Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Determinación del uso anterior de una clave KMS
Para fines de supervisión y auditoría, es posible que desee saber cómo se ha utilizado una clave de KMS en el pasado. Por ejemplo, es posible que desee determinar si una clave de KMS se sigue utilizando activamente antes de inhabilitarla o programar su eliminación, o bien identificar las claves no utilizadas de su cuenta. Las siguientes estrategias pueden ayudarle a determinar el uso anterior de una clave de KMS.
**aviso**
Estas estrategias para determinar el uso anterior solo son efectivas para AWS los directores y AWS KMS las operaciones. No pueden detectar el uso de la clave que no implique llamadas a AWS KMS la API. Una vez que se genera una clave de datos a partir de una clave KMS simétrica, su uso posterior para el cifrado local o el descifrado fuera de ella no AWS KMS se refleja en la última información de uso. Del mismo modo, estas estrategias no pueden detectar el uso de la clave pública de una clave KMS asimétrica fuera de. AWS KMS Para obtener detalles acerca de los riesgos especiales de la eliminación de las claves KMS asimétricas utilizadas para la criptografía de clave pública, incluida la creación de textos cifrados que no se pueden descifrar, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).
**Topics**
+ [Examen de los permisos de clave KMS para determinar el ámbito de uso potencial](#monitoring-keys-usage-key-permissions)
+ [Examine la última operación criptográfica realizada con una clave KMS](#examine-last-usage)
+ [Examine AWS CloudTrail los registros para comprobar el uso anterior](#deleting-keys-usage-cloudtrail)
## Examen de los permisos de clave KMS para determinar el ámbito de uso potencial
Determinar quién o qué tiene acceso actualmente a una clave de KMS puede ayudarle a determinar hasta qué punto se utiliza la clave de KMS y si sigue siendo necesaria. Para determinar quién o qué tiene acceso actualmente a una clave de KMS, consulte[Determinar el acceso a AWS KMS keys](determining-access.md).
## Examine la última operación criptográfica realizada con una clave KMS
AWS KMS proporciona información de uso sobre la última operación criptográfica realizada correctamente con cada clave de KMS junto con el identificador de CloudTrail evento asociado. Esto puede facilitar el proceso de identificación de las claves de KMS no utilizadas. También puede usar la clave de TrailingDaysWithoutKeyUsage condición [kms:](conditions-kms.md#conditions-kms-trailing-days-without-key-usage) en las políticas clave para evitar que las claves utilizadas recientemente se deshabiliten accidentalmente o se programe su eliminación.
Puede ver la última operación criptográfica realizada correctamente con una clave de KMS mediante la Consola de administración de AWS, AWS CLI, o la API. AWS KMS
**nota**
Algunos AWS servicios crean recursos que dependen de una clave KMS para la protección de datos, pero no invocan operaciones criptográficas en esa clave con frecuencia. Por ejemplo, el servicio Amazon EC2 llama AWS KMS para descifrar la clave de datos de un volumen cifrado de Amazon EBS solo cuando el volumen está adjunto a una instancia. En estos casos, no debe basarse únicamente en la última información de uso para determinar si se puede eliminar una clave de KMS. Si se elimina la clave KMS que protege un volumen de Amazon EBS, no se interrumpirá el volumen de Amazon EBS que ya está adjunto, pero los intentos posteriores de adjuntar ese volumen de Amazon EBS cifrado a otra instancia de Amazon EC2 fallarán.
### Comprenda el período de seguimiento del uso
AWS KMS rastrea solo la última operación criptográfica realizada correctamente con cada clave de KMS. Puede haber un retraso de hasta una hora entre el momento en que se produce una operación criptográfica y el momento en que se registra el uso.
Al comprobar la última información de uso de una clave KMS, la respuesta incluye una fecha de inicio del seguimiento. `TrackingStartDate`Es la fecha a partir de la cual AWS KMS comenzó a registrarse la actividad criptográfica de esa clave. Use esta fecha junto con la fecha de creación de la clave para determinar su historial de uso comparando la fecha de creación de la clave con la fecha de inicio del seguimiento:
+ Si hay información sobre el último **uso**, la clave se ha utilizado para una operación criptográfica desde que se inició el seguimiento. La respuesta incluye el tipo de operación, la marca de tiempo y el identificador de evento asociado AWS CloudTrail .
+ Si la información del último uso está **vacía**, la clave no ha registrado operaciones criptográficas desde que se inició el seguimiento. Compare la fecha de creación de la clave con la fecha `TrackingStartDate` para determinar lo que esto significa:
+ Si la clave se creó *el mismo día o después* del`TrackingStartDate`, no se ha utilizado para ninguna operación criptográfica desde que se creó.
+ Si la clave se creó *antes* del`TrackingStartDate`, no hay registro de que la clave se haya utilizado desde que se inició el seguimiento. Sin embargo, es posible que la clave se haya utilizado antes de que se iniciara el seguimiento. Para determinar si la clave se usó anteriormente, examine sus AWS CloudTrail registros anteriores.
**aviso**
Al eliminar las claves no utilizadas, no se base únicamente en la información sobre el último uso. En su lugar, [desactive primero la clave](enabling-keys.md) y controle AWS CloudTrail las `DisabledException` entradas que indiquen los intentos de utilizar la clave mientras estaba desactivada. Esto ayuda a identificar posibles dependencias y errores en la carga de trabajo.
### Operaciones criptográficas rastreadas
Solo se rastrean y registran las siguientes operaciones criptográficas exitosas para generar la última información de uso. Se excluyen las operaciones no criptográficas.
