Criar um alarme do CloudWatch para a expiração do material de chave importado

Você pode criar um alarme do CloudWatch que envie uma notificação quando o material de chave importado em uma chave do KMS estiver se aproximando da data de expiração. Por exemplo, o alarme pode notificá-lo quando faltarem menos de 30 dias para a expiração.

Ao importar o material de chave para uma chave do KMS, é possível especificar opcionalmente uma data e hora quando o material de chave expira. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS novamente, você deve reimportar o material de chave. No entanto, se você reimportar o material de chave antes que ele expire, você poderá evitar interromper processos que usem essa chave do KMS.

Esse alarme usa a métrica SecondsUntilKeyMaterialExpires que o AWS KMS publica no CloudWatch para chaves do KMS com material de chave importado que expira. Cada alarme usa essa métrica para monitorar o material de chave importado para uma chave específica do KMS. Você não pode criar um alarme único para todas as chaves do KMS com material de chave expirado ou um alarme para chaves do KMS que você possa vir a criar futuramente.

Requisitos

Os recursos a seguir são exigidos para um alarme do CloudWatch que monitore a expiração do material de chave importado.

Criar o alarme

Siga as instruções em Criar um alarme do CloudWatch com base em um limite estático usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.