View a markdown version of this page

Determinar a utilização anterior de uma chave do KMS - AWS Key Management Service
Examinar as permissões da chave do KMS para determinar o escopo da utilização em potencialExamine a última operação criptográfica realizada com uma chave KMSExamine AWS CloudTrail os registros para verificar o uso anterior

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Determinar a utilização anterior de uma chave do KMS

Para fins de monitoramento e auditoria, talvez você queira saber como uma chave KMS foi usada no passado. Por exemplo, talvez você queira determinar se uma chave KMS ainda é usada ativamente antes de desativá-la ou agendá-la para exclusão, ou identificar chaves não utilizadas em sua conta. As estratégias a seguir podem ajudá-lo a determinar o uso anterior de uma chave KMS.

Atenção

Essas estratégias para determinar o uso anterior são eficazes somente para AWS diretores e AWS KMS operações. Eles não conseguem detectar o uso da chave que não envolva chamadas de API para AWS KMS o. Depois que uma chave de dados é gerada a partir de uma chave KMS simétrica, seu uso subsequente para criptografia local ou descriptografia externa não AWS KMS é refletido nas últimas informações de uso. Da mesma forma, essas estratégias não podem detectar o uso da chave pública de uma chave KMS assimétrica fora do. AWS KMS Para obter detalhes sobre os riscos especiais de exclusão de chaves do KMS assimétricas usadas para a criptografia de chave pública, incluindo a criação de textos cifrados que não podem ser descriptografados, consulte Deleting asymmetric KMS keys.

Examinar as permissões da chave do KMS para determinar o escopo da utilização em potencial

Determinar quem ou o que atualmente tem acesso a uma chave KMS pode ajudá-lo a determinar com que amplitude a chave KMS está sendo usada e se ela ainda é necessária. Para determinar quem ou o que atualmente tem acesso a uma chave KMS, consulteDeterminando o acesso ao AWS KMS keys.

Examine a última operação criptográfica realizada com uma chave KMS

AWS KMS fornece informações de uso sobre a última operação criptográfica bem-sucedida realizada com cada chave KMS junto com o ID do CloudTrail evento associado. Isso pode facilitar o processo de identificação de chaves KMS não utilizadas. Você também pode usar a chave de TrailingDaysWithoutKeyUsage condição kms: nas políticas de chaves para evitar que as chaves usadas recentemente sejam desativadas acidentalmente ou programadas para exclusão.

Você pode visualizar a última operação criptográfica bem-sucedida realizada com uma chave KMS usando a API Console de gerenciamento da AWS AWS CLI, ou AWS KMS .

nota

Alguns AWS serviços criam recursos que dependem de uma chave KMS para proteção de dados, mas não invocam operações criptográficas nessa chave com frequência. Por exemplo, o serviço Amazon EC2 chama AWS KMS para descriptografar a chave de dados de um volume criptografado do Amazon EBS somente quando o volume está conectado a uma instância. Nesses casos, você não deve confiar apenas nas últimas informações de uso para determinar se uma chave KMS pode ser excluída. Se a chave KMS que protege um volume do Amazon EBS for excluída, não haverá interrupção no volume do Amazon EBS que já está anexado, mas as tentativas subsequentes de anexar esse volume criptografado do Amazon EBS a outra instância do Amazon EC2 falharão.

Entendendo o período de rastreamento de uso

AWS KMS rastreia somente a última operação criptográfica bem-sucedida realizada com cada chave KMS. Pode haver um atraso de até uma hora entre o momento em que uma operação criptográfica ocorre e o momento em que o uso é registrado.

Quando você verifica as últimas informações de uso de uma chave KMS, a resposta inclui uma data de início do rastreamento. TrackingStartDateÉ a data a partir da qual AWS KMS começou a registrar a atividade criptográfica dessa chave. Use essa data junto com a data de criação da chave para determinar seu histórico de uso comparando a data de criação da chave com a data de início do rastreamento:

  • Se as últimas informações de uso estiverem presentes, a chave foi usada para uma operação criptográfica desde o início do rastreamento. A resposta inclui o tipo de operação, o carimbo de data/hora e o ID do AWS CloudTrail evento associado.

  • Se as informações do último uso estiverem vazias, a chave não registrou nenhuma operação criptográfica desde o início do rastreamento. Compare a data de criação da chave com a TrackingStartDate para determinar o que isso significa:

    • Se a chave foi criada em ou após oTrackingStartDate, a chave não foi usada para uma operação criptográfica desde que foi criada.

    • Se a chave foi criada antes doTrackingStartDate, não há registro da chave sendo usada desde o início do rastreamento. No entanto, a chave pode ter sido usada antes do início do rastreamento. Para determinar se a chave foi usada antes, examine seus AWS CloudTrail registros anteriores.

Atenção

Não confie apenas nas últimas informações de uso ao excluir chaves não utilizadas. Em vez disso, desative a chave primeiro e monitore AWS CloudTrail as DisabledException entradas, que indicam tentativas de usar a chave enquanto está desativada. Isso ajuda a identificar possíveis dependências e falhas na carga de trabalho.

