翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SNS キーのキーステータスが変更されたときに Amazon AWS KMS 通知を取得する
作成者: Shubham Harsora (AWS)、Aromal Raj Jayarajan (AWS)、Navdeep Pareek (AWS)
コードリポジトリ: aws-kms-deletion-notification | 環境:PoC またはパイロット | テクノロジー: インフラストラクチャ、 CloudNative、 DevOps、セキュリティ、アイデンティティ、コンプライアンス |
ワークロード:その他すべてのワークロード | AWS サービス: Amazon EventBridge、AWSKMS、Amazon SNS |
[概要]
AWS Key Management Service (AWS KMS) キーに関連付けられたデータとメタデータは、そのキーが削除されると失われます。削除は元に戻せず、失われたデータ (暗号化されたデータを含む) を回復することはできません。AWS KMSキーのキー状態のステータス変更を警告する通知システムを設定することで、データ損失を防ぐことができます。
このパターンは、AWS と Amazon Simple Notification Service (Amazon EventBridge SNS) を使用して KMS キーのステータス変更をモニタリングし、AWS KMSキーのキーステータスが Disabled
または に変わるたびに自動通知を発行する方法を示していますPendingDeletion
。例えば、ユーザーが AWS KMSを無効化または削除しようとすると、試行されたステータスの変更に関する詳細が記載された E メール通知が届きます。このパターンを使用して、AWS KMS キーの削除をスケジュールすることもできます。
前提条件と制限
前提条件
AWS Identity and Access Management (AWS) ユーザーを持つアクティブな IAM アカウント
アーキテクチャ
テクノロジースタック
Amazon EventBridge
AWS Key Management Service (AWS KMS)
Amazon Simple Notification Service (Amazon SNS)
ターゲット アーキテクチャ
次の図は、AWS KMSキーの状態の変化を検出するための自動モニタリングおよび通知プロセスを構築するためのアーキテクチャを示しています。
この図表は、次のワークフローを示しています:
ユーザーが AWS KMSキーの削除を無効化またはスケジュールします。
An EventBridge ルールは、スケジュールされた
Disabled
またはPendingDeletion
イベントを評価します。EventBridge ルールは Amazon SNS トピックを呼び出します。
Amazon SNS はユーザーに E メール通知メッセージを送信します。
注: E メールメッセージを組織のニーズに合わせてカスタマイズできます。AWS KMSキーが使用されるエンティティに関する情報を含めることをお勧めします。これにより、ユーザーは AWS KMSキーを削除した場合の影響を理解できます。AWS KMSキーが削除される 1 ~ 2 日前に送信されるリマインダー E メール通知をスケジュールすることもできます。
自動化とスケール
CloudFormation AWS スタックは、このパターンが機能するために必要なすべてのリソースとサービスをデプロイします。このパターンは、単一のアカウントで個別に実装することも、 CloudFormation AWS Organizations の複数の独立したアカウントまたは組織単位StackSetshttps://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.htmlに WordAWS を使用することによって実装することもできます。
ツール
AWS CloudFormation Wordは、AWS リソースをセットアップし、迅速かつ一貫したプロビジョニングを行い、Word アカウントと AWS AWSリージョン全体のライフサイクル全体を通じてそれらを管理するのに役立ちます。このパターンの CloudFormation テンプレートは、必要なすべての AWS リソースを記述し、 CloudFormation はそれらのリソースをプロビジョニングして設定します。
Amazon EventBridge は、アプリケーションをさまざまなソースからのリアルタイムデータに接続するのに役立つサーバーレスイベントバスサービスです。 EventBridge は独自のアプリケーションや AWS サービスからリアルタイムデータのストリームを配信し、そのデータを AWS Lambda. EventBridge などのターゲットにルーティングすることで、イベント駆動型アーキテクチャを構築するプロセスを簡素化します。
AWS Key Management Service (AWS KMS) は、データの保護に役立つ暗号化キーの作成と制御に役立ちます。
Amazon Simple Notification Service (Amazon SNS) は、ウェブサーバーや E メールアドレスなど、パブリッシャーとクライアント間のメッセージ交換の調整と管理に役立ちます。
コード
このパターンのコードは、 GitHub Monitor AWS KMSキーの無効化およびスケジュールされた削除
エピック
タスク | 説明 | 必要なスキル |
---|---|---|
リポジトリをクローン作成します。 | 次のコマンドを実行して、 GitHub Monitor KMS AWS キーのクローンをローカルマシンに作成し、削除リポジトリを無効にしてスケジュール
| AWS管理者、クラウドアーキテクト |
テンプレートのパラメータを更新します。 | コードエディタで、リポジトリからクローンした
| AWS管理者、クラウドアーキテクト |
CloudFormation テンプレートをデプロイします。 |
| AWS管理者、クラウドアーキテクト |
タスク | 説明 | 必要なスキル |
---|---|---|
サブスクリプションメールを確認します。 | CloudFormation テンプレートが正常にデプロイされると、Amazon SNS は、 CloudFormation テンプレートで指定した E メールアドレスにサブスクリプション確認メッセージを送信します。 通知を受信するには、このメールのサブスクリプションを確認する必要があります。詳細については、「Amazon Word デベロッパーガイド」の「サブスクリプションの確認」を参照してください。 SNS | AWS管理者、クラウドアーキテクト |
タスク | 説明 | 必要なスキル |
---|---|---|
AWS KMS キーを無効にします。 |
| AWS 管理者 |
サブスクリプションを検証します。 | Amazon SNS 通知メールが届いたことを確認します。 | AWS 管理者 |
タスク | 説明 | 必要なスキル |
---|---|---|
CloudFormation スタックを削除します。 |
| AWS 管理者 |
関連リソース
CloudFormationAWS
(AWS ドキュメント) AWS コンソールでのスタックの作成 ( CloudFormation AWS CloudFormation ドキュメント)
AWS でのイベント駆動型アーキテクチャの構築
(AWS Workshop Studio ドキュメント) AWS Key Management Service のベストプラクティス
(AWS ホワイトペーパー) AWS Key Management Service のセキュリティのベストプラクティス (AWS KMSデベロッパーガイド)
追加情報
Amazon SNS は、デフォルトで転送時の暗号化を提供します。セキュリティのベストプラクティスに合わせて、SNS カスタマーマネージドキーを使用して Amazon AWSKMS のサーバー側の暗号化を有効にすることもできます。