Erstellen Sie einen Alarm, der die Verwendung eines KMS Schlüssels erkennt, dessen Löschung noch aussteht - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen Alarm, der die Verwendung eines KMS Schlüssels erkennt, dessen Löschung noch aussteht

Sie können die Funktionen von AWS CloudTrail Amazon CloudWatch Logs und Amazon Simple Notification Service (AmazonSNS) kombinieren, um einen CloudWatch Amazon-Alarm zu erstellen, der Sie benachrichtigt, wenn jemand in Ihrem Konto versucht, einen KMS Schlüssel zu verwenden, dessen Löschung noch aussteht. Wenn Sie diese Benachrichtigung erhalten, möchten Sie vielleicht das Löschen des KMS Schlüssels abbrechen und Ihre Entscheidung, ihn zu löschen, noch einmal überdenken.

Mit den folgenden Verfahren wird ein Alarm ausgelöst, der Sie jedes Mal benachrichtigt, wenn die Fehlermeldung Key ARN is pending deletion "" in Ihre CloudTrail Protokolldateien geschrieben wird. Diese Fehlermeldung weist darauf hin, dass eine Person oder Anwendung versucht hat, den KMS Schlüssel in einer kryptografischen Operation zu verwenden. Da die Benachrichtigung mit der Fehlermeldung verknüpft ist, wird sie nicht ausgelöst, wenn Sie API Operationen verwenden, die für KMS Schlüssel zulässig sind, deren Löschung noch aussteht, wie ListKeysCancelKeyDeletion, undPutKeyPolicy. Eine Liste der AWS KMS API Operationen, die diese Fehlermeldung zurückgeben, finden Sie unterWichtige Zustände von AWS KMS Schlüsseln.

In der Benachrichtigungs-E-Mail, die Sie erhalten, ist weder der KMS Schlüssel noch der kryptografische Vorgang aufgeführt. Sie finden diese Informationen in Ihrem CloudTrail Protokoll. Die E-Mail informiert Sie darüber, dass der Alarmstatus von OK zu Alarm geändert wurde. Weitere Informationen zu CloudWatch Alarmen und Statusänderungen finden Sie unter Verwenden von CloudWatch Amazon-Alarmen im CloudWatch Amazon-Benutzerhandbuch.

Warnung

Dieser CloudWatch Amazon-Alarm kann die Verwendung des öffentlichen Schlüssels eines asymmetrischen KMS Schlüssels außerhalb von AWS KMS nicht erkennen. Einzelheiten zu den besonderen Risiken beim Löschen asymmetrischer KMS Schlüssel, die für die Kryptografie mit öffentlichen Schlüsseln verwendet werden, einschließlich der Erstellung von Chiffretexten, die nicht entschlüsselt werden können, finden Sie unter. Deleting asymmetric KMS keys

In diesem Verfahren erstellen Sie einen Metrikfilter für CloudWatch Protokollgruppen, der Instanzen der Ausnahme „Ausstehende Löschung“ findet. Anschließend erstellen Sie einen CloudWatch Alarm, der auf der Metrik der Protokollgruppe basiert. Informationen zu Metrikfiltern für Protokollgruppen finden Sie unter Metriken aus Protokollereignissen mithilfe von Filtern erstellen im Amazon CloudWatch Logs-Benutzerhandbuch.

  1. Erstellen Sie einen CloudWatch Metrikfilter, der CloudTrail Logs analysiert.

    Folgen Sie den Anweisungen unter Create a metric filter for a log group (Erstellen eines Metrikfilters für eine Protokollgruppe) mit den folgenden erforderlichen Werten. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.

    Feld Value (Wert)
    Filtermuster

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    Metrikwert 1

  2. Erstellen Sie einen CloudWatch Alarm auf der Grundlage des Metrikfilters, den Sie in Schritt 1 erstellt haben.

    Folgen Sie den Anweisungen unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.

    Feld Value (Wert)
    Metrikfilter

    Der Name des Metrikfilters, den Sie in Schritt 1 erstellt haben.
    Threshold-Typ Statisch
    Bedingungen Wann immer metric-name ist größer als 1
    Datenpunkte für Alarm 1 von 1
    Fehlende Datenbehandlung Fehlende Daten als gut behandeln (keine Verletzung des Schwellenwerts)

Nachdem Sie diesen Vorgang abgeschlossen haben, erhalten Sie jedes Mal eine Benachrichtigung, wenn Ihr neuer CloudWatch Alarm in den ALARM Status wechselt. Wenn Sie eine Benachrichtigung für diesen Alarm erhalten, bedeutet dies möglicherweise, dass ein KMS Schlüssel, dessen Löschung geplant ist, weiterhin zum Verschlüsseln oder Entschlüsseln von Daten benötigt wird. Brechen Sie in diesem Fall das Löschen des KMS Schlüssels ab und überdenken Sie Ihre Entscheidung, ihn zu löschen.