View a markdown version of this page

Determina l'utilizzo passato di una chiave KMS - AWS Key Management Service
Esamina le autorizzazioni della chiave KMS per determinare l'ambito del potenziale utilizzoEsamina l'ultima operazione crittografica eseguita con una chiave KMSEsamina AWS CloudTrail i log per verificare l'utilizzo passato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Determina l'utilizzo passato di una chiave KMS

Per scopi di monitoraggio e controllo, potresti voler sapere come è stata utilizzata una chiave KMS in passato. Ad esempio, potresti voler determinare se una chiave KMS viene ancora utilizzata attivamente prima di disabilitarla o pianificarne l'eliminazione, oppure identificare le chiavi inutilizzate nel tuo account. Le seguenti strategie possono aiutarti a determinare l'utilizzo passato di una chiave KMS.

avvertimento

Queste strategie per determinare l'utilizzo passato sono efficaci solo per i AWS committenti e AWS KMS le operazioni. Non sono in grado di rilevare l'uso della chiave che non prevede chiamate API a AWS KMS. Dopo la generazione di una chiave dati da una chiave KMS simmetrica, il suo utilizzo successivo per la crittografia o la decrittografia locale al di fuori di non AWS KMS si riflette nelle ultime informazioni sull'utilizzo. Analogamente, queste strategie non sono in grado di rilevare l'uso della chiave pubblica di una chiave KMS asimmetrica al di fuori di. AWS KMS Per informazioni dettagliate sui rischi particolari derivanti dall'eliminazione delle chiavi KMS asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decrittati, consulta Deleting asymmetric KMS keys.

Esamina le autorizzazioni della chiave KMS per determinare l'ambito del potenziale utilizzo

Determinare chi o cosa ha attualmente accesso a una chiave KMS può aiutarti a determinare in che misura la chiave KMS è utilizzata e se è ancora necessaria. Per determinare chi o cosa ha attualmente accesso a una chiave KMS, vedi. Determinare l'accesso a AWS KMS keys

Esamina l'ultima operazione crittografica eseguita con una chiave KMS

AWS KMS fornisce informazioni sull'utilizzo dell'ultima operazione crittografica riuscita eseguita con ciascuna chiave KMS insieme all'ID CloudTrail evento associato. Ciò può facilitare il processo di identificazione delle chiavi KMS non utilizzate. Puoi anche utilizzare la chiave kms: TrailingDaysWithoutKeyUsage condition nelle politiche chiave per impedire che le chiavi utilizzate di recente vengano disabilitate accidentalmente o pianificate l'eliminazione.

Puoi visualizzare l'ultima operazione crittografica riuscita eseguita con una chiave KMS utilizzando l'API,, o. Console di gestione AWS AWS CLI AWS KMS

Nota

Alcuni AWS servizi creano risorse che dipendono da una chiave KMS per la protezione dei dati, ma non richiamano frequentemente operazioni crittografiche su tale chiave. Ad esempio, il servizio Amazon EC2 richiede di decrittografare la chiave dati AWS KMS per un volume Amazon EBS crittografato solo quando il volume è collegato a un'istanza. In questi casi, non devi fare affidamento solo sulle ultime informazioni di utilizzo per determinare se una chiave KMS può essere eliminata. Se la chiave KMS che protegge un volume Amazon EBS viene eliminata, non si verificherà alcuna interruzione del volume Amazon EBS già collegato, ma i tentativi successivi di collegare quel volume Amazon EBS crittografato a un'altra istanza Amazon EC2 fallirebbero.

Comprensione del periodo di tracciamento dell'utilizzo

AWS KMS tiene traccia solo dell'ultima operazione crittografica riuscita eseguita con ogni chiave KMS. Potrebbe esserci un ritardo fino a un'ora tra il momento in cui si verifica un'operazione di crittografia e il momento in cui viene registrato l'utilizzo.

Quando controlli le informazioni sull'ultimo utilizzo di una chiave KMS, la risposta include una data di inizio del tracciamento. TrackingStartDateÈ la data a partire dalla quale è AWS KMS iniziata la registrazione dell'attività crittografica per quella chiave. Utilizza questa data insieme alla data di creazione della chiave per determinarne la cronologia di utilizzo confrontando la data di creazione della chiave con la data di inizio del tracciamento:

  • Se sono presenti le informazioni sull'ultimo utilizzo, la chiave è stata utilizzata per un'operazione crittografica sin dall'inizio del tracciamento. La risposta include il tipo di operazione, il timestamp e l'ID dell'evento associato AWS CloudTrail .

  • Se le informazioni sull'ultimo utilizzo sono vuote, la chiave non ha registrato operazioni crittografiche dall'inizio del tracciamento. Confronta la data di creazione della chiave con la TrackingStartDate per determinare cosa significa:

    • Se la chiave è stata creata il o dopoTrackingStartDate, non è stata utilizzata per un'operazione crittografica da quando è stata creata.

    • Se la chiave è stata creata prima delTrackingStartDate, non esiste alcuna registrazione della chiave utilizzata dall'inizio del tracciamento. Tuttavia, la chiave potrebbe essere stata utilizzata prima dell'inizio del tracciamento. Per determinare se la chiave è stata utilizzata in precedenza, esamina AWS CloudTrail i registri precedenti.

avvertimento

Non fate affidamento esclusivamente sulle informazioni sull'ultimo utilizzo quando eliminate le chiavi inutilizzate. Invece, disattivate prima la chiave e controllate AWS CloudTrail le DisabledException immissioni, che indicano i tentativi di utilizzare la chiave mentre era disattivata. Questo aiuta a identificare potenziali dipendenze e errori del carico di lavoro.

