Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Monitorización con Amazon EventBridge
Puede usar Amazon EventBridge (anteriormente Amazon CloudWatch Events) para que le avise de los siguientes eventos importantes en el ciclo de vida de sus claves de KMS.
-
El material clave de una clave KMS se rotó automáticamente.
-
El material de clave importado en una clave KMS se ha vencido.
-
Se eliminó una clave KMS cuya eliminación estaba programada.
AWS KMSse integra con Amazon EventBridge para notificarle los eventos importantes que afectan a sus claves de KMS. Cada evento se representa en JSON (notación de JavaScript objetos)
Para obtener más información sobre su uso EventBridge con otros tipos de eventos, incluidos los que se emiten AWS CloudTrail cuando graba una solicitud de API de lectura/escritura, consulta la Guía EventBridge del usuario de Amazon.
En los temas siguientes se describen los EventBridge eventos que AWS KMS se generan.
Rotación de CMK de KMS
AWS KMS es compatible con la rotación automática del material de clave en claves KMS de cifrado simétricas. La rotación anual de materiales de claves es opcional para las claves administradas por el cliente. El material de claves para Claves administradas por AWS se rota cada año de forma automática.
Cada vez que AWS KMS rota el material clave, envía un KMS CMK Rotation evento a EventBridge. AWS KMSgenera este evento haciendo el mejor esfuerzo posible.
A continuación se muestra un ejemplo de este evento.
{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
Vencimiento del material de claves importado de KMS
Al importar material de claves en una clave KMS, también puede especificar una hora en la que vence el material de claves. Cuando el material clave caduque, lo AWS KMS elimina y envía el KMS Imported Key Material Expiration evento correspondiente a. EventBridge AWS KMSgenera este evento haciendo el mejor esfuerzo posible.
A continuación se muestra un ejemplo de este evento.
{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
Eliminación de CMK de KMS
Al programar una eliminación de claves de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Una vez finalizado el período de espera, AWS KMS elimina la clave KMS y envía un KMS CMK Deletion evento a. EventBridge AWS KMSgarantiza este EventBridge evento. Debido a los reintentos, puede generar varios eventos en unos segundos que eliminan la misma clave KMS.
A continuación se muestra un ejemplo de este evento.
{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
