Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überwachen und korrigieren Sie das geplante Löschen von Schlüsseln AWS KMS
Erstellt von Mikesh Khanal () und Ramya Pulipaka () AWS AWS
Übersicht
In der Amazon Web Services (AWS) Cloud kann das Löschen eines AWS Key Management Services (AWSKMS) -Schlüssels zu Datenverlust führen. Das Löschen entfernt das Schlüsselmaterial und alle mit dem AWS KMS Schlüssel verknüpften Metadaten und ist irreversibel. Nach dem Löschen eines AWS KMS Schlüssels können Sie die Daten, die mit diesem AWS KMS Schlüssel verschlüsselt wurden, nicht mehr entschlüsseln, sodass Daten nicht wiederhergestellt werden können.
Dieses Muster ermöglicht eine Überwachung mit Benachrichtigungen, wenn eine Anwendung oder ein Benutzer den Löschvorgang eines AWS KMS Schlüssels plant. Wenn Sie eine Benachrichtigung erhalten, sollten Sie das Löschen des AWS KMS Schlüssels abbrechen und Ihre Entscheidung, ihn zu löschen, noch einmal überdenken. Das Muster verwendet das AWS Systems Manager Manager-Automatisierungsrunbook, CancelKeyDeletion um AWSConfigRemediationdas Abbrechen des Löschens eines Schlüssels zu erleichtern. AWS KMS
Anmerkung
Die CloudFormation Vorlage des Musters muss in allen AWS Regionen bereitgestellt werden, in denen Sie das Löschen von AWS KMS Schlüsseln überwachen möchten.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS Konto
Verständnis der folgenden AWS Dienste:
Amazon EventBridge
AWS KMS
Amazon Simple Notification Service (AmazonSNS)
AWS Systems Manager
Einschränkungen
Jede Anpassung der Lösung erfordert Kenntnisse der AWS CloudFormation Vorlagen und der in diesem Muster verwendeten AWS Dienste.
Derzeit verwendet diese Lösung den Standard-Event-Bus und kann an die Anforderungen angepasst werden. Weitere Informationen zum benutzerdefinierten Eventbus finden Sie in der AWSDokumentation.
Architektur
Zieltechnologie-Stack
Amazon EventBridge
AWS KMS
Amazon SNS
AWS Systems Manager
Automatisierung mit den folgenden Methoden:
AWSBefehlszeilenschnittstelle (AWSCLI) oder AWS SDK
AWS CloudFormation stapeln
Zielarchitektur
Das Löschen eines AWS KMS Schlüssels ist geplant.
Das geplante Löschereignis wird anhand einer Regel ausgewertet. EventBridge
Die EventBridge Regel befasst sich mit dem SNS Amazon-Thema.
Die EventBridge Regel initiiert die Systems Manager Manager-Automatisierung und die Runbooks.
Die Runbooks brechen das Löschen ab.
Automatisierung und Skalierung
Der CloudFormation Stack stellt alle erforderlichen Ressourcen und Dienste bereit, damit diese Lösung funktioniert. Das Muster kann unabhängig in einem einzelnen Konto oder AWS CloudFormation StackSets für mehrere unabhängige Konten oder eine Organisation ausgeführt werden.
aws cloudformation create-stack --stack-name <stack-name>\
--template-body file://<Full-Path-of-file> \
--parameters ParameterKey=,ParameterValue= \
--capabilities CAPABILITY_NAMED_IAMTools
Tools
AWS CloudFormation
— AWS CloudFormation ist ein Service, der Ihnen hilft, Ihre Amazon Web Services Services-Ressourcen zu modellieren und einzurichten, sodass Sie weniger Zeit mit der Verwaltung dieser Ressourcen verbringen und sich mehr auf Ihre Anwendungen konzentrieren können, auf denen sie ausgeführt AWS werden. Sie können eine CloudFormation Vorlage verwenden, um Stacks in einem AWS Konto in einer AWS Region zu erstellen. Die Vorlage beschreibt alle AWS Ressourcen, die Sie benötigen, und CloudFormation stellt diese Ressourcen für Sie bereit und konfiguriert sie. AWSCLI— Die AWS Befehlszeilenschnittstelle (AWSCLI) ist ein Open-Source-Tool, mit dem Sie mithilfe von Befehlen in Ihrer Befehlszeilen-Shell mit AWS Diensten interagieren können.
Amazon EventBridge — Amazon EventBridge ist ein serverloser Event-Bus-Service, der Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen verbindet. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen und AWS Diensten und leitet diese Daten an Ziele wie AWS Lambda weiter. EventBridge vereinfacht den Prozess der Erstellung ereignisgesteuerter Architekturen.
AWSKMS
— AWS Der Key Management Service (AWSKMS) ist ein verwalteter Dienst zur Erstellung und Steuerung von AWS KMS Schlüsseln, also den Verschlüsselungsschlüsseln, die zur Verschlüsselung Ihrer Daten verwendet werden. AWSSDKs
— SDKs Dazu gehören AWS Tools, mit denen Sie Anwendungen AWS in der Programmiersprache Ihrer Wahl entwickeln und verwalten können. Amazon SNS
— Amazon Simple Notification Service (AmazonSNS) ist ein verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten (auch bekannt als Produzenten und Verbraucher) ermöglicht. Herausgeber kommunizieren asynchron mit Abonnenten, indem sie eine Nachricht erstellen und an ein Thema senden, bei dem es sich um einen logischen Zugriffspunkt und Kommunikationskanal handelt. AWSSystems Manager — AWS Systems Manager ist ein AWS Dienst, mit dem Sie Ihre Infrastruktur anzeigen und steuern könnenAWS. Mithilfe der Systems Manager Manager-Konsole können Sie betriebliche Aufgaben AWS ressourcenübergreifend automatisieren. Systems Manager unterstützt Sie bei der Aufrechterhaltung von Sicherheit und Compliance, indem er Ihre verwalteten Instances scannt und über festgestellte Richtlinienverstöße (oder Abhilfemaßnahmen ergreifen) berichtet.
Code
Die
alerting_ct_logs.yamlCloudFormation Vorlage für das Projekt ist beigefügt.
Epen
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Installieren und konfigurieren Sie die AWS-CLI. | Installieren Sie AWS CLI Version 2. Konfigurieren Sie dann die Einstellungen für die Sicherheitsanmeldedaten für eine Identität, das Standardausgabeformat und die AWS Standardregion, AWS CLI mit der interagiert wirdAWS. Die Identität muss über die erforderlichen Berechtigungen verfügen, um die Aufgaben ausführen zu können. | Entwickler, Sicherheitsingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Laden Sie die CloudFormation Vorlage herunter. | Laden Sie den Anhang in einen lokalen Pfad auf Ihrem Computer herunter und extrahieren Sie die | Entwickler, Sicherheitsingenieur |
Stellen Sie die Vorlage bereit. | Führen Sie im Terminalfenster, in dem das AWS Kontoprofil konfiguriert wurde, den folgenden Befehl aus. Geben Sie im nächsten Schritt Werte für die Vorlagenparameter ein. | Entwickler, Sicherheitsingenieur |
Vervollständigen Sie die Vorlagenparameter. | Geben Sie die erforderlichen Werte für die Parameter ein.
| Entwickler, Sicherheitsingenieur |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Bestätigen Sie das Abonnement. | Überprüfen Sie Ihren E-Mail-Posteingang und wählen Sie in der E-Mail-Nachricht, die Sie von Amazon erhalten, die Option Abonnement bestätigen ausSNS. Ein Webbrowser-Fenster wird geöffnet und zeigt eine Abonnementbestätigung und Ihre Abonnement-ID an. | Entwickler, Sicherheitsingenieur |
Zugehörige Ressourcen
Referenzen
Anleitungen und Videos
Tauchen Sie tief in Amazon
ein EventBridge (AWSOnline Tech Talks)
AWS-Workshop
Zusätzliche Informationen
Der folgende Code enthält Beispiele für die Erweiterung der Lösung, sodass alle Änderungen an einem AWS Dienst überwacht und Sie darüber informiert werden. Die Beispiele umfassen vordefinierte Muster und benutzerdefinierte Muster. Weitere Informationen finden Sie unter Ereignisse und Ereignismuster in EventBridge.
EventPattern:
source:
- aws.kms
detail-type:
- AWS API Call via CloudTrail
detail:
eventSource:
- kms.amazonaws.com
eventName:
- ScheduleKeyDeletionAnlagen
