Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Erhalten Sie SNS Amazon-Benachrichtigungen, wenn sich der Schlüsselstatus eines AWS KMS Schlüssels ändert - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsEpenZugehörige RessourcenZusätzliche Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erhalten Sie SNS Amazon-Benachrichtigungen, wenn sich der Schlüsselstatus eines AWS KMS Schlüssels ändert

PDF

Erstellt von Shubham Harsora (AWS), Aromal Raj Jayarajan () und Navdeep Pareek () AWS AWS

Übersicht

Die mit einem AWS Key Management Service () -Schlüssel verknüpften Daten und Metadaten gehen verloren, wenn dieser Schlüssel gelöscht wird. AWS KMS Das Löschen ist irreversibel und Sie können verlorene Daten (einschließlich verschlüsselter Daten) nicht wiederherstellen. Sie können Datenverlust verhindern, indem Sie ein Benachrichtigungssystem einrichten, das Sie über Statusänderungen der wichtigsten Status Ihrer AWS KMS Schlüssel informiert.

Dieses Muster zeigt Ihnen, wie Sie Statusänderungen an AWS KMS Schlüsseln überwachen können, indem Sie Amazon EventBridge und Amazon Simple Notification Service (AmazonSNS) verwenden, um automatische Benachrichtigungen auszugeben, wenn sich der Schlüsselstatus eines AWS KMS Schlüssels auf Disabled oder ändertPendingDeletion. Wenn ein Benutzer beispielsweise versucht, einen AWS KMS Schlüssel zu deaktivieren oder zu löschen, erhalten Sie eine E-Mail-Benachrichtigung mit Einzelheiten zur versuchten Statusänderung. Sie können dieses Muster auch verwenden, um das Löschen von AWS KMS Schlüsseln zu planen.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Ein aktives AWS Konto mit einem AWS Identity and Access Management (IAM) -Benutzer

  • Ein AWSKMSSchlüssel

Architektur

Technologie-Stack

  • Amazon EventBridge

  • AWSSchlüsselverwaltungsservice (AWSKMS)

  • Amazon Simple Notification Service (AmazonSNS)

Zielarchitektur

Das folgende Diagramm zeigt eine Architektur für den Aufbau eines automatisierten Überwachungs- und Benachrichtigungsprozesses zur Erkennung von Änderungen am Status eines AWS KMS Schlüssels.

Architektur für den Aufbau eines automatisierten Überwachungs- und Benachrichtigungsprozesses

Das Diagramm zeigt den folgenden Workflow:

  1. Ein Benutzer deaktiviert oder plant das Löschen eines AWS KMS Schlüssels.

  2. Eine EventBridge Regel bewertet das geplante Ereignis Disabled oder PendingDeletion Ereignis.

  3. Die EventBridge Regel ruft das SNS Amazon-Thema auf.

  4. Amazon SNS sendet eine E-Mail-Benachrichtigung an die Benutzer.

Anmerkung

Sie können die E-Mail-Nachricht an die Bedürfnisse Ihres Unternehmens anpassen. Wir empfehlen, Informationen über die Entitäten anzugeben, in denen der AWS KMS Schlüssel verwendet wird. Dies kann Benutzern helfen, die Auswirkungen des Löschens des AWS KMS Schlüssels zu verstehen. Sie können auch eine E-Mail-Erinnerung einrichten, die ein oder zwei Tage vor dem Löschen des AWS KMS Schlüssels gesendet wird.

Automatisierung und Skalierung

Der AWS CloudFormation Stack stellt alle erforderlichen Ressourcen und Dienste bereit, damit dieses Muster funktioniert. Sie können das Muster unabhängig in einem einzelnen Konto implementieren oder es AWS CloudFormation StackSetsfür mehrere unabhängige Konten oder Organisationseinheiten in AWS Organizations verwenden.

Tools

  • AWS CloudFormationhilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus AWS konto- und AWS regionsübergreifend zu verwalten. Die CloudFormation Vorlage für dieses Muster beschreibt alle AWS Ressourcen, die Sie benötigen, und stellt CloudFormation diese Ressourcen für Sie bereit und konfiguriert sie.

