Recibe SNS notificaciones de Amazon cuando cambie el estado clave de una AWS KMS clave

Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados Información adicional

Creada por Shubham Harsora (AWS), Aromal Raj Jayarajan () y Navdeep Pareek () AWS AWS

Los datos y metadatos asociados a una AWS clave del Servicio de administración de claves () AWS KMS se pierden cuando se elimina esa clave. Esta eliminación es irreversible, y no se pueden recuperar los datos perdidos (incluidos los datos cifrados). Puede evitar la pérdida de datos configurando un sistema de notificaciones que le avise de los cambios de estado en los estados clave de sus AWS KMS claves.

Este patrón le muestra cómo supervisar los cambios de estado de AWS KMS las claves mediante Amazon EventBridge y Amazon Simple Notification Service (AmazonSNS) para emitir notificaciones automáticas siempre que el estado clave de una AWS KMS clave cambie a Disabled oPendingDeletion. Por ejemplo, si un usuario intenta deshabilitar o eliminar una AWS KMS clave, recibirás una notificación por correo electrónico con los detalles del intento de cambio de estado. También puedes usar este patrón para programar la eliminación de AWS KMS claves.

Requisitos previos

Una AWS cuenta activa con un usuario de AWS Identity and Access Management (IAM)
¿Una AWSKMSclave

Pila de tecnología

Amazon EventBridge
AWSServicio de administración de claves (AWSKMS)
Amazon Simple Notification Service (AmazonSNS)

Arquitectura de destino

El siguiente diagrama muestra una arquitectura para crear un proceso automatizado de supervisión y notificación para detectar cualquier cambio en el estado de una AWS KMS clave.

En el diagrama, se muestra el siguiente flujo de trabajo:

Un usuario deshabilita o programa la eliminación de una AWS KMS clave.
Una EventBridge regla evalúa la programación Disabled o PendingDeletion el evento.
La EventBridge regla invoca el SNS tema Amazon.
Amazon SNS envía un mensaje de notificación por correo electrónico a los usuarios.

nota

Puede personalizar el mensaje de correo electrónico para que se adapte a las necesidades de su organización. Recomendamos incluir información sobre las entidades en las que se utiliza la AWS KMS clave. Esto puede ayudar a los usuarios a comprender el impacto de eliminar la AWS KMS clave. También puedes programar una notificación de recordatorio por correo electrónico para que se envíe uno o dos días antes de que se elimine la AWS KMS clave.

Automatizar y escalar

La AWS CloudFormation pila despliega todos los recursos y servicios necesarios para que este patrón funcione. Puede implementar el patrón de forma independiente en una sola cuenta o utilizándolo AWS CloudFormation StackSetspara varias cuentas independientes o unidades organizativas en AWS Organizations.

AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y administrarlos durante todo su ciclo de vida en todas las AWS cuentas y AWS regiones. La CloudFormation plantilla de este patrón describe todos los AWS recursos que necesita y los CloudFormation aprovisiona y configura automáticamente.
Amazon EventBridge es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones y AWS servicios, y dirige esos datos a destinos como AWS Lambda. EventBridge simplifica el proceso de creación de arquitecturas basadas en eventos.
AWSEl servicio de administración de claves (AWSKMS) le ayuda a crear y controlar claves criptográficas para proteger sus datos.
Amazon Simple Notification Service (AmazonSNS) le ayuda a coordinar y gestionar el intercambio de mensajes entre editores y clientes, incluidos los servidores web y las direcciones de correo electrónico.

Código

El código de este patrón está disponible en el repositorio GitHub Monitor de AWS KMS claves desactivadas y eliminadas programadas.

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Clonar el repositorio.	Clone el repositorio de inhabilitación y eliminación programada de AWS KMS claves del GitHub Monitor en su máquina local ejecutando el siguiente comando: `git clone https://github.com/aws-samples/aws-kms-deletion-notification`	AWSadministrador, arquitecto de nube
Actualice los parámetros de la plantilla.	En un editor de código, abre la `Alerting-KMS-Events.yaml` CloudFormation plantilla que has clonado del repositorio y, a continuación, actualiza los siguientes parámetros: Para `DestinationEmailAddress` ello, introduzca una dirección de correo electrónico activa que vaya a utilizar para recibir la SNS notificación. Para`SNSTopicName`, introduce un nombre para el SNS tema.	AWSadministrador, arquitecto de nube
Implemente la CloudFormation plantilla.	Inicie sesión en la consola de administración de AWS y abra la consola de CloudFormation . En el panel de navegación, seleccione Crear pila y, a continuación, seleccione Con nuevos recursos (estándar). En la página Identificar recursos, seleccione Siguiente. En la página Especificar plantilla, en Origen de la plantilla, seleccione Cargar un archivo de plantilla. Elija Elegir archivo, seleccione el `Alerting-KMS-Events.yaml` archivo del GitHub repositorio clonado y, a continuación, elija Siguiente. En Nombre de la pila, introduzca el nombre de la pila. Seleccione Enviar.	AWSadministrador, arquitecto de nube

Clonar el repositorio.

