung vergleichen:

  • Wenn Informationen zur letzten Nutzung vorhanden sind, wurde der Schlüssel seit Beginn der Nachverfolgung für eine kryptografische Operation verwendet. Die Antwort umfasst den Vorgangstyp, den Zeitstempel und die zugehörige AWS CloudTrail Ereignis-ID.

  • Wenn die Informationen zur letzten Verwendung leer sind, wurden für den Schlüssel seit Beginn der Nachverfolgung keine kryptografischen Operationen aufgezeichnet. Vergleichen Sie das Erstellungsdatum des Schlüssels mit demTrackingStartDate, um herauszufinden, was das bedeutet:

    • Wenn der Schlüssel am oder nach dem erstellt wurdeTrackingStartDate, wurde der Schlüssel seit seiner Erstellung nicht mehr für eine kryptografische Operation verwendet.

    • Wenn der Schlüssel vor dem erstellt wurdeTrackingStartDate, gibt es keine Aufzeichnungen darüber, dass der Schlüssel seit Beginn der Nachverfolgung verwendet wurde. Möglicherweise wurde der Schlüssel jedoch vor Beginn der Nachverfolgung verwendet. Um festzustellen, ob der Schlüssel schon einmal verwendet wurde, überprüfen Sie Ihre früheren AWS CloudTrail Protokolle.

Warnung

Verlassen Sie sich beim Löschen nicht verwendeter Schlüssel nicht ausschließlich auf Informationen zur letzten Verwendung. Deaktivieren Sie stattdessen zuerst den Schlüssel und achten Sie auf DisabledException Einträge, die darauf hinweisen, dass versucht wird, den Schlüssel zu verwenden, während er deaktiviert ist. AWS CloudTrail Dies hilft bei der Identifizierung potenzieller Abhängigkeiten und Workload-Ausfälle.

Nachverfolgte kryptografische Operationen

Nur die folgenden erfolgreichen kryptografischen Operationen werden nachverfolgt und aufgezeichnet, um die letzten Nutzungsinformationen zu melden. Nicht kryptografische Operationen sind ausgeschlossen.

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • ReEncrypt

  • Sign

  • Verify

  • VerifyMac

Weitere Überlegungen

Beachten Sie bei der Verwendung der Nutzungsinformationen Folgendes:

  • KMS-Schlüssel für mehrere Regionen — Bei KMS-Schlüsseln mit mehreren Regionen verfolgen Primär- und Replikatschlüssel die Informationen zur letzten Verwendung unabhängig voneinander. Jeder Schlüssel in einem Schlüsselsatz mit mehreren Regionen verwaltet seine eigenen Informationen zur letzten Verwendung.

  • ReEncrypt Operationen — Der ReEncrypt Vorgang verwendet zwei Schlüssel: einen Quellschlüssel für die Entschlüsselung und einen Zielschlüssel für die Verschlüsselung. Informationen zur letzten Verwendung werden für beide Schlüssel unabhängig voneinander aufgezeichnet, jeweils mit der CloudTrail Ereignis-ID aus dem Konto des jeweiligen Schlüsselbesitzers.

Sie können die Informationen zur letzten Verwendung mit den folgenden Methoden anzeigen:

Sie können den letzten erfolgreichen kryptografischen Vorgang, der mit einem KMS-Schlüssel ausgeführt wurde, auf der Detailseite für jeden KMS-Schlüssel einsehen. Verfahren zum Anzeigen der Detailseite für einen KMS-Schlüssel finden Sie unterKMS-Schlüsseldetails aufrufen und auflisten.

Der GetKeyLastUsageVorgang gibt Nutzungsinformationen zum letzten kryptografischen Vorgang zurück, der mit dem angegebenen KMS-Schlüssel ausgeführt wurde. Verwenden Sie die Schlüssel-ID oder den Schlüssel-ARN, um den KMS-Schlüssel zu identifizieren.

Mit dem folgenden Aufruf werden beispielsweise Nutzungsinformationen zu einem KMS-Schlüssel mit der Schlüssel-ID GetKeyLastUsage 1234abcd-12ab-34cd-56ef-1234567890ab abgerufen.

