在删除客户主密钥 (CMK) 之前,您可能想要了解使用该密钥加密了多少密文。AWS KMS 不会存储此信息,也不会存储任何密文。要获取此信息,您必须自行确定 CMK 的过去使用情况。了解 CMK 的过去使用情况可帮助您决定将来是否需要此 CMK。以下指南有助于您确定 CMK 的过去使用情况。
检查 CMK 权限以确定潜在使用范围
通过确定当前有权访问客户主密钥 (CMK) 的对象,可帮助您确定 CMK 的广泛使用程度以及是否仍然需要此 CMK。要了解如何确定当前有权访问 CMK 的对象,请转到确定对 AWS KMS 客户主密钥的访问权限。
检查 AWS CloudTrail 日志以确定实际使用情况
AWS KMS 已与 AWS CloudTrail 集成,因此所有 AWS KMS API 活动都会记录在 CloudTrail 日志文件中。如果您在客户主密钥 (CMK) 所在的区域中启用了 CloudTrail,则可以检查 CloudTrail 日志文件,以查看特定 CMK 的所有 AWS KMS API 活动的历史记录,从而了解其使用情况历史记录。您或许能够使用 CMK 的使用情况历史记录来帮助确定是否依然需要此 CMK。