Création d'une alarme Amazon CloudWatch pour détecter l'utilisation d'une suppression de AWS KMS key en attente - AWS Key Management Service

Création d'une alarme Amazon CloudWatch pour détecter l'utilisation d'une suppression de AWS KMS key en attente

Vous pouvez combiner les fonctions d'AWS CloudTrail, d'Amazon CloudWatch Logs et d'Amazon Simple Notification Service (Amazon SNS) qui vous informent lorsqu'un utilisateur de votre compte tente d'utiliser une clé KMS en attente de suppression dans une opération de chiffrement. Si vous recevez cette notification, vous pouvez annuler la suppression de la clé KMS et reconsidérer votre décision de la supprimer.

Les procédures suivantes expliquent comment recevoir une notification chaque fois qu'une demande d'API AWS KMS qui se traduit par le message d'erreur « Key ARN is pending deletion » est consignée dans vos fichiers journaux CloudTrail. Ce message d'erreur indique qu'une personne ou une application tente d'utiliser la clé KMS dans une opération de chiffrement (Encrypt, Decrypt, GenerateDataKey, GenerateDataKeyWithoutPlaintext et ReEncrypt). Étant donné que la notification est liée au message d'erreur, elle n'est pas déclenchée lorsque vous utilisez des opérations d'API autorisées sur les clés KMS en attente de suppression, telles que ListKeys, CancelKeyDeletion et PutKeyPolicy. Pour afficher la liste des opérations d'API AWS KMS qui retournent ce message d'erreur, consultez Principaux états des clés AWS KMS.

L'e-mail de notification que vous recevez ne répertorie pas la clé KMS ou les opérations de chiffrement. Vous pouvez trouver ces informations dans votre journal CloudTrail. Au lieu de cela, l'e-mail indique que l'état de l'alarme est passé de OK à Alarme. Pour plus d'informations sur les alarmes CloudWatch et les changements d'état, consultez Création d'alarmes Amazon CloudWatch dans le Guide de l'utilisateur Amazon CloudWatch.

Avertissement

Cette alarme Amazon CloudWatch ne peut pas détecter l'utilisation de la clé publique d'une clé KMS asymétrique en dehors de AWS KMS. Pour plus de détails sur les risques particuliers liés à la suppression de clés KMS asymétriques utilisées pour le chiffrement de la clé publique, en particulier la création de textes chiffrés qui ne peuvent pas être déchiffrés, veuillez consulter Suppression des clés KMS asymétriques.

Exigences pour une alarme CloudWatch

Avant de créer une alarme CloudWatch, vous devez créer un journal d'activité AWS CloudTrail et configurer CloudTrail pour fournir des fichiers journaux CloudTrail à Amazon CloudWatch Logs.

  1. Créer un journal de suivi CloudTrail.

    CloudTrail est activé automatiquement dans votre Compte AWS lors de la création de ce dernier. Toutefois, pour un enregistrement continu des événements dans votre compte, y compris les événements pour AWS KMS, créez un journal de suivi.

  2. Configurer CloudTrail pour vous fournir des fichiers journaux CloudWatch Logs.

    Configurez la diffusion de vos fichiers journaux CloudTrail dans CloudWatch Logs. Cela permet à CloudWatch Logs de surveiller les journaux pour détecter les demandes d'API AWS KMS qui tentent d'utiliser une clé KMS en attente de suppression.

Création de l'alarme CloudWatch

Pour recevoir une notification lorsque des demandes d'API AWS KMS tentent d'utiliser une clé KMS en attente de suppression dans une opération de chiffrement, créez une alarme CloudWatch et configurez les notifications.

Pour créer une alarme CloudWatch qui surveille les tentatives d'utilisation d'une clé KMS en attente de suppression

  1. Connectez-vous à la AWS Management Console et ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Utilisez le sélecteur de région dans le coin supérieur droit pour choisir la Région AWS à surveiller.

  3. Dans le panneau de navigation de gauche, choisissez Logs (Journaux).

  4. Dans la liste Groupes de journaux, choisissez la case d'option en regard de votre groupe de journaux. Ensuite, choisissez Create Metric Filter (Créer un filtre de métrique).

  5. Pour Filter Pattern (Modèle de filtre), entrez ou collez ce qui suit :

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}

    Choisissez Assign Metric (Affecter une métrique).

  6. Sur la page Create Metric Filter and Assign a Metric (Créer un filtre de métrique et affecter une métrique), procédez comme suit :

    1. Dans Metric Namespace (Espace de noms de la métrique), saisissez CloudTrailLogMetrics.

    2. Dans Metric Name (Nom de la métrique), saisissez KMSKeyPendingDeletionErrorCount.

    3. Choisissez Show advanced metric settings (Afficher les paramètres de métriques avancés) puis, pour Metric Value (Valeur métrique), saisissez 1, si ce n'est pas la valeur actuelle.

    4. Choisissez Create Filter (Créer un filtre).

  7. Dans la zone de filtre, choisissez Create Alarm (Créer une alarme).

  8. Dans la fenêtre Create Alarm (Créer une alarme), procédez comme suit :

    1. Dans la section Seuil de l'alarme, pour Nom, tapez KMSKeyPendingDeletionErrorAlarm. Vous pouvez également ajouter une description si vous le souhaitez.

    2. Après Lorsque, pour est, choisissez >=, puis tapez 1.

    3. Pour les points de données 1 sur n, si nécessaire, tapez 1.

    4. Dans la section Paramètres supplémentaires, dans Traiter les données manquantes comme, choisissez correctes (seuil non dépassé).

    5. Dans la section Actions, pour Envoyer les notifications à, effectuez l'une des actions suivantes :

      • Pour utiliser une nouvelle rubrique Amazon SNS, choisissez New list (Nouvelle liste), puis saisissez le nom d'une nouvelle rubrique, par exemple KMSAlert. Pour Liste des adresses e-mail, tapez au moins une adresse e-mail. Vous pouvez taper plusieurs adresses e-mail en les séparant par des virgules.

      • Pour utiliser une rubrique Amazon SNS existante, choisissez le nom de la rubrique à utiliser.

    6. Sélectionnez Create Alarm (Créer une alarme).

  9. Si vous avez choisi d'envoyer des notifications à une adresse e-mail, ouvrez l'e-mail que vous recevez à partir de no-reply@sns.amazonaws.com ayant pour objet « Notification d'AWS - Confirmation d'abonnement ». Confirmez votre adresse e-mail en choisissant le lient Confirmer l'abonnement dans l'e-mail.

    Note

    Vous ne recevrez des notifications par e-mail qu'après avoir confirmé votre adresse e-mail.

Une fois que vous avez terminé cette procédure, vous recevez une notification chaque fois que cette alarme CloudWatch passe à l'état ALARM. Si vous recevez une notification pour cette alarme, cela peut signifier que quelqu'un ou quelque chose a encore besoin d'utiliser cette clé KMS. Dans ce cas, vous devez annuler la suppression de la clé KMS afin de disposer de plus de temps pour déterminer si vous souhaitez vraiment la supprimer.