Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS - AWS Key Management Service
Requisitos de una alarma CloudWatch Crear la CloudWatch alarma

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS

Puedes combinar las funciones de AWS CloudTrail Amazon CloudWatch Logs y Amazon Simple Notification Service (Amazon SNS) para crear una alarma de Amazon que te notifique cuando alguien de tu cuenta intente usar una clave de KMS que está pendiente de ser eliminada. CloudWatch Si recibe esta notificación, puede cancelar la eliminación de la clave KMS y reconsiderar su decisión de eliminarla.

Los siguientes procedimientos crean una alarma que le notifica cada vez que se escribe el mensaje de error Key ARN is pending deletion «» en sus CloudTrail archivos de registro. Este mensaje de error indica que una persona o aplicación ha intentado utilizar la clave KMS en una operación criptográfica. Debido a que la notificación está vinculada al mensaje de error, no se activa cuando se utilizan operaciones de las API permitidas en las clave KMS que están pendientes de eliminación, como por ejemplo ListKeys, CancelKeyDeletion y PutKeyPolicy. Para ver una lista de las operaciones de API de AWS KMS que devuelven este mensaje de error, consulte Estados de clave de de las claves AWS KMS.

El correo electrónico de notificación que recibe no muestra la clave KMS o la operación criptográfica. Puede encontrar esa información en su registro de CloudTrail. En lugar de ello, el correo electrónico informa de que el estado de la alarma ha cambiado de OK (Correcto) a Alarm (Alarma). Para obtener más información sobre CloudWatch las alarmas y los cambios de estado, consulta Uso de CloudWatch las alarmas de Amazon en la Guía del CloudWatch usuario de Amazon.

aviso

Esta CloudWatch alarma de Amazon no puede detectar el uso de la clave pública de una clave KMS asimétrica fuera deAWS KMS. Para obtener detalles acerca de los riesgos especiales de la eliminación de las claves KMS asimétricas utilizadas para la criptografía de clave pública, incluida la creación de textos cifrados que no se pueden descifrar, consulte Eliminación de claves KMS asimétricas.

Requisitos de una alarma CloudWatch

Antes de crear una CloudWatch alarma, debe crear una AWS CloudTrail ruta y configurarla CloudTrail para enviar los archivos de CloudTrail registro a Amazon CloudWatch Logs. También necesita un tema de Amazon SNS para la notificación de alarma.

  • Crear un registro de seguimiento de CloudTrail.

    CloudTrail se activa automáticamente Cuenta de AWS al crear la cuenta. Sin embargo, para mantener un registro continuo de los eventos de la cuenta, incluidos los eventos de AWS KMS cree un registro de seguimiento.

  • Configure CloudTrail para entregar sus archivos de registro ( CloudWatch registros).

    Configure la entrega de sus archivos de CloudTrail registro a CloudWatch Logs. Esto permite a CloudWatch Logs supervisar los registros para detectar las solicitudes de AWS KMS API que intenten utilizar una clave de KMS que está pendiente de ser eliminada.

  • Cree un tema de Amazon SNS.

    Cuando se activa la alarma, se le notifica mediante el envío de un mensaje a una dirección de correo electrónico de un tema de Amazon Simple Notification Service (Amazon SNS).

Crear la CloudWatch alarma

En este procedimiento, se crea un filtro de métricas de grupos de CloudWatch registros que busca instancias de la excepción de eliminación pendiente. A continuación, crea una CloudWatch alarma basada en la métrica del grupo de registros. Para obtener información sobre los filtros de métricas de grupos de registros, consulte Creación de métricas a partir de eventos de registro mediante filtros en la Guía del usuario de Amazon CloudWatch Logs.

  1. Cree un filtro de CloudWatch métricas que analice los CloudTrail registros.

    Siga las instrucciones que se indican en Crear un filtro de métricas para un grupo de registro con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.

    Campo Valor
    Patrón de filtro

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    Valor de la métrica 1

  2. Cree una CloudWatch alarma basada en el filtro de métricas que creó en el paso 1.

    Siga las instrucciones de Crear una CloudWatch alarma basada en un filtro métrico de grupos de registros utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.

    Campo Valor
    Filtro de métricas

    El nombre del filtro de métricas que ha creado en el Paso 1.
    Tipo de umbral Estático
    Condiciones Whenever metric-name is Greater than 1 (Siempre que el nombre de la métrica sea mayor que )
    Puntos de datos para alarma 1 fuera de 1
    Tratamiento de datos que faltan Treat missing data as good (not breaching threshold) (Tratar los datos que faltan como buenos [dentro del umbral])

Tras completar este procedimiento, recibirá una notificación cada vez que la nueva CloudWatch alarma entre en estado. ALARM Si recibe una notificación para esta alarma, puede significar que todavía se necesita una eliminación programada para cifrar o descifrar datos. En ese caso, cancele la eliminación de la clave KMS y reconsidere su decisión de eliminarla.