Ricevi notifiche Amazon SNS quando lo stato chiave di una chiave AWS KMS cambia

Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate Informazioni aggiuntive

Creato da Shubham Harsora (AWS), Aromal Raj Jayarajan (AWS) e Navdeep Pareek (AWS)

Archivio di codici: aws-kms-deletion-notification	Ambiente: PoC o pilota	Tecnologie: infrastruttura; native per il cloud DevOps; sicurezza, identità, conformità
Carico di lavoro: tutti gli altri carichi di lavoro	Servizi AWS: Amazon EventBridge; AWS KMS; Amazon SNS

I dati e i metadati associati a una chiave AWS Key Management Service (AWS KMS) vengono persi quando tale chiave viene eliminata. L'eliminazione è irreversibile e non è possibile recuperare i dati persi (compresi i dati crittografati). Puoi prevenire la perdita di dati configurando un sistema di notifica per avvisarti delle modifiche allo stato chiave delle tue chiavi AWS KMS.

Questo modello mostra come monitorare le modifiche di stato delle chiavi AWS KMS utilizzando Amazon e Amazon Simple Notification Service ( EventBridge Amazon SNS) per emettere notifiche automatiche ogni volta che lo stato chiave di una chiave AWS KMS cambia in o. Disabled PendingDeletion Ad esempio, se un utente tenta di disabilitare o eliminare una chiave AWS KMS, riceverai una notifica e-mail con i dettagli sul tentativo di modifica dello stato. Puoi utilizzare questo schema anche per pianificare l'eliminazione delle chiavi AWS KMS.

Prerequisiti

Un account AWS attivo con un utente AWS Identity and Access Management (IAM)
Una chiave AWS KMS

Stack tecnologico

Amazon EventBridge
AWS Key Management Service (AWS KMS)
Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))

Architettura Target

Il diagramma seguente mostra un'architettura per la creazione di un processo di monitoraggio e notifica automatizzato per rilevare eventuali modifiche allo stato di una chiave AWS KMS.

Il diagramma mostra il flusso di lavoro seguente:

Un utente disabilita o pianifica l'eliminazione di una chiave AWS KMS.
Una EventBridge regola valuta il programma o l'eventoDisabled. PendingDeletion
La EventBridge regola richiama l'argomento Amazon SNS.
Amazon SNS invia un messaggio di notifica e-mail agli utenti.

Nota: puoi personalizzare il messaggio e-mail per soddisfare le esigenze della tua organizzazione. Consigliamo di includere informazioni sulle entità in cui viene utilizzata la chiave AWS KMS. Questo può aiutare gli utenti a comprendere l'impatto dell'eliminazione della chiave AWS KMS. Puoi anche pianificare una notifica e-mail di promemoria da inviare uno o due giorni prima dell'eliminazione della chiave AWS KMS.

Automazione e scalabilità

Lo CloudFormation stack AWS distribuisce tutte le risorse e i servizi necessari per il funzionamento di questo modello. Puoi implementare il modello in modo indipendente in un singolo account o utilizzando AWS CloudFormation StackSets per più account o unità organizzative indipendenti in AWS Organizations.

AWS ti CloudFormation aiuta a configurare le risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita su account AWS e regioni AWS. Il CloudFormation modello per questo modello descrive tutte le risorse AWS che desideri, effettua il CloudFormation provisioning e configura tali risorse per te.
Amazon EventBridge è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni e dai servizi AWS e indirizza tali dati verso obiettivi come AWS Lambda. EventBridge semplifica il processo di creazione di architetture basate sugli eventi.
AWS Key Management Service (AWS KMS) ti aiuta a creare e controllare chiavi crittografiche per proteggere i tuoi dati.
Amazon Simple Notification Service (Amazon SNS) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