Creazione di un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione - AWS Key Management Service
Requisiti per un allarme CloudWatch Creazione dell'allarme CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione

Puoi combinare le funzionalità di AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (Amazon SNS) per creare un CloudWatch allarme Amazon che ti avvisa quando qualcuno nel tuo account tenta di utilizzare una chiave KMS in attesa di eliminazione. Se ricevi questa notifica, potresti voler annullare l'eliminazione della chiave KMS e riconsiderare la decisione di eliminarla.

Le seguenti procedure creano un allarme che ti avvisa ogni volta che il messaggio di errore "Key ARN is pending deletion" viene scritto nei tuoi file di registro. CloudTrail Questo messaggio di errore indica che una persona o un'applicazione ha cercato di utilizzare la chiave KMS in una operazione di crittografia. Poiché la notifica è collegata al messaggio di errore, non viene attivata quando utilizzi operazioni API consentite sulle chiavi KMS in attesa di eliminazione, ad esempio ListKeys, CancelKeyDeletion e PutKeyPolicy. Per visualizzare un elenco delle operazioni API AWS KMS che restituiscono questo messaggio di errore, consulta Stati chiave delle AWS KMS chiavi.

L'e-mail di notifica che ricevi non include la chiave KMS o l'operazione di crittografia. Puoi trovare tali informazioni nel file di registro di CloudTrail. L'e-mail segnala invece che lo stato dell'allarme è stato modificato da OK ad Alarm (Allarme). Per ulteriori informazioni sugli CloudWatch allarmi e sui cambiamenti di stato, consulta Using Amazon CloudWatch alarms nella Amazon CloudWatch User Guide.

avvertimento

Questo CloudWatch allarme Amazon non è in grado di rilevare l'uso della chiave pubblica di una chiave KMS asimmetrica al di fuori di. AWS KMS Per informazioni dettagliate sui rischi particolari derivanti dall'eliminazione delle chiavi KMS asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decrittati, consulta Eliminazione delle chiavi KMS asimmetriche.

Requisiti per un allarme CloudWatch

Prima di creare un CloudWatch allarme, devi creare un AWS CloudTrail percorso e configurare CloudTrail la distribuzione dei file di CloudTrail log ad Amazon CloudWatch Logs. Hai anche bisogno di un argomento Amazon SNS per la notifica degli allarmi.

  • Creazione di un trail CloudTrail.

    CloudTrail viene abilitato automaticamente sul tuo account al Account AWS momento della creazione dell'account. Tuttavia, per una registrazione continua di eventi nell'account, inclusi gli eventi per AWS KMS, crea un trail.

  • Configura CloudTrail per consegnare i tuoi file di registro CloudWatch Logs.

    Configura la consegna dei tuoi file di CloudTrail registro ai CloudWatch registri. Ciò consente a CloudWatch Logs di monitorare i log per le richieste AWS KMS API che tentano di utilizzare una chiave KMS in attesa di eliminazione.

  • Creazione di un argomento Amazon SNS.

    Quando l'allarme si attiva, ti avvisa inviando un messaggio e-mail a un indirizzo e-mail in un argomento Amazon Simple Notification Service (Amazon SNS).

Creazione dell'allarme CloudWatch

In questa procedura, crei un filtro metrico del gruppo di CloudWatch log che trova le istanze dell'eccezione di eliminazione in sospeso. Quindi, si crea un CloudWatch allarme basato sulla metrica del gruppo di log. Per informazioni sui filtri delle metriche dei gruppi di log, consulta Creazione di metriche da eventi di log utilizzando filtri nella Amazon CloudWatch Logs User Guide.

  1. Crea un filtro CloudWatch metrico che analizzi i log. CloudTrail

    Segui le istruzioni in Creazione di un filtro di parametri per un gruppo di log utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

    Campo Valore
    Modello di filtro

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    Valore del parametro 1

  2. Crea un CloudWatch allarme basato sul filtro metrico creato nel passaggio 1.

    Segui le istruzioni riportate in Creazione di un CloudWatch allarme basato su un filtro metrico di gruppo di log utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

    Campo Valore
    Filtro di parametri

    Il nome del filtro di parametri che hai creato nella fase 1.
    Tipo di soglia Statico
    Condizioni Ogni volta che nome parametro è maggiore di 1
    Punti dati da segnalare 1 di 1
    Trattamento dei dati mancanti Considera dati mancanti come buoni (non superano la soglia)

Dopo aver completato questa procedura, riceverai una notifica ogni volta che il nuovo CloudWatch allarme entra nello stato. ALARM Se ricevi una notifica per questo allarme, per crittografare o decrittografare i dati è possibile che sia ancora necessaria una chiave KMS pianificata per l'eliminazione. In questo caso, annulla l'eliminazione della chiave KMS e riconsidera la decisione di eliminarla.