Comment puis-je identifier l'utilisation passée de mes clés AWS KMS ?

Lecture de 2 minute(s)

Je souhaite identifier l'utilisation passée de mes clés AWS Key Management Service (AWS KMS).

Résolution

Vous ne pouvez pas identifier directement les clés KMS inactives. Toutefois, vous pouvez utiliser AWS CloudTrail et Amazon Athena pour suivre l'utilisation des clés.

Utiliser l’historique des événements CloudTrail

Vous pouvez utiliser la console CloudTrail pour consulter les événements de gestion des 90 derniers jours dans une région AWS. Après 90 jours, les événements n'apparaissent plus dans l'historique des événements.

Procédez comme suit :

Ouvrez la console CloudTrail.
Choisissez votre région.
Dans le volet de navigation, sélectionnez Historique des événements.
Sur la page Historique des événements, dans Attributs de recherche, sélectionnez Source de l'événement. Puis, dans le champ de recherche, saisissez kms.amazonaws.com pour afficher les appels d'API AWS KMS.
Dans le champ Filtrer par date et heure, sélectionnez une plage de temps pour consulter l'activité récente.

Vous pouvez consulter l'enregistrement d'événement pour chaque événement afin d'identifier l'ARN de clé, l'identité de l'utilisateur et le service d'invocation.

Remarque : Si vous avez plusieurs événements AWS KMS, cette option peut prendre du temps.

Utiliser Athena pour interroger les journaux CloudTrail

Procédez comme suit :

Créez une table Athena à partir des journaux CloudTrail.

Pour récupérer les appels d'API AWS KMS et les filtrer par ARN de clé, exécutez la requête Athena suivante :

SELECT
    eventName,
    COUNT(eventName) AS NumberOfChanges,
    eventSource,
    resources
FROM
    "default"."your-table-name"
WHERE
    eventSource = 'kms.amazonaws.com' AND
  ARRAY_JOIN(TRANSFORM(resources, x -> x.arn), '') LIKE '%kms-key-id%'
    OR CAST(requestParameters AS VARCHAR) LIKE '%kms-key-id%'
GROUP BY
    eventName,
    eventSource,
    resources
ORDER BY
    NumberOfChanges DESC

Remarque : Dans l'exemple de code précédent, remplacez les valeurs par le nom de votre table Athena et les valeurs de l'ID de clé KMS.

Pour filtrer selon une période spécifique, ajoutez une condition à la clause WHERE :

AND eventtime >= 'YYYY-MM-DDT00:00:00Z' AND eventtime <= 'YYYY-MM-DDT00:00:00Z'

Remarque : Pour Athena, les requêtes que vous exécutez vous sont facturées.

Informations connexes

Journalisation des appels d'API AWS KMS avec AWS CloudTrail

LookupEvents

Surveiller les clés AWS KMS

Déterminer l'utilisation passée d'une clé KMS

Sujets: Security, Identity, & Compliance
Balises: AWS Key Management Service
Langue: Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a 3 ans
Problème mot de passe perdu
Fesch
demandé il y a 3 ans
filezila connexion
rePost-User-9778669
demandé il y a un an
démarrage d'instances a mon insu
marc
demandé il y a 3 ans
Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a 2 ans
Pourquoi les clés AWS KMS me sont-elles facturées ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je utiliser les clés asymétriques AWS KMS pour chiffrer un fichier à l'aide d'OpenSSL ?
AWS OFFICIELA mis à jour il y a 4 ans
Dois-je utiliser une clé gérée par AWS KMS ou une clé KMS gérée par le client pour chiffrer mes objets sur Amazon S3 ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment puis-je autoriser tous les comptes d'une organisation AWS à utiliser une clé AWS KMS dans mon compte ?
AWS OFFICIELA mis à jour il y a 2 ans