审计KMS AWS拥有的密钥。
0
【以下的问题经过翻译处理】 我正在尝试使用Cloudtrail审计AWS拥有的密钥,目的是最终在Cloudwatch中创建一些指标过滤,以便在发现该密钥被用于进行加密操作时生成警报。根据AWS文档(https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html),无法对AWS拥有的密钥进行审核:“您无需创建或管理AWS拥有的密钥。但是,您无法查看、使用、跟踪或审核它们。”然而,在我的默认Cloudtrail管理事件中,我可以根据基于密钥的ARN看到Decrypt事件使用了那个AWS管理密钥。我想知道在这里是否有人尝试过跟踪AWS拥有的密钥的使用情况?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 大多数AWS服务都提供AWS托管的CMK或AWS所有拥有的CMK。
如文档中所述,AWS托管的CMK在客户的账户中可见。客户可以查看CMK及其密钥状态,并使用GetKeyPolicy查看(但不能更改)密钥策略。他们还可以通过CloudTrail日志跟踪AWS服务使用托管CMK的使用情况。密钥策略使用kms: ViaService条件键,允许该密钥仅由代表的客户服务使用,而不是由客户直接使用。此外,客户每使用一次AWS托管的CMK就会被收费,尽管一些服务会吃掉这个成本。
这些功能在AWS所有的CMK(在您的账户中显示为aws/servicename,例如aws/ebs)上不可用,该密钥不在客户的账户中。但是,尽管可见性降低,该密钥易于使用。这个服务代表客户创建,维护和使用CMK。