Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

审计KMS AWS拥有的密钥。

0

【以下的问题经过翻译处理】 我正在尝试使用Cloudtrail审计AWS拥有的密钥,目的是最终在Cloudwatch中创建一些指标过滤,以便在发现该密钥被用于进行加密操作时生成警报。根据AWS文档(https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html),无法对AWS拥有的密钥进行审核:“您无需创建或管理AWS拥有的密钥。但是,您无法查看、使用、跟踪或审核它们。”然而,在我的默认Cloudtrail管理事件中,我可以根据基于密钥的ARN看到Decrypt事件使用了那个AWS管理密钥。我想知道在这里是否有人尝试过跟踪AWS拥有的密钥的使用情况?

Themen
Sicherheit, Identität & KonformitätManagement & UnternehmensführungAWS Framework mit guter Struktur
Tags
AWS-SchlüsselverwaltungsserviceAWS CloudTrailSicherheit
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten30 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 大多数AWS服务都提供AWS托管的CMK或AWS所有拥有的CMK。

如文档中所述,AWS托管的CMK在客户的账户中可见。客户可以查看CMK及其密钥状态,并使用GetKeyPolicy查看(但不能更改)密钥策略。他们还可以通过CloudTrail日志跟踪AWS服务使用托管CMK的使用情况。密钥策略使用kms: ViaService条件键,允许该密钥仅由代表的客户服务使用,而不是由客户直接使用。此外,客户每使用一次AWS托管的CMK就会被收费,尽管一些服务会吃掉这个成本。

这些功能在AWS所有的CMK(在您的账户中显示为aws/servicename,例如aws/ebs)上不可用,该密钥不在客户的账户中。但是,尽管可见性降低,该密钥易于使用。这个服务代表客户创建,维护和使用CMK。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt