Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS
Puede combinar las características de AWS CloudTrail, Registros de Amazon CloudWatch y Amazon Simple Notification Service (Amazon SNS) para crear una alarma de Amazon CloudWatch que le notifique si alguien de su cuenta intenta utilizar una clave KMS que está pendiente de eliminación en una operación criptográfica. Si recibe esta notificación, puede cancelar la eliminación de la clave KMS y reconsiderar su decisión de eliminarla.
Los siguientes procedimientos crean una alarma que le notifica siempre que el mensaje de error “Key ARN is pending deletionListKeys, CancelKeyDeletion y PutKeyPolicy. Para ver una lista de las operaciones de API de AWS KMS que devuelven este mensaje de error, consulte Estados de clave de de las claves AWS KMS.
El correo electrónico de notificación que recibe no muestra la clave KMS o la operación criptográfica. Puede encontrar esa información en su registro de CloudTrail. En lugar de ello, el correo electrónico informa de que el estado de la alarma ha cambiado de OK (Correcto) a Alarm (Alarma). Para obtener más información sobre las alarmas de CloudWatch y los cambios de estado, consulte Usar alarmas de Amazon CloudWatch en la Guía del usuario de Amazon CloudWatch.
aviso
Esta alarma de Amazon CloudWatch no puede detectar el uso de la clave pública de una clave KMS asimétrica fuera de AWS KMS. Para obtener detalles acerca de los riesgos especiales de la eliminación de las claves KMS asimétricas utilizadas para la criptografía de clave pública, incluida la creación de textos cifrados que no se pueden descifrar, consulte Deleting asymmetric KMS keys.
En este procedimiento, crea un filtro de métricas de grupos de registro de CloudWatch que busca instancias de la excepción de eliminación pendiente. A continuación, crea una alarma de CloudWatch basada en la métrica del grupo de registro. Para obtener más información, consulte Creating metrics from log events using filters (Creación de métricas a partir de eventos de registro mediante filtros) en la Guía del usuario de Registros de Amazon CloudWatch.
-
Cree un filtro de métricas de CloudWatch que analice los registros de CloudTrail.
Siga las instrucciones que se indican en Crear un filtro de métricas para un grupo de registro con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
Campo Valor Patrón de filtro { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}Valor de la métrica 1 -
Cree una alarma de CloudWatch basada en el filtro de métricas que creó en el paso 1.
Siga las instrucciones que se indican en Creating a CloudWatch alarm based on a log group-metric filter (Crear una alarma de CloudWatch basada en un filtro de métricas para un grupo de registro) con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
Campo Valor Filtro de métricas El nombre del filtro de métricas que ha creado en el Paso 1.
Tipo de umbral Estático Condiciones Whenever metric-nameis Greater than1(Siempre que el nombre de la métrica sea mayor que )Puntos de datos para alarma 1fuera de1Tratamiento de datos que faltan Treat missing data as good (not breaching threshold) (Tratar los datos que faltan como buenos [dentro del umbral])
Después de realizar este procedimiento, recibirá una notificación cada vez que su nueva alarma de CloudWatch cambie al estado ALARM. Si recibe una notificación para esta alarma, puede significar que todavía se necesita una eliminación programada para cifrar o descifrar datos. En ese caso, cancele la eliminación de la clave KMS y reconsidere su decisión de eliminarla.
