삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성 - AWS Key Management Service

삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성

AWS CloudTrail, Amazon CloudWatch Logs 및 Amazon Simple Notification Service(Amazon SNS)의 기능을 결합하여 계정의 누군가가 삭제 보류 중인 KMS 키를 사용하려고 할 때 알리는 Amazon CloudWatch 알림을 생성할 수 있습니다. 이 알림을 받는 경우 KMS 키 삭제를 취소하고 삭제 결정을 재고해 볼 수 있습니다.

다음 절차에서는 "Key ARN is pending deletion" 오류 메시지가 CloudTrail 로그 파일에 기록될 때마다 알리는 경보를 생성합니다. 이 오류 메시지는 개인이나 애플리케이션이 암호화 작업 시 해당 KMS 키를 사용하려고 했음을 나타냅니다. 이 알림은 오류 메시지와 연결되어 있으므로 ListKeys, CancelKeyDeletionPutKeyPolicy 같은 삭제 보류 중인 KMS 키에 대해 허용된 API 작업을 사용할 때는 트리거되지 않습니다. 이 오류 메시지를 반환하는 AWS KMS API 작업의 목록을 보려면 AWS KMS 키의 키 상태 단원을 참조하십시오.

수신하는 알림 이메일에 KMS 키 또는 암호화 작업이 나열되지 않습니다. CloudTrail 로그에서 해당 정보를 확인할 수 있습니다. 대신에, 경보 상태가 정상에서 경보로 변경되었다는 내용이 이메일로 보고됩니다. CloudWatch 경보 및 상태 변경에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서Amazon CloudWatch 경보 사용을 참조하십시오.

주의

이 Amazon CloudWatch 경보는 AWS KMS 외부에서의 비대칭 KMS 키의 퍼블릭 키의 사용을 감지할 수 없습니다. 암호를 해독할 수 없는 암호화 텍스트를 만드는 등 퍼블릭 키 암호화에 사용되는 비대칭 KMS 키를 삭제할 때의 특별한 위험에 대한 자세한 내용은 Deleting asymmetric KMS keys 단원을 참조하십시오.

이 절차에서는 삭제 보류 예외의 인스턴스를 찾는 CloudWatch 로그 그룹 지표 필터를 생성합니다. 그런 다음 로그 그룹 지표에 기반하여 CloudWatch 경보를 생성합니다. 로그 그룹 지표 필터에 대한 자세한 내용을 알아보려면 Amazon CloudWatch Logs 사용 설명서의 필터를 사용하여 로그 이벤트에서 지표 생성을 참조하세요.

  1. CloudTrail 로그를 구문 분석하는 CloudWatch 지표 필터를 생성합니다.

    다음 필수 값을 사용하여 로그 그룹에 대한 지표 필터 생성의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.

    필드
    필터 패턴

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    지표 값 1

  2. 1단계에서 생성한 지표 필터를 기반으로 CloudWatch 경보를 생성합니다.

    다음 필수 값을 사용하여 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.

    필드
    지표 필터

    1단계에서 생성한 지표 필터 이름입니다.
    임계값 유형 정적
    조건 metric-name1 보다 클때마다
    경보를 보낼 데이터 포인트 1/1
    누락 데이터 처리 누락 데이터 처리에서 양호(임계값을 위반하지 않음)

이 절차를 완료한 후 새 CloudWatch 경보가 ALARM 상태에 도달할 때마다 알림을 받게 됩니다. 이 경보에 대한 알림을 받으면 데이터를 암호화하거나 암호를 해독하기 위해서는 삭제가 예약된 KMS 키가 아직 필요하다는 뜻일 수 있습니다. 이 경우 KMS 키 삭제를 취소하고 삭제 결정을 다시 생각해 볼 수 있습니다.