¿Cómo puedo enumerar las concesiones de claves y entidades principales de KMS por región en AWS KMS?

Resolución

Puede recuperar el número de concesiones que tiene una clave de KMS y las entidades principales de cada una mediante AWS Command Line Interface (AWS CLI) o los SDK de AWS. Asegúrese de instalar y configurar la AWS CLI con permisos de política para realizar list-keys y list-grants.

Nota: Si recibe errores al ejecutar comandos de AWS CLI, asegúrese de que utiliza la versión más reciente de AWS CLI.

Ejecute los siguientes comandos para enumerar la clave de KMS y las concesiones:

Nota: Reemplaceyour-region por su región de AWS y your-AWS KMS-key-ID por su clave de AWS KMS.

aws kms list-keys --region <your-region>
aws kms list-grants --region <your-region> --key-id <your-AWS KMS-key-ID>

Para consultar todas las claves de KMS de una región de AWS específica, ejecute este comando:

for key in $(aws kms list-keys --region <your-region> --query 'Keys[].KeyId' --output text);do aws kms list-grants --region <your-region> --key-id $key; done

Nota: En este ejemplo se utiliza la opción de consulta integrada de AWS CLI para filtrar elementos de la salida.

Ejecute este comando a fin de enumerar las concesiones que tiene cada entidad principal para una clave KMS:

aws kms list-grants --region <your-region> --key-id <your-AWS KMS-key-ID> | jq '.Grants[].GranteePrincipal' -r | sort | uniq -c;

Nota: Debe tener instalado jq para ejecutar este comando. Para obtener instrucciones sobre cómo instalar jq, consulte Formato de salida JSON.