SNS キーのキーステータスが変更されたときに Amazon AWS KMS 通知を取得する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SNS キーのキーステータスが変更されたときに Amazon AWS KMS 通知を取得する

作成者: Shubham Harsora (AWS)、Aromal Raj Jayarajan (AWS)、Navdeep Pareek (AWS)

コードリポジトリ: aws-kms-deletion-notification

環境:PoC またはパイロット

テクノロジー: インフラストラクチャ、 CloudNative、 DevOps、セキュリティ、アイデンティティ、コンプライアンス

ワークロード:その他すべてのワークロード

AWS サービス: Amazon EventBridge、AWSKMS、Amazon SNS

[概要]

AWS Key Management Service (AWS KMS) キーに関連付けられたデータとメタデータは、そのキーが削除されると失われます。削除は元に戻せず、失われたデータ (暗号化されたデータを含む) を回復することはできません。AWS KMSキーのキー状態のステータス変更を警告する通知システムを設定することで、データ損失を防ぐことができます。

このパターンは、AWS と Amazon Simple Notification Service (Amazon EventBridge SNS) を使用して KMS キーのステータス変更をモニタリングし、AWS KMSキーのキーステータスが Disabledまたは に変わるたびに自動通知を発行する方法を示していますPendingDeletion。例えば、ユーザーが AWS KMSを無効化または削除しようとすると、試行されたステータスの変更に関する詳細が記載された E メール通知が届きます。このパターンを使用して、AWS KMS キーの削除をスケジュールすることもできます。

前提条件と制限

前提条件

  • AWS Identity and Access Management (AWS) ユーザーを持つアクティブな IAM アカウント

  • AWS KMS キー

アーキテクチャ

テクノロジースタック

  • Amazon EventBridge

  • AWS Key Management Service (AWS KMS)

  • Amazon Simple Notification Service (Amazon SNS)

ターゲット アーキテクチャ

次の図は、AWS KMSキーの状態の変化を検出するための自動モニタリングおよび通知プロセスを構築するためのアーキテクチャを示しています。

モニタリングと通知の自動化プロセスを構築するためのアーキテクチャ

この図表は、次のワークフローを示しています:

  1. ユーザーが AWS KMSキーの削除を無効化またはスケジュールします。

  2. An EventBridge ルールは、スケジュールされた Disabledまたは PendingDeletionイベントを評価します。

  3. EventBridge ルールは Amazon SNS トピックを呼び出します。

  4. Amazon SNS はユーザーに E メール通知メッセージを送信します。

注: E メールメッセージを組織のニーズに合わせてカスタマイズできます。AWS KMSキーが使用されるエンティティに関する情報を含めることをお勧めします。これにより、ユーザーは AWS KMSキーを削除した場合の影響を理解できます。AWS KMSキーが削除される 1 ~ 2 日前に送信されるリマインダー E メール通知をスケジュールすることもできます。

自動化とスケール

CloudFormation AWS スタックは、このパターンが機能するために必要なすべてのリソースとサービスをデプロイします。このパターンは、単一のアカウントで個別に実装することも、 CloudFormation AWS Organizations の複数の独立したアカウントまたは組織単位StackSetshttps://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.htmlに WordAWS を使用することによって実装することもできます。

ツール

  • AWS CloudFormation Wordは、AWS リソースをセットアップし、迅速かつ一貫したプロビジョニングを行い、Word アカウントと AWS AWSリージョン全体のライフサイクル全体を通じてそれらを管理するのに役立ちます。このパターンの CloudFormation テンプレートは、必要なすべての AWS リソースを記述し、 CloudFormation はそれらのリソースをプロビジョニングして設定します。

  • Amazon EventBridge は、アプリケーションをさまざまなソースからのリアルタイムデータに接続するのに役立つサーバーレスイベントバスサービスです。 EventBridge は独自のアプリケーションや AWS サービスからリアルタイムデータのストリームを配信し、そのデータを AWS Lambda. EventBridge などのターゲットにルーティングすることで、イベント駆動型アーキテクチャを構築するプロセスを簡素化します。

  • AWS Key Management Service (AWS KMS) は、データの保護に役立つ暗号化キーの作成と制御に役立ちます。

  • Amazon Simple Notification Service (Amazon SNS) は、ウェブサーバーや E メールアドレスなど、パブリッシャーとクライアント間のメッセージ交換の調整と管理に役立ちます。

コード

このパターンのコードは、 GitHub Monitor AWS KMSキーの無効化およびスケジュールされた削除リポジトリで使用できます。

エピック

タスク説明必要なスキル

リポジトリをクローン作成します。

次のコマンドを実行して、 GitHub Monitor KMS AWS キーのクローンをローカルマシンに作成し、削除リポジトリを無効にしてスケジュールします。

git clone https://github.com/aws-samples/aws-kms-deletion-notification

AWS管理者、クラウドアーキテクト

テンプレートのパラメータを更新します。

コードエディタで、リポジトリからクローンした Alerting-KMS-Events.yaml CloudFormation テンプレートを開き、次のパラメータを更新します。

  • にはDestinationEmailAddress、SNS 通知の受信に使用する予定のアクティブな E メールアドレスを入力します。

  • にはSNSTopicName、SNS トピックの名前を入力します。

AWS管理者、クラウドアーキテクト

CloudFormation テンプレートをデプロイします。

  1. AWS マネジメントコンソールにサインインし、CloudFormation コンソールを開きます。

  2. ナビゲーションペインで [スタックの作成] を選択し、[新しいリソース (標準) を使用] を選択します。

  3. リソースの識別」ページで「次へ」を選択します。

  4. テンプレートの指定」ページの「テンプレートソース」で、 テンプレートファイルのアップロード」を選択します。

  5. ファイルの選択 を選択し、クローンされた GitHub リポジトリからAlerting-KMS-Events.yamlファイルを選択し、次 を選択します。

  6. スタック名に対して、スタック名を入力します。

  7. [送信] を選択します。

AWS管理者、クラウドアーキテクト
タスク説明必要なスキル

サブスクリプションメールを確認します。

CloudFormation テンプレートが正常にデプロイされると、Amazon SNS は、 CloudFormation テンプレートで指定した E メールアドレスにサブスクリプション確認メッセージを送信します。

通知を受信するには、このメールのサブスクリプションを確認する必要があります。詳細については、「Amazon Word デベロッパーガイド」の「サブスクリプションの確認」を参照してください。 SNS

AWS管理者、クラウドアーキテクト
タスク説明必要なスキル

AWS KMS キーを無効にします。

  1. AWS マネジメントコンソールにサインインし、AWS KMSコンソールを開きます。

  2. リージョンを変更するには、現在表示されているリージョン名を選択してから、切り替えたいリージョンを選択します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. 有効化または無効化する AWSKMS キーのチェックボックスをオンにします。

  5. AWS KMS キーを無効にするには、「キーアクション」を選択し、「無効化」を選択します。

AWS 管理者

サブスクリプションを検証します。

Amazon SNS 通知メールが届いたことを確認します。

AWS 管理者
タスク説明必要なスキル

CloudFormation スタックを削除します。

  1. AWS マネジメントコンソールにサインインし、CloudFormation コンソールを開きます。

  2. ナビゲーションペインで、[Stacks] を選択します。

  3. 以前に作成したスタックを選択し、[削除] を選択します。

AWS 管理者

関連リソース

追加情報

Amazon SNS は、デフォルトで転送時の暗号化を提供します。セキュリティのベストプラクティスに合わせて、SNS カスタマーマネージドキーを使用して Amazon AWSKMS のサーバー側の暗号化を有効にすることもできます。