

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon EventBridge 監控 KMS 金鑰
<a name="kms-events"></a>

您可以使用 Amazon EventBridge (原稱為 Amazon CloudWatch Events)，提醒您注意 KMS 金鑰生命週期中的下列重要事件。
+ KMS 金鑰中的金鑰材料會自動輪換或隨需輪換。
+ KMS 金鑰中所匯入的金鑰資料過期。
+ 已排程刪除的 KMS 金鑰已被刪除。

AWS KMS 與 Amazon EventBridge 整合，以通知您影響 KMS 金鑰的重要事件。每個事件以 [JSON (JavaScript 物件標記法)](http://json.org) 來表示，並包含事件名稱、事件的發生日期和時間，以及受影響的項目。您可以收集這些事件並建立規則，將它們路由到一或多個*目標*，例如 AWS Lambda 函數、Amazon SNS 主題、Amazon SQS 佇列、Amazon Kinesis Data Streams 中的串流或內建目標。

如需搭配其他類型的事件使用 EventBridge 的詳細資訊，包括記錄讀取/寫入 API 請求 AWS CloudTrail 時由 發出的事件，請參閱 [Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。

下列主題說明 AWS KMS 產生的 EventBridge 事件。

## KMS CMK Rotation (KMS CMK 輪換)
<a name="kms-events-rotation"></a>

AWS KMS 支援對稱加密 KMS 金鑰中金鑰材料的[自動和隨需輪換](rotate-keys.md)。

每當 AWS KMS 輪換金鑰材料時，就會傳送`KMS CMK Rotation`事件至 EventBridge。 會盡最大努力 AWS KMS 產生此事件。

以下為此事件的範例。

```
{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}
```

## KMS Imported Key Material Expiration (KMS 匯入的金鑰資料過期)
<a name="kms-events-expiration"></a>

當您[匯入金鑰材料至 KMS 金鑰時](importing-keys.md)，您可以選擇指定該金鑰材料的過期時間。當金鑰材料過期時， 會 AWS KMS 刪除金鑰材料，並將對應的`KMS Imported Key Material Expiration`事件傳送至 EventBridge。 會盡最大努力 AWS KMS 產生此事件。

以下為此事件的範例。

```
{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}
```

## KMS CMK Deletion (KMS CMK 的刪除)
<a name="kms-events-deletion"></a>

當您[排程刪除](deleting-keys.md) KMS 金鑰時， AWS KMS 會在刪除 KMS 金鑰之前強制執行等待期間。等待期間結束後， AWS KMS 會刪除 KMS 金鑰，並傳送 `KMS CMK Deletion` 事件至 EventBridge。 AWS KMS 會確保此 EventBridge 事件。由於重試，它可能會在幾秒鐘內產生多個刪除相同 KMS 金鑰的事件。

 以下為此事件的範例。

```
{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}
```