Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ricevi notifiche Amazon SNS quando lo stato chiave di una chiave AWS KMS cambia
Creato da Shubham Harsora (AWS), Aromal Raj Jayarajan (AWS) e Navdeep Pareek (AWS)
Archivio di codici: aws-kms-deletion-notification | Ambiente: PoC o pilota | Tecnologie: infrastruttura; native per il cloud DevOps; sicurezza, identità, conformità |
Carico di lavoro: tutti gli altri carichi di lavoro | Servizi AWS: Amazon EventBridge; AWS KMS; Amazon SNS |
Riepilogo
I dati e i metadati associati a una chiave AWS Key Management Service (AWS KMS) vengono persi quando tale chiave viene eliminata. L'eliminazione è irreversibile e non è possibile recuperare i dati persi (compresi i dati crittografati). Puoi prevenire la perdita di dati configurando un sistema di notifica per avvisarti delle modifiche allo stato chiave delle tue chiavi AWS KMS.
Questo modello mostra come monitorare le modifiche di stato delle chiavi AWS KMS utilizzando Amazon e Amazon Simple Notification Service ( EventBridge Amazon SNS) per emettere notifiche automatiche ogni volta che lo stato chiave di una chiave AWS KMS cambia in o. Disabled
PendingDeletion
Ad esempio, se un utente tenta di disabilitare o eliminare una chiave AWS KMS, riceverai una notifica e-mail con i dettagli sul tentativo di modifica dello stato. Puoi utilizzare questo schema anche per pianificare l'eliminazione delle chiavi AWS KMS.
Prerequisiti e limitazioni
Prerequisiti
Un account AWS attivo con un utente AWS Identity and Access Management (IAM)
Una chiave AWS KMS
Architettura
Stack tecnologico
Amazon EventBridge
AWS Key Management Service (AWS KMS)
Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))
Architettura Target
Il diagramma seguente mostra un'architettura per la creazione di un processo di monitoraggio e notifica automatizzato per rilevare eventuali modifiche allo stato di una chiave AWS KMS.
![Architettura per la creazione di un processo di monitoraggio e notifica automatizzato](images/pattern-img/2534df87-a6fd-4360-9b5d-4a8b1f533de3/images/0cb6a6b0-405b-4d26-ad04-2067176aa086.png)
Il diagramma mostra il flusso di lavoro seguente:
Un utente disabilita o pianifica l'eliminazione di una chiave AWS KMS.
Una EventBridge regola valuta il programma o l'evento
Disabled
.PendingDeletion
La EventBridge regola richiama l'argomento Amazon SNS.
Amazon SNS invia un messaggio di notifica e-mail agli utenti.
Nota: puoi personalizzare il messaggio e-mail per soddisfare le esigenze della tua organizzazione. Consigliamo di includere informazioni sulle entità in cui viene utilizzata la chiave AWS KMS. Questo può aiutare gli utenti a comprendere l'impatto dell'eliminazione della chiave AWS KMS. Puoi anche pianificare una notifica e-mail di promemoria da inviare uno o due giorni prima dell'eliminazione della chiave AWS KMS.
Automazione e scalabilità
Lo CloudFormation stack AWS distribuisce tutte le risorse e i servizi necessari per il funzionamento di questo modello. Puoi implementare il modello in modo indipendente in un singolo account o utilizzando AWS CloudFormation StackSets per più account o unità organizzative indipendenti in AWS Organizations.
Strumenti
AWS ti CloudFormation aiuta a configurare le risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita su account AWS e regioni AWS. Il CloudFormation modello per questo modello descrive tutte le risorse AWS che desideri, effettua il CloudFormation provisioning e configura tali risorse per te.
Amazon EventBridge è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni e dai servizi AWS e indirizza tali dati verso obiettivi come AWS Lambda. EventBridge semplifica il processo di creazione di architetture basate sugli eventi.
AWS Key Management Service (AWS KMS) ti aiuta a creare e controllare chiavi crittografiche per proteggere i tuoi dati.
Amazon Simple Notification Service (Amazon SNS) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.
Codice
Il codice per questo modello è disponibile nell'archivio GitHub Monitor AWS KMS keys disable and scheduled delete.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Clonare il repository. | Clona l'archivio GitHub Monitor AWS KMS keys, disable and scheduled delete
| Amministratore AWS, architetto cloud |
Aggiorna i parametri del modello. | In un editor di codice, apri il
| Amministratore AWS, architetto cloud |
Implementa il CloudFormation modello. |
| Amministratore AWS, architetto cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Conferma l'email di iscrizione. | Dopo la corretta implementazione del CloudFormation modello, Amazon SNS invia un messaggio di conferma dell'abbonamento all'indirizzo e-mail fornito nel CloudFormation modello. Per ricevere notifiche, devi confermare questa sottoscrizione e-mail. Per ulteriori informazioni, consulta Confermare l'abbonamento nella Amazon SNS Developer Guide. | Amministratore AWS, architetto cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Disabilita le chiavi AWS KMS. |
| Amministratore AWS |
Convalida l'abbonamento. | Conferma di aver ricevuto l'e-mail di notifica di Amazon SNS. | Amministratore AWS |
Attività | Descrizione | Competenze richieste |
---|---|---|
Elimina lo CloudFormation stack. |
| Amministratore AWS |
Risorse correlate
AWS CloudFormation
(documentazione AWS) Creazione di uno stack sulla CloudFormation console AWS ( CloudFormation documentazione AWS)
Creazione di architetture basate sugli eventi in AWS (documentazione di AWS
Workshop Studio) Best practice di AWS Key Management Service
(Whitepaper di AWS) Best practice di sicurezza per AWS Key Management Service (AWS KMS Developer Guide)
Informazioni aggiuntive
Amazon SNS fornisce la crittografia in transito per impostazione predefinita. Per allinearti alle best practice di sicurezza, puoi anche abilitare la crittografia lato server per Amazon SNS utilizzando una chiave gestita dal cliente AWS KMS.