Création d'une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression - AWS Key Management Service
Exigences relatives à une CloudWatch alarmeCréation de l' CloudWatch alarme

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression

Vous pouvez combiner les fonctionnalités d'AWS CloudTrailAmazon CloudWatch Logs et d'Amazon Simple Notification Service (Amazon SNS) pour créer une alarme CloudWatch Amazon qui vous avertit lorsqu'un utilisateur de votre compte essaie d'utiliser une clé KMS en attente de suppression. Si vous recevez cette notification, vous pouvez annuler la suppression de la clé KMS et reconsidérer votre décision de la supprimer.

Les procédures suivantes créent une alarme qui vous avertit chaque fois que le message d'erreur Key ARN is pending deletion « » est écrit dans vos fichiers CloudTrail journaux. Ce message d'erreur indique qu'une personne ou une application tente d'utiliser la clé KMS dans une opération de chiffrement. Étant donné que la notification est liée au message d'erreur, elle n'est pas déclenchée lorsque vous utilisez des opérations d'API autorisées sur les clés KMS en attente de suppression, telles que ListKeys, CancelKeyDeletion et PutKeyPolicy. Pour afficher la liste des opérations d'API AWS KMS qui retournent ce message d'erreur, consultez Principaux états des clés AWS KMS.

L'e-mail de notification que vous recevez ne répertorie pas la clé KMS ou les opérations de chiffrement. Vous pouvez trouver ces informations dans votre journal CloudTrail. Au lieu de cela, l'e-mail indique que l'état de l'alarme est passé de OK à Alarme. Pour plus d'informations sur les CloudWatch alarmes et les changements d'état, consultez la section Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.

Avertissement

Cette CloudWatch alarme Amazon ne peut pas détecter l'utilisation de la clé publique d'une clé KMS asymétrique en dehors deAWS KMS. Pour plus de détails sur les risques particuliers liés à la suppression de clés KMS asymétriques utilisées pour le chiffrement de la clé publique, en particulier la création de textes chiffrés qui ne peuvent pas être déchiffrés, veuillez consulter Suppression des clés KMS asymétriques.

Exigences relatives à une CloudWatch alarme

Avant de créer une CloudWatch alarme, vous devez créer un journal et AWS CloudTrail le configurer CloudTrail pour envoyer les fichiers CloudTrail CloudWatch journaux à Amazon Logs. Vous avez également besoin d'une rubrique Amazon SNS pour la notification d'alarme.

  • Créer un suivi CloudTrail

    CloudTrail est automatiquement activé sur votre compte Compte AWS lorsque vous créez le compte. Toutefois, pour un enregistrement continu des événements dans votre compte, y compris les événements pour AWS KMS, créez un journal de suivi.

  • Configurez CloudTrail pour fournir vos fichiers CloudWatch journaux Logs.

    Configurez la livraison de vos fichiers CloudTrail CloudWatch journaux à Logs. Cela permet à CloudWatch Logs de surveiller les journaux pour AWS KMS détecter les demandes d'API qui tentent d'utiliser une clé KMS en attente de suppression.

  • Créer une rubrique Amazon SNS.

    Lorsque votre alarme se déclenche, elle vous avertit en envoyant un message à une adresse e-mail figurant dans une rubrique Amazon Simple Notification Service (Amazon SNS).

Création de l' CloudWatch alarme

Dans cette procédure, vous créez un filtre métrique de groupe de CloudWatch journaux qui recherche les instances de l'exception de suppression en attente. Ensuite, vous créez une CloudWatch alarme en fonction de la métrique du groupe de logs. Pour plus d'informations sur les filtres métriques des groupes de journaux, consultez la section Création de métriques à partir d'événements de journal à l'aide de filtres dans le guide de l'utilisateur Amazon CloudWatch Logs.

  1. Créez un filtre CloudWatch métrique qui analyse les CloudTrail journaux.

    Suivez les instructions de la section Créer un filtre métrique pour un groupe de journaux à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

    Champ Valeur
    Modèle de filtre

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    Valeur de la métrique 1

  2. Créez une CloudWatch alarme en fonction du filtre métrique que vous avez créé à l'étape 1.

    Suivez les instructions de la section Création d'une CloudWatch alarme basée sur un filtre métrique de groupes de logs en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

    Champ Valeur
    Filtre de métrique

    Le nom du filtre de métrique que vous avez créé à l'étape 1.
    Type de seuil Statique
    Conditions Chaque fois que le nom de la métrique est supérieur à 1
    Points de données à alarmer 1 sur 1
    Traitement de données manquantes Traiter les données manquantes comme correctes (seuil non dépassé)

Une fois cette procédure terminée, vous recevrez une notification chaque fois que votre nouvelle CloudWatch alarme entre dans l'ALARMétat. Si vous recevez une notification pour cette alarme, cela peut signifier qu'une clé KMS dont la suppression est planifiée est toujours nécessaire pour chiffrer ou déchiffrer les données. Dans ce cas, annulez la suppression de la clé KMS et reconsidérez votre décision de la supprimer.