¿Cómo puedo enumerar las concesiones de claves y entidades principales de KMS por región en AWS KMS?

Última actualización: 12/10/2021

Quiero enumerar las concesiones de claves y las entidades principales de AWS KMS para mis cuentas de AWS Key Management Service (AWS KMS) por región de AWS.

Resolución

Puede recuperar el número de concesiones que tiene una clave de KMS y las entidades principales de cada una mediante AWS Command Line Interface (AWS CLI) o los SDK de AWS. Asegúrese de instalar y configurar la AWS CLI con permisos de política para realizar list-keys y list-grants.

Nota: Si recibe errores al ejecutar comandos de AWS CLI, asegúrese de que utiliza la versión más reciente de AWS CLI.

Ejecute los siguientes comandos para enumerar la clave de KMS y las concesiones:

Nota: Reemplaceyour-region por su región de AWS y your-AWS KMS-key-ID por su clave de AWS KMS.

aws kms list-keys --region <your-region>
aws kms list-grants --region <your-region> --key-id <your-AWS KMS-key-ID>

Para consultar todas las claves de KMS de una región de AWS específica, ejecute este comando:

for key in $(aws kms list-keys --region <your-region> --query 'Keys[].KeyId' --output text);do aws kms list-grants --region <your-region> --key-id $key; done

Nota: En este ejemplo se utiliza la opción de consulta integrada de AWS CLI para filtrar elementos de la salida.

Ejecute este comando a fin de enumerar las concesiones que tiene cada entidad principal para una clave KMS:

aws kms list-grants --region <your-region> --key-id <your-AWS KMS-key-ID> | jq '.Grants[].GranteePrincipal' -r | sort | uniq -c;

Nota: Debe tener instalado jq para ejecutar este comando. Para obtener instrucciones sobre cómo instalar jq, consulte Formato de salida JSON.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?