  • Amazon EventBridge ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen und AWS Diensten und leitet diese Daten an Ziele wie AWS Lambda weiter. EventBridge vereinfacht den Prozess der Erstellung ereignisgesteuerter Architekturen.

  • AWSDer Key Management Service (AWSKMS) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen.

  • Amazon Simple Notification Service (AmazonSNS) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.

Code

Der Code für dieses Muster ist in den Repositorien zur Deaktivierung von GitHub AWS KMS Monitor-Tasten und zum geplanten Löschen verfügbar.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Klonen Sie das Repository

Klonen Sie das Repository zur Deaktivierung der GitHub AWS KMS Monitor-Tasten und zum geplanten Löschen auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:

git clone https://github.com/aws-samples/aws-kms-deletion-notification

AWSAdministrator, Cloud-Architekt

Aktualisieren Sie die Parameter der Vorlage.

Öffnen Sie in einem Code-Editor die Alerting-KMS-Events.yaml CloudFormation Vorlage, die Sie aus dem Repository geklont haben, und aktualisieren Sie dann die folgenden Parameter:

  • Geben Sie für DestinationEmailAddress eine aktive E-Mail-Adresse ein, die Sie für den Empfang der SNS Benachrichtigung verwenden möchten.

  • Geben Sie für SNSTopicName einen Namen für Ihr SNS Thema ein.

AWSAdministrator, Cloud-Architekt

Stellen Sie die CloudFormation Vorlage bereit.

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die CloudFormation -Konsole.

  2. Wählen Sie im Navigationsbereich Stapel erstellen und dann Mit neuen Ressourcen (Standard) aus.

  3. Wählen Sie auf der Seite Ressourcen identifizieren die Option Weiter aus.

  4. Wählen Sie auf der Seite „Vorlage angeben“ für Vorlagenquelle die Option Vorlagendatei hochladen aus.

  5. Wählen Sie Datei auswählen, wählen Sie die Alerting-KMS-Events.yaml Datei aus Ihrem geklonten GitHub Repository aus und klicken Sie dann auf Weiter.

  6. Geben Sie unter Stack-Name Ihren Stack-Namen ein.

  7. Wählen Sie Absenden aus.

AWSAdministrator, Cloud-Architekt

Stellen Sie die Vorlage CloudFormation bereit

AufgabeBeschreibungErforderliche Fähigkeiten

Klonen Sie das Repository

Klonen Sie das Repository zur Deaktivierung der GitHub AWS KMS Monitor-Tasten und zum geplanten Löschen auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:

git clone https://github.com/aws-samples/aws-kms-deletion-notification

AWSAdministrator, Cloud-Architekt

Aktualisieren Sie die Parameter der Vorlage.

Öffnen Sie in einem Code-Editor die Alerting-KMS-Events.yaml CloudFormation Vorlage, die Sie aus dem Repository geklont haben, und aktualisieren Sie dann die folgenden Parameter:

  • Geben Sie für DestinationEmailAddress eine aktive E-Mail-Adresse ein, die Sie für den Empfang der SNS Benachrichtigung verwenden möchten.

  • Geben Sie für SNSTopicName einen Namen für Ihr SNS Thema ein.

AWSAdministrator, Cloud-Architekt

Stellen Sie die CloudFormation Vorlage bereit.

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die CloudFormation -Konsole.

  2. Wählen Sie im Navigationsbereich Stapel erstellen und dann Mit neuen Ressourcen (Standard) aus.

  3. Wählen Sie auf der Seite Ressourcen identifizieren die Option Weiter aus.

  4. Wählen Sie auf der Seite „Vorlage angeben“ für Vorlagenquelle die Option Vorlagendatei hochladen aus.

  5. Wählen Sie Datei auswählen, wählen Sie die Alerting-KMS-Events.yaml Datei aus Ihrem geklonten GitHub Repository aus und klicken Sie dann auf Weiter.