+ `Decrypt`
+ `DeriveSharedSecret`
+ `Encrypt`
+ `GenerateDataKey`
+ `GenerateDataKeyPair`
+ `GenerateDataKeyPairWithoutPlaintext`
+ `GenerateDataKeyWithoutPlaintext`
+ `GenerateMac`
+ `ReEncrypt`
+ `Sign`
+ `Verify`
+ `VerifyMac`
### Otras consideraciones
Tenga en cuenta lo siguiente cuando utilice la información de uso:
+ **Claves KMS multirregionales**: en el caso de las claves KMS multirregionales, las claves principales y réplicas registran la información del último uso de forma independiente. Cada clave de un conjunto de claves multirregional mantiene su propia información de último uso.
+ **ReEncrypt operaciones**: la `ReEncrypt` operación utiliza dos claves: una clave de origen para el descifrado y una clave de destino para el cifrado. La información del último uso se registra para ambas claves de forma independiente, cada una con el ID de CloudTrail evento de la cuenta del propietario de la clave correspondiente.
Puedes ver la última información de uso mediante los siguientes métodos:
### Uso de AWS KMS la consola
Puede ver la última operación criptográfica realizada correctamente con una clave KMS en la página de detalles de cada clave KMS. Para conocer los procedimientos sobre cómo ver la página de detalles de una clave KMS, consulte[Acceso y enumeración de detalles de claves KMS](finding-keys.md).
### Uso de AWS KMS la API
La [GetKeyLastUsage](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyLastUsage.html)operación devuelve información de uso de la última operación criptográfica realizada con la clave KMS especificada. Para identificar la clave KMS, utilice el [ID de clave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-id) o el [ARN de clave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-ARN).
Por ejemplo, la siguiente llamada `GetKeyLastUsage` recupera la información de uso de una clave de KMS con el ID de clave. {{1234abcd-12ab-34cd-56ef-1234567890ab}}
```
$ aws kms get-key-last-usage --key-id "{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
{
"KeyCreationDate": 1773253425.56,
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"TrackingStartDate": 1773253425.56,
"KeyLastUsage": {
"Timestamp": 1773253497.0,
"Operation": "Encrypt",
"KmsRequestId": "040cce3e-9ef3-4651-b8cf-e47c9bafdc9b",
"CloudTrailEventId": "2cfd5892-ea8c-4342-ad49-4b9594b06a8b"
}
}
```
Por el contrario, la siguiente llamada a no `GetKeyLastUsage` revela información de uso de una clave de KMS con el ID {{0987dcba-09fe-87dc-65ba-ab0987654321}} de clave.
```
$ aws kms get-key-last-usage --key-id "{{0987dcba-09fe-87dc-65ba-ab0987654321}}"
{
"KeyCreationDate": 1672531200.0,
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"TrackingStartDate": 1773253425.56,
"KeyLastUsage": {}
}
```
## Examine AWS CloudTrail los registros para comprobar el uso anterior
Puede utilizar el historial de uso de una clave KMS para determinar si tiene textos cifrados con una clave KMS concreta.
Toda la actividad AWS KMS de la API se registra en archivos de AWS CloudTrail registro. Si ha [creado un registro en CloudTrail la](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) región en la que se encuentra su clave de KMS, puede examinar los archivos de CloudTrail registro para ver un historial de toda la actividad de la AWS KMS API de una clave de KMS concreta. Si no tienes un registro, puedes ver los eventos recientes en tu [historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Para obtener más información sobre cómo se AWS KMS usa CloudTrail, consulte[Registrar llamadas a la AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md).
Los siguientes ejemplos muestran las entradas de CloudTrail registro que se generan cuando se utiliza una clave de KMS para proteger un objeto almacenado en Amazon Simple Storage Service (Amazon S3). En este ejemplo, el objeto se carga en Amazon S3 utilizando [Protección de datos mediante cifrado del lado del servidor con claves KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). Al cargar un objeto en Amazon S3 con SSE-KMS, especifique la clave KMS que se usará para proteger el objeto. Amazon S3 utiliza la AWS KMS [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación para solicitar una clave de datos única para el objeto, y este evento de solicitud se registra CloudTrail con una entrada similar a la siguiente:
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
"arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2015-09-10T23:12:48Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admins",
"accountId": "111122223333",
"userName": "Admins"
}
},
"invokedBy": "internal.amazonaws.com"
},
"eventTime": "2015-09-10T23:58:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "internal.amazonaws.com",
"userAgent": "internal.amazonaws.com",
"requestParameters": {
"encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "cea04450-5817-11e5-85aa-97ce46071236",
"eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Cuando descargue más adelante este objeto de Amazon S3, Amazon S3 enviará una `Decrypt` solicitud AWS KMS a para descifrar la clave de datos del objeto mediante la clave de KMS especificada. Al hacerlo, los archivos de CloudTrail registro incluyen una entrada similar a la siguiente:
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
"arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2015-09-10T23:12:48Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admins",
"accountId": "111122223333",
"userName": "Admins"
}
},
"invokedBy": "internal.amazonaws.com"
},
"eventTime": "2015-09-10T23:58:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "internal.amazonaws.com",
"userAgent": "internal.amazonaws.com",
"requestParameters": {
"encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
"responseElements": null,
"requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
"eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Al evaluar estas entradas de registro, puede determinar el uso anterior de una determinada clave KMS y esto puede ayudarle a determinar si desea eliminarla.
Para ver más ejemplos de cómo aparece la actividad de la AWS KMS API en tus archivos de CloudTrail registro, visita[Registrar llamadas a la AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md). Para obtener más información, CloudTrail consulta la [Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).