Crie um alarme que detecte o uso de uma KMS chave pendente de exclusão - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um alarme que detecte o uso de uma KMS chave pendente de exclusão

Você pode combinar os recursos do AWS CloudTrail Amazon CloudWatch Logs e do Amazon Simple Notification Service (AmazonSNS) para criar um CloudWatch alarme da Amazon que notifica você quando alguém em sua conta tenta usar uma KMS chave que está pendente de exclusão. Se você receber essa notificação, talvez queira cancelar a exclusão da KMS chave e reconsiderar sua decisão de excluí-la.

Os procedimentos a seguir criam um alarme que notifica você sempre que a mensagem de erro Key ARN is pending deletion "" for gravada em seus arquivos de CloudTrail log. Essa mensagem de erro indica que uma pessoa ou aplicativo tentou usar a KMS chave em uma operação criptográfica. Como a notificação está vinculada à mensagem de erro, ela não é acionada quando você usa API operações permitidas em KMS chaves que estão pendentes de exclusãoListKeys, comoCancelKeyDeletion, e. PutKeyPolicy Para ver uma lista das AWS KMS API operações que retornam essa mensagem de erro, consulteEstados das chaves do AWS KMS.

O e-mail de notificação que você recebe não lista a KMS chave ou a operação criptográfica. Você pode encontrar essas informações em seu CloudTrail registro. Em vez disso, o e-mail informa que o estado do alarme mudou de OK para Alarme. Para obter mais informações sobre CloudWatch alarmes e mudanças de estado, consulte Usando CloudWatch alarmes da Amazon no Guia CloudWatch do usuário da Amazon.

Atenção

Esse CloudWatch alarme da Amazon não pode detectar o uso da chave pública de uma KMS chave assimétrica fora do. AWS KMS Para obter detalhes sobre os riscos especiais de excluir KMS chaves assimétricas usadas para criptografia de chave pública, incluindo a criação de textos cifrados que não podem ser descriptografados, consulte. Deleting asymmetric KMS keys

Neste procedimento, você cria um filtro métrico de grupo de CloudWatch registros que localiza instâncias da exceção de exclusão pendente. Em seguida, você cria um CloudWatch alarme com base na métrica do grupo de registros. Para obter informações sobre filtros métricos de grupos de registros, consulte Criação de métricas a partir de eventos de log usando filtros no Guia do usuário do Amazon CloudWatch Logs.

  1. Crie um filtro CloudWatch métrico que analise os CloudTrail registros.

    Siga as instruções em Criar um filtro de métrica para um grupo de logs usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.

    Campo Valor
    Padrão de filtro

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    Valor da métrica 1

  2. Crie um CloudWatch alarme com base no filtro métrico que você criou na Etapa 1.

    Siga as instruções em Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.

    Campo Valor
    Filtro de métrica

    O nome do filtro de métrica que você criou na Etapa 1.
    Tipo de limite Estático
    Condições Sempre que metric-name é maior/igual que 1
    Pontos de dados para alarme 1 de 1
    Tratamento de dados ausentes Treat missing data as good (not breaching threshold) (Tratar dados ausentes como bons [sem violar o limite])

Depois de concluir esse procedimento, você receberá uma notificação sempre que o novo CloudWatch alarme entrar no ALARM estado. Se você receber uma notificação desse alarme, isso pode significar que uma KMS chave programada para exclusão ainda é necessária para criptografar ou descriptografar dados. Nesse caso, cancele a exclusão da KMS chave e reconsidere sua decisão de excluí-la.