$ aws kms get-key-last-usage --key-id "1234abcd-12ab-34cd-56ef-1234567890ab"
{
    "KeyCreationDate": 1773253425.56,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "TrackingStartDate": 1773253425.56,
    "KeyLastUsage": {
        "Timestamp": 1773253497.0,
        "Operation": "Encrypt",
        "KmsRequestId": "040cce3e-9ef3-4651-b8cf-e47c9bafdc9b",
        "CloudTrailEventId": "2cfd5892-ea8c-4342-ad49-4b9594b06a8b"
    }
}

Im Gegensatz dazu werden beim folgenden Aufruf keine GetKeyLastUsage Nutzungsinformationen für einen KMS-Schlüssel mit der Schlüssel-ID 0987dcba-09fe-87dc-65ba-ab0987654321 angezeigt.

$ aws kms get-key-last-usage --key-id "0987dcba-09fe-87dc-65ba-ab0987654321"
{
    "KeyCreationDate": 1672531200.0,
    "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
    "TrackingStartDate": 1773253425.56,
    "KeyLastUsage": {}
}

Untersuchen Sie die AWS CloudTrail Protokolle, um die bisherige Nutzung zu überprüfen

Anhand des Nutzungsverlaufs eines KMS-Schlüssels können Sie feststellen, ob Sie Geheimtexte unter einem bestimmten KMS-Schlüssel verschlüsselt haben.

Alle AWS KMS API-Aktivitäten werden in AWS CloudTrail Protokolldateien aufgezeichnet. Wenn Sie in der Region, in der sich Ihr KMS-Schlüssel befindet, einen CloudTrail Trail erstellt haben, können Sie Ihre CloudTrail Protokolldateien überprüfen, um einen Verlauf aller AWS KMS API-Aktivitäten für einen bestimmten KMS-Schlüssel einzusehen. Wenn Sie keinen Trail haben, können Sie sich aktuelle Ereignisse trotzdem in Ihrem CloudTrail Eventverlauf ansehen. Einzelheiten zur AWS KMS Nutzung finden Sie CloudTrail unterAWS KMS API-Aufrufe protokollieren mit AWS CloudTrail.

Die folgenden Beispiele zeigen CloudTrail Protokolleinträge, die generiert werden, wenn ein KMS-Schlüssel zum Schutz eines in Amazon Simple Storage Service (Amazon S3) gespeicherten Objekts verwendet wird. In diesem Beispiel wird das Objekt unter Verwendung der serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) in Simple Storage Service (Amazon S3) hochgeladen. Wenn Sie ein Objekt auf Simple Storage Service (Amazon S3) mit SSE-KMS hochladen, geben Sie den KMS-Schlüssel an, mit dem das Objekts geschützt werden soll. Amazon S3 verwendet den AWS KMS GenerateDataKeyVorgang, um einen eindeutigen Datenschlüssel für das Objekt anzufordern, und dieses Anforderungsereignis wird CloudTrail mit einem Eintrag angemeldet, der dem folgenden ähnelt:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Wenn Sie dieses Objekt später von Amazon S3 herunterladen, sendet Amazon S3 eine Decrypt Anfrage AWS KMS an, den Datenschlüssel des Objekts mithilfe des angegebenen KMS-Schlüssels zu entschlüsseln. Wenn Sie dies tun, enthalten Ihre CloudTrail Protokolldateien einen Eintrag, der dem folgenden ähnelt:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Durch die Auswertung dieser Protokolleinträge können Sie die bisherige Nutzung eines bestimmten KMS-Schlüssels feststellen, und so können Sie bestimmen, ob Sie ihn löschen möchten.

Weitere Beispiele dafür, wie AWS KMS API-Aktivitäten in Ihren CloudTrail Protokolldateien erscheinen, finden Sie unterAWS KMS API-Aufrufe protokollieren mit AWS CloudTrail. Weitere Informationen CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch.