As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitoramento com a Amazon EventBridge

Você pode usar a Amazon EventBridge (antiga Amazon CloudWatch Events) para alertá-lo sobre os seguintes eventos importantes no ciclo de vida de suas chaves KMS.

AWS KMSse integra à Amazon EventBridge para notificá-lo sobre eventos importantes que afetam suas chaves KMS. Cada evento é representado em JSON (JavaScriptObject Notation) e inclui o nome do evento, a data e a hora em que o evento ocorreu e os afetados. Você pode coletar esses eventos e estabelecer regras que os roteiam a um ou mais destinos, como funções do AWS Lambda, tópicos do Amazon SNS, filas do Amazon SQS, transmissões no Amazon Kinesis Data Streams no destinos integrados.

Para obter mais informações sobre o uso EventBridge com outros tipos de eventos, incluindo aqueles emitidos AWS CloudTrail quando ele registra uma solicitação de API de leitura/gravação, consulte o Guia do usuário da Amazon EventBridge .

Os tópicos a seguir descrevem os EventBridge eventos AWS KMS gerados.

Alternância de CMKs do KMS

O AWS KMS é compatível com alternância automática do material de chave em chaves do KMS com criptografia simétrica. A alternância anual do material de chave é opcional para chaves gerenciadas pelo cliente. O material de chave para Chaves gerenciadas pela AWS é alternado automaticamente a cada ano.

Sempre que AWS KMS gira o material da chave, ele envia um KMS CMK Rotation evento para EventBridge. AWS KMSgera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}

Expiração do material de chave importado do KMS

Ao importar o material de chave em uma chave do KMS, é possível especificar opcionalmente em que hora o material de chave expira. Quando o material chave expira, AWS KMS exclui o material chave e envia um KMS Imported Key Material Expiration evento correspondente para. EventBridge AWS KMSgera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}

Exclusão da CMK do KMS

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. Após o término do período de espera, AWS KMS exclui a chave KMS e envia um KMS CMK Deletion evento para. EventBridge AWS KMSgarante esse EventBridge evento. Devido a novas tentativas, ele pode gerar vários eventos dentro de alguns segundos que excluem a mesma chave do KMS.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}