Operazioni crittografiche tracciate

Solo le seguenti operazioni crittografiche riuscite vengono tracciate e registrate per riportare le informazioni sull'ultimo utilizzo. Le operazioni non crittografiche sono escluse.

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • ReEncrypt

  • Sign

  • Verify

  • VerifyMac

Altre considerazioni

Tieni presente quanto segue quando utilizzi le informazioni sull'utilizzo:

  • Chiavi KMS multiregione: per le chiavi KMS multiregionali, le chiavi primarie e di replica tengono traccia delle informazioni sull'ultimo utilizzo in modo indipendente. Ogni chiave in un set di chiavi multiregionale conserva le proprie informazioni sull'ultimo utilizzo.

  • ReEncrypt operazioni: l'ReEncryptoperazione utilizza due chiavi: una chiave di origine per la decrittografia e una chiave di destinazione per la crittografia. Le informazioni sull'ultimo utilizzo vengono registrate per entrambe le chiavi in modo indipendente, ciascuna con l'ID CloudTrail evento dell'account del rispettivo proprietario della chiave.

È possibile visualizzare le informazioni sull'ultimo utilizzo utilizzando i seguenti metodi:

È possibile visualizzare l'ultima operazione crittografica riuscita eseguita con una chiave KMS nella pagina dei dettagli di ciascuna chiave KMS. Per le procedure su come visualizzare la pagina dei dettagli di una chiave KMS, consulta. Accedi ed elenca i dettagli chiave KMS

L'GetKeyLastUsageoperazione restituisce informazioni sull'utilizzo dell'ultima operazione crittografica eseguita con la chiave KMS specificata. Per identificare la chiave KMS, usa l'ID chiave o la chiave ARN.

Ad esempio, la seguente chiamata per GetKeyLastUsage recuperare le informazioni sull'utilizzo di una chiave KMS con l'ID della chiave. 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-last-usage --key-id "1234abcd-12ab-34cd-56ef-1234567890ab"
{
    "KeyCreationDate": 1773253425.56,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "TrackingStartDate": 1773253425.56,
    "KeyLastUsage": {
        "Timestamp": 1773253497.0,
        "Operation": "Encrypt",
        "KmsRequestId": "040cce3e-9ef3-4651-b8cf-e47c9bafdc9b",
        "CloudTrailEventId": "2cfd5892-ea8c-4342-ad49-4b9594b06a8b"
    }
}

Al contrario, la seguente chiamata a non GetKeyLastUsage rivela alcuna informazione sull'utilizzo di una chiave KMS con l'ID chiave. 0987dcba-09fe-87dc-65ba-ab0987654321

$ aws kms get-key-last-usage --key-id "0987dcba-09fe-87dc-65ba-ab0987654321"
{
    "KeyCreationDate": 1672531200.0,
    "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
    "TrackingStartDate": 1773253425.56,
    "KeyLastUsage": {}
}

Esamina AWS CloudTrail i log per verificare l'utilizzo passato

Puoi utilizzare la cronologia di utilizzo di una chiave KMS per determinare se hai testi cifrati crittografati con una particolare chiave KMS.

Tutte le attività dell' AWS KMS API vengono registrate nei file di registro. AWS CloudTrail Se hai creato un CloudTrail percorso nella regione in cui si trova la tua chiave KMS, puoi esaminare i file di CloudTrail registro per visualizzare una cronologia di tutte le attività AWS KMS API per una particolare chiave KMS. Se un trail non è disponibile, è comunque possibile visualizzare gli eventi recenti nella cronologia degli eventi CloudTrail . Per informazioni dettagliate sulle modalità di AWS KMS utilizzo CloudTrail, consulta. Registrazione delle chiamate AWS KMS API con AWS CloudTrail

Gli esempi seguenti mostrano le voci di CloudTrail registro generate quando viene utilizzata una chiave KMS per proteggere un oggetto archiviato in Amazon Simple Storage Service (Amazon S3). In questo esempio, l'oggetto viene caricato in Amazon S3 utilizzando le informazioni riportate in Protezione dei dati utilizzando la crittografia lato server con chiavi KMS (SSE-KMS). Quando carichi un oggetto in Amazon S3 con SSE-KMS, specifichi la chiave KMS da utilizzare per proteggere l'oggetto. Amazon S3 utilizza l' AWS KMS GenerateDataKeyoperazione per richiedere una chiave dati univoca per l'oggetto e questo evento di richiesta viene registrato CloudTrail con una voce simile alla seguente:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Quando successivamente scarichi questo oggetto da Amazon S3, Amazon S3 invia Decrypt una richiesta AWS KMS per decrittografare la chiave dati dell'oggetto utilizzando la chiave KMS specificata. Quando esegui questa operazione, i tuoi file di CloudTrail log includono una voce simile alla seguente:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Esaminando queste voci di registro, potresti essere in grado di determinare l'utilizzo passato di una chiave KMS specifica e ciò potrebbe aiutarti a decidere se eliminarla o meno.

Per vedere altri esempi di come l'attività delle AWS KMS API viene visualizzata nei file di CloudTrail registro, vai aRegistrazione delle chiamate AWS KMS API con AWS CloudTrail. Per ulteriori informazioni, CloudTrail consulta la Guida per AWS CloudTrail l'utente.