  6. Geben Sie unter Stack-Name Ihren Stack-Namen ein.

  7. Wählen Sie Absenden aus.

AWSAdministrator, Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

Bestätigen Sie die Abonnement-E-Mail.

Nachdem die CloudFormation Vorlage erfolgreich bereitgestellt wurde, SNS sendet Amazon eine Bestätigungsnachricht für das Abonnement an die E-Mail-Adresse, die Sie in der CloudFormation Vorlage angegeben haben.

Um Benachrichtigungen zu erhalten, müssen Sie dieses E-Mail-Abonnement bestätigen. Weitere Informationen finden Sie unter Bestätigen des Abonnements im Amazon SNS Developer Guide.

AWSAdministrator, Cloud-Architekt

Bestätigen Sie das Abonnement

AufgabeBeschreibungErforderliche Fähigkeiten

Bestätigen Sie die Abonnement-E-Mail.

Nachdem die CloudFormation Vorlage erfolgreich bereitgestellt wurde, SNS sendet Amazon eine Bestätigungsnachricht für das Abonnement an die E-Mail-Adresse, die Sie in der CloudFormation Vorlage angegeben haben.

Um Benachrichtigungen zu erhalten, müssen Sie dieses E-Mail-Abonnement bestätigen. Weitere Informationen finden Sie unter Bestätigen des Abonnements im Amazon SNS Developer Guide.

AWSAdministrator, Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

AWSKMSSchlüssel deaktivieren.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWSKMSKonsole.

  2. Um die Region zu ändern, wählen Sie den Namen der aktuell angezeigten Region und dann die Region aus, zu der Sie wechseln möchten.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Aktivieren Sie das Kontrollkästchen für den AWS KMS Schlüssel, den Sie aktivieren oder deaktivieren möchten.

  5. Um den AWS KMS Schlüssel zu deaktivieren, wählen Sie Tastenaktionen und dann Deaktivieren aus.

AWS-Administrator

Bestätigen Sie das Abonnement.

Bestätigen Sie, dass Sie die SNS Amazon-Benachrichtigungs-E-Mail erhalten haben.

AWS-Administrator

Testen Sie die Abonnementbenachrichtigung

AufgabeBeschreibungErforderliche Fähigkeiten

AWSKMSSchlüssel deaktivieren.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWSKMSKonsole.

  2. Um die Region zu ändern, wählen Sie den Namen der aktuell angezeigten Region und dann die Region aus, zu der Sie wechseln möchten.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Aktivieren Sie das Kontrollkästchen für den AWS KMS Schlüssel, den Sie aktivieren oder deaktivieren möchten.

  5. Um den AWS KMS Schlüssel zu deaktivieren, wählen Sie Tastenaktionen und dann Deaktivieren aus.

AWS-Administrator

Bestätigen Sie das Abonnement.

Bestätigen Sie, dass Sie die SNS Amazon-Benachrichtigungs-E-Mail erhalten haben.

AWS-Administrator
AufgabeBeschreibungErforderliche Fähigkeiten

Löschen Sie den CloudFormation Stapel.

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die CloudFormation -Konsole.

  2. Klicken Sie im Navigationsbereich auf Stacks.

  3. Wählen Sie den Stapel aus, den Sie zuvor erstellt haben, und klicken Sie dann auf Löschen.

AWS-Administrator

Bereinigen von -Ressourcen

AufgabeBeschreibungErforderliche Fähigkeiten

Löschen Sie den CloudFormation Stapel.

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die CloudFormation -Konsole.

  2. Klicken Sie im Navigationsbereich auf Stacks.

  3. Wählen Sie den Stapel aus, den Sie zuvor erstellt haben, und klicken Sie dann auf Löschen.

AWS-Administrator

Zugehörige Ressourcen

Zusätzliche Informationen

Amazon SNS bietet standardmäßig Verschlüsselung bei der Übertragung. Um den bewährten Sicherheitsmethoden zu entsprechen, können Sie auch die serverseitige Verschlüsselung für Amazon aktivieren, SNS indem Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden.

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.