Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitora e correggi l'eliminazione pianificata delle chiavi AWS KMS
Creato da Mikesh Khanal (AWS) e Ramya Pulipaka (AWS)
Riepilogo
Sul cloud Amazon Web Services (AWS), l'eliminazione di una chiave AWS Key Management Services (AWS KMS) può causare la perdita di dati. L'eliminazione rimuove il materiale chiave e tutti i metadati associati alla chiave AWS KMS ed è irreversibile. Dopo l'eliminazione di una chiave AWS KMS, non è più possibile decrittografare i dati crittografati con quella chiave AWS KMS, in modo che i dati non possano essere recuperati.
Questo modello imposta il monitoraggio, con notifiche quando un'applicazione o un utente pianifica l'eliminazione di una chiave AWS KMS. Se ricevi una notifica, potresti voler annullare l'eliminazione della chiave AWS KMS e riconsiderare la tua decisione di eliminarla. Il modello utilizza il runbook di automazione di AWS Systems Manager AWSConfigRemediation-CancelKeyDeletionper facilitare l'annullamento dell'eliminazione di una chiave AWS KMS.
Nota
Il CloudFormation modello del pattern deve essere distribuito in tutte le regioni AWS in cui desideri monitorare l'eliminazione delle chiavi AWS KMS.
Prerequisiti e limitazioni
Prerequisiti
Un account AWS attivo
Comprensione dei seguenti servizi AWS:
Amazon EventBridge
AWS KMS
Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))
AWS Systems Manager
Limitazioni
Qualsiasi personalizzazione della soluzione richiede la conoscenza dei CloudFormation modelli AWS e dei servizi AWS utilizzati in questo modello.
Attualmente, questa soluzione utilizza il bus di eventi predefinito e può essere personalizzata in base ai requisiti. Per ulteriori informazioni sul bus di eventi personalizzato, consulta la documentazione AWS.
Architettura
Stack tecnologico Target
Amazon EventBridge
AWS KMS
Amazon SNS
AWS Systems Manager
Automazione utilizzando quanto segue:
AWS Command Line Interface (AWS CLI) o SDK AWS
CloudFormation Stack AWS
Architettura Target
L'eliminazione di una chiave AWS KMS è pianificata.
L'evento di eliminazione pianificata viene valutato in base a una regola. EventBridge
La EventBridge regola riguarda l'argomento Amazon SNS.
La EventBridge regola avvia l'automazione e i runbook di Systems Manager.
I runbook annullano l'eliminazione.
Automazione e scalabilità
Lo CloudFormation stack implementa tutte le risorse e i servizi necessari per il funzionamento di questa soluzione. Il pattern può essere eseguito indipendentemente in un singolo account o eseguito utilizzando AWS CloudFormation StackSets per più account indipendenti o un'organizzazione.
aws cloudformation create-stack --stack-name <stack-name>\
--template-body file://<Full-Path-of-file> \
--parameters ParameterKey=,ParameterValue= \
--capabilities CAPABILITY_NAMED_IAMStrumenti
Strumenti
AWS CloudFormation
: AWS CloudFormation è un servizio che ti aiuta a modellare e configurare le tue risorse Amazon Web Services in modo da poter dedicare meno tempo alla gestione di tali risorse e più tempo a concentrarti sulle applicazioni eseguite su AWS. Puoi utilizzare un CloudFormation modello per creare stack in un account AWS in una regione AWS. Il modello descrive tutte le risorse AWS che desideri, effettua il CloudFormation provisioning e configura tali risorse per te. AWS CLI — L'AWS Command Line Interface (AWS CLI) è uno strumento open source che puoi usare per interagire con i servizi AWS utilizzando i comandi nella shell della riga di comando.
Amazon EventBridge: Amazon EventBridge è un servizio di bus eventi senza server che collega le tue applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni e dai servizi AWS e indirizza tali dati verso obiettivi come AWS Lambda. EventBridge semplifica il processo di creazione di architetture basate sugli eventi.
AWS KMS
— AWS Key Management Service (AWS KMS) è un servizio gestito per la creazione e il controllo delle chiavi AWS KMS, le chiavi di crittografia utilizzate per crittografare i dati. AWS SDKs
: gli strumenti SDKs AWS consentono di sviluppare e gestire applicazioni su AWS nel linguaggio di programmazione che preferisci. Amazon SNS — Amazon Simple
Notification Service (Amazon SNS) è un servizio gestito che fornisce il recapito dei messaggi dagli editori agli abbonati (noti anche come produttori e consumatori). Gli editori comunicano in modo asincrono con gli abbonati creando e inviando messaggi a un argomento, che rappresenta un punto di accesso logico e un canale di comunicazione. AWS Systems Manager — AWS Systems Manager è un servizio AWS che puoi usare per visualizzare e controllare la tua infrastruttura su AWS. Utilizzando la console Systems Manager, puoi automatizzare le attività operative tra le tue risorse AWS. Systems Manager consente di mantenere la sicurezza e la conformità eseguendo la scansione delle Istanze gestite e segnalando eventuali violazioni dei criteri rilevate (o intraprendendo azioni correttive in merito).
Codice
Il
alerting_ct_logs.yamlCloudFormation modello per il progetto è allegato.
Epiche
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Installa e configura AWS CLI. | Installa la versione 2 dell'interfaccia a riga di comando di AWS. Quindi configura le impostazioni delle credenziali di sicurezza per un'identità, il formato di output predefinito e la regione AWS predefinita che AWS CLI utilizza per interagire con AWS. L'identità deve disporre delle autorizzazioni necessarie per eseguire le attività. | Sviluppatore, ingegnere della sicurezza |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Scarica il CloudFormation modello. | Scaricate l'allegato in un percorso locale sul computer ed estraete il file | Sviluppatore, ingegnere della sicurezza |
Implementa il modello. | Nella finestra del terminale in cui è stato configurato il profilo dell'account AWS, esegui il comando seguente. Nel passaggio successivo, inserisci i valori per i parametri del modello. | Sviluppatore, ingegnere della sicurezza |
Completa i parametri del modello. | Immettete i valori richiesti per i parametri.
| Sviluppatore, ingegnere della sicurezza |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Confermare la sottoscrizione. | Controlla la tua casella di posta elettronica e scegli Conferma abbonamento nel messaggio e-mail che ricevi da Amazon SNS. Si aprirà una finestra del browser Web che mostrerà una conferma dell'abbonamento e il tuo ID di abbonamento. | Sviluppatore, ingegnere della sicurezza |
Risorse correlate
Riferimenti
Tutorial e video
Approfondimento su Amazon EventBridge
(AWS Online Tech Talks)
Workshop AWS
Informazioni aggiuntive
Il codice seguente fornisce esempi per estendere la soluzione per monitorare e notificare eventuali modifiche a qualsiasi servizio AWS. Gli esempi includono modelli predefiniti e modelli personalizzati. Per ulteriori informazioni, consulta Eventi e modelli di eventi in EventBridge.
EventPattern:
source:
- aws.kms
detail-type:
- AWS API Call via CloudTrail
detail:
eventSource:
- kms.amazonaws.com
eventName:
- ScheduleKeyDeletionAllegati