Operações criptográficas rastreadas

Somente as seguintes operações criptográficas bem-sucedidas são rastreadas e registradas para relatar as últimas informações de uso. As operações não criptográficas são excluídas.

  • Decrypt

  • DeriveSharedSecret

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyPair

  • GenerateDataKeyPairWithoutPlaintext

  • GenerateDataKeyWithoutPlaintext

  • GenerateMac

  • ReEncrypt

  • Sign

  • Verify

  • VerifyMac

Outras considerações

Lembre-se do seguinte ao usar as informações de uso:

  • Chaves KMS multirregionais — Para chaves KMS multirregionais, as chaves primárias e de réplica rastreiam as últimas informações de uso de forma independente. Cada chave em um conjunto de chaves multirregionais mantém suas próprias últimas informações de uso.

  • ReEncrypt operações — A ReEncrypt operação usa duas chaves: uma chave de origem para decodificação e uma chave de destino para criptografia. As informações do último uso são registradas para ambas as chaves de forma independente, cada uma com o ID do CloudTrail evento da conta do respectivo proprietário da chave.

Você pode visualizar as últimas informações de uso usando os seguintes métodos:

Você pode ver a última operação criptográfica bem-sucedida realizada com uma chave KMS na página de detalhes de cada chave KMS. Para obter procedimentos sobre como visualizar a página de detalhes de uma chave KMS, consulteAcessar e listar detalhes de chaves do KMS.

A GetKeyLastUsageoperação retorna informações de uso sobre a última operação criptográfica realizada com a chave KMS especificada. Para identificar a chave KMS, use o ID da chave ou o ARN da chave.

Por exemplo, a chamada a seguir para GetKeyLastUsage recuperar informações de uso sobre uma chave KMS com o ID da chave. 1234abcd-12ab-34cd-56ef-1234567890ab

$ aws kms get-key-last-usage --key-id "1234abcd-12ab-34cd-56ef-1234567890ab"
{
    "KeyCreationDate": 1773253425.56,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "TrackingStartDate": 1773253425.56,
    "KeyLastUsage": {
        "Timestamp": 1773253497.0,
        "Operation": "Encrypt",
        "KmsRequestId": "040cce3e-9ef3-4651-b8cf-e47c9bafdc9b",
        "CloudTrailEventId": "2cfd5892-ea8c-4342-ad49-4b9594b06a8b"
    }
}

Por outro lado, a chamada a seguir GetKeyLastUsage revela que não há informações de uso de uma chave KMS com o ID 0987dcba-09fe-87dc-65ba-ab0987654321 da chave.

$ aws kms get-key-last-usage --key-id "0987dcba-09fe-87dc-65ba-ab0987654321"
{
    "KeyCreationDate": 1672531200.0,
    "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
    "TrackingStartDate": 1773253425.56,
    "KeyLastUsage": {}
}

Examine AWS CloudTrail os registros para verificar o uso anterior

Você pode usar o histórico de uso de uma chave KMS para ajudá-lo a determinar se você tem textos cifrados criptografados sob uma chave KMS específica.

Todas as atividades AWS KMS da API são registradas em arquivos de AWS CloudTrail log. Se você criou uma CloudTrail trilha na região em que sua chave KMS está localizada, você pode examinar seus arquivos de CloudTrail log para ver um histórico de todas as atividades de AWS KMS API de uma chave KMS específica. Se você não tiver uma trilha, ainda poderá ver eventos recentes no Histórico de eventos do CloudTrail . Para obter detalhes sobre como AWS KMS usar CloudTrail, consulteRegistrando chamadas de AWS KMS API com AWS CloudTrail.

Os exemplos a seguir mostram entradas de CloudTrail registro que são geradas quando uma chave KMS é usada para proteger um objeto armazenado no Amazon Simple Storage Service (Amazon S3). Neste exemplo, o objeto é carregado no Amazon S3 usando Proteção de dados usando criptografia no lado do servidor com chaves do KMS (SSE-KMS). Ao carregar um objeto no Amazon S3 com SSE-KMS, você especifica a chave do KMS a ser usada para proteger esse objeto. O Amazon S3 usa a AWS KMS GenerateDataKeyoperação para solicitar uma chave de dados exclusiva para o objeto, e esse evento de solicitação é registrado CloudTrail com uma entrada semelhante à seguinte:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Posteriormente, quando você baixa esse objeto do Amazon S3, o Amazon S3 envia Decrypt uma solicitação AWS KMS para descriptografar a chave de dados do objeto usando a chave KMS especificada. Ao fazer isso, seus arquivos de CloudTrail log incluem uma entrada semelhante à seguinte:

{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}

Ao avaliar essas entradas de log, talvez você possa determinar a utilização anterior de uma chave do KMS específica, e isso pode ajudar a determinar se você deseja ou não excluí-la.

Para ver mais exemplos de como a atividade da AWS KMS API aparece em seus arquivos de CloudTrail log, acesseRegistrando chamadas de AWS KMS API com AWS CloudTrail. Para obter mais informações sobre, CloudTrail acesse o Guia AWS CloudTrail do usuário.