Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créez une alarme qui détecte l'utilisation d'une KMS clé en attente de suppression
Vous pouvez combiner les fonctionnalités d' AWS CloudTrail Amazon CloudWatch Logs et d'Amazon Simple Notification Service (AmazonSNS) pour créer une CloudWatch alarme Amazon qui vous avertit lorsqu'un utilisateur de votre compte essaie d'utiliser une KMS clé en attente de suppression. Si vous recevez cette notification, vous souhaiterez peut-être annuler la suppression de la KMS clé et reconsidérer votre décision de la supprimer.
Les procédures suivantes créent une alarme qui vous avertit chaque fois que le message d'erreur Key ARN is pending deletionListKeysCancelKeyDeletion, etPutKeyPolicy. Pour consulter la liste des AWS KMS API opérations renvoyant ce message d'erreur, consultezÉtats clés des AWS KMS clés.
L'e-mail de notification que vous recevez ne répertorie ni la KMS clé ni l'opération cryptographique. Vous pouvez trouver ces informations dans votre CloudTrail journal. Au lieu de cela, l'e-mail indique que l'état de l'alarme est passé de OK à Alarme. Pour plus d'informations sur les CloudWatch alarmes et les changements d'état, consultez la section Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.
Avertissement
Cette CloudWatch alarme Amazon ne peut pas détecter l'utilisation de la clé publique d'une KMS clé asymétrique en dehors de AWS KMS. Pour plus de détails sur les risques particuliers liés à la suppression de KMS clés asymétriques utilisées pour le chiffrement à clé publique, notamment la création de textes chiffrés impossibles à déchiffrer, voir. Deleting asymmetric KMS keys
Dans cette procédure, vous créez un filtre métrique de groupe de CloudWatch journaux qui recherche les instances de l'exception de suppression en attente. Ensuite, vous créez une CloudWatch alarme en fonction de la métrique du groupe de logs. Pour plus d'informations sur les filtres métriques des groupes de journaux, consultez la section Création de métriques à partir d'événements de journal à l'aide de filtres dans le guide de l'utilisateur Amazon CloudWatch Logs.
-
Créez un filtre CloudWatch métrique qui analyse les CloudTrail journaux.
Suivez les instructions de la section Créer un filtre métrique pour un groupe de journaux à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
Champ Valeur Modèle de filtre { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}Valeur de la métrique 1 -
Créez une CloudWatch alarme en fonction du filtre métrique que vous avez créé à l'étape 1.
Suivez les instructions de la section Création d'une CloudWatch alarme basée sur un filtre métrique de groupes de logs en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
Champ Valeur Filtre de métrique Le nom du filtre de métrique que vous avez créé à l'étape 1.
Type de seuil Statique Conditions N'importe quand metric-nameest supérieur/égal à1Points de données indiquant une alarme 1sur1Traitement de données manquantes Traiter les données manquantes comme correctes (seuil non dépassé)
Une fois cette procédure terminée, vous recevrez une notification chaque fois que votre nouvelle CloudWatch alarme entre dans l'ALARMétat. Si vous recevez une notification pour cette alarme, cela signifie peut-être qu'une KMS clé dont la suppression est prévue est toujours nécessaire pour chiffrer ou déchiffrer les données. Dans ce cas, annulez la suppression de la KMS clé et reconsidérez votre décision de la supprimer.