Clone el repositorio de inhabilitación y eliminación programada de AWS KMS claves del GitHub Monitor en su máquina local ejecutando el siguiente comando:

git clone https://github.com/aws-samples/aws-kms-deletion-notification

AWSadministrador, arquitecto de nube

Actualice los parámetros de la plantilla.

En un editor de código, abre la Alerting-KMS-Events.yaml CloudFormation plantilla que has clonado del repositorio y, a continuación, actualiza los siguientes parámetros:

Para DestinationEmailAddress ello, introduzca una dirección de correo electrónico activa que vaya a utilizar para recibir la SNS notificación.
ParaSNSTopicName, introduce un nombre para el SNS tema.

AWSadministrador, arquitecto de nube

Implemente la CloudFormation plantilla.

Inicie sesión en la consola de administración de AWS y abra la consola de CloudFormation .
En el panel de navegación, seleccione Crear pila y, a continuación, seleccione Con nuevos recursos (estándar).
En la página Identificar recursos, seleccione Siguiente.
En la página Especificar plantilla, en Origen de la plantilla, seleccione Cargar un archivo de plantilla.
Elija Elegir archivo, seleccione el Alerting-KMS-Events.yaml archivo del GitHub repositorio clonado y, a continuación, elija Siguiente.
En Nombre de la pila, introduzca el nombre de la pila.
Seleccione Enviar.

AWSadministrador, arquitecto de nube

Tarea	Descripción	Habilidades requeridas
Confirme la suscripción por correo electrónico.	Una vez que la CloudFormation plantilla se haya implementado correctamente, Amazon SNS envía un mensaje de confirmación de suscripción a la dirección de correo electrónico que proporcionaste en la CloudFormation plantilla. Debe confirmar esta suscripción de correo electrónico para recibir notificaciones. Para obtener más información, consulta Confirmar la suscripción en la Guía para SNS desarrolladores de Amazon.	AWSadministrador, arquitecto de nube

Tarea

Descripción

Habilidades requeridas

Confirme la suscripción por correo electrónico.

Una vez que la CloudFormation plantilla se haya implementado correctamente, Amazon SNS envía un mensaje de confirmación de suscripción a la dirección de correo electrónico que proporcionaste en la CloudFormation plantilla.

Debe confirmar esta suscripción de correo electrónico para recibir notificaciones. Para obtener más información, consulta Confirmar la suscripción en la Guía para SNS desarrolladores de Amazon.

AWSadministrador, arquitecto de nube

Tarea	Descripción	Habilidades requeridas
Deshabilita AWS KMS las claves.	Inicie sesión en la consola AWS de administración y abra la AWSKMSconsola. Para cambiar la región, elija el nombre de la región que se muestra actualmente y, a continuación, seleccione la región a la que desee cambiar. En el panel de navegación, elija Claves administradas por el cliente. Seleccione la casilla de verificación de la AWS KMS clave que desee activar o desactivar. Para deshabilitar la AWS KMS clave, selecciona Acciones clave y, a continuación, selecciona Desactivar.	Administrador de AWS
Valide la suscripción.	Confirma que has recibido el correo electrónico de SNS notificación de Amazon.	Administrador de AWS

Tarea	Descripción	Habilidades requeridas
Elimina la CloudFormation pila.	Inicie sesión en la consola de administración de AWS y abra la consola de CloudFormation . En el panel de navegación, seleccione Stacks (Pilas). Seleccione la pila que creó anteriormente y, a continuación, seleccione Eliminar.	Administrador de AWS

AWS CloudFormation(AWSdocumentación)
Crear una pila en la AWS CloudFormation consola (AWS CloudFormation documentación)
Creación de arquitecturas basadas en eventos AWS (documentación de AWS Workshop Studio)
AWSMejores prácticas de los servicios de administración clave (documento técnico) AWS
Prácticas recomendadas de seguridad para el servicio de administración de AWS claves (guía para AWS KMS desarrolladores)

Amazon SNS proporciona el cifrado en tránsito de forma predeterminada. Para cumplir con las mejores prácticas de seguridad, también puedes habilitar el cifrado del lado del servidor para Amazon mediante una clave SNS gestionada por el AWS KMS cliente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amplíe VRFs el AWS uso de Transit Gateway Connect

Modernizar su entorno de mainframe con Micro Focus