Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Monitorización de claves KMS con Amazon EventBridge
Puede utilizar Amazon EventBridge (anteriormente Eventos de Amazon CloudWatch) para avisarle de los siguientes eventos importantes en el ciclo de vida de las claves KMS.
-
El material clave de una clave KMS se rotó automáticamente.
-
El material de clave importado en una clave KMS se ha vencido.
-
Se eliminó una clave KMS cuya eliminación estaba programada.
AWS KMS se integra con Amazon EventBridge para informarlo de determinados eventos que afectan a las claves KMS. Cada evento está representado en JSON (JavaScript Object Notation, notación de objetos de JavaScript)
Para obtener más información acerca de cómo utilizar EventBridge con otros tipos de eventos, incluidos los emitidos por AWS CloudTrail cuando registra una solicitud de la API de lectura/escritura, consulte la Guía del usuario de Amazon EventBridge.
En los siguientes temas se describen los eventos de EventBridge que AWS KMS genera.
Rotación de CMK de KMS
AWS KMS es compatible con la rotación automática del material de clave en claves KMS de cifrado simétricas. La rotación anual de materiales de claves es opcional para las claves administradas por el cliente. El material de claves para Claves administradas por AWS se rota cada año de forma automática.
Siempre que AWS KMS rota el material de clave, envía un evento KMS CMK Rotation a EventBridge. AWS KMS genera este evento en la medida en que sea posible.
A continuación se muestra un ejemplo de este evento.
{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
Vencimiento del material de claves importado de KMS
Al importar material de claves en una clave KMS, también puede especificar una hora en la que vence el material de claves. Cuando caduque el material de clave, AWS KMS elimina el material de clave y envía un evento KMS Imported Key Material Expiration correspondiente a EventBridge. AWS KMS genera este evento en la medida en que sea posible.
A continuación se muestra un ejemplo de este evento.
{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
Eliminación de CMK de KMS
Al programar una eliminación de claves de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Una vez finalizado el período de espera, AWS KMS elimina la clave KMS y envía un evento KMS CMK Deletion a EventBridge. AWS KMS garantiza este evento de EventBridge. Debido a los reintentos, puede generar varios eventos en unos segundos que eliminan la misma clave KMS.
A continuación se muestra un ejemplo de este evento.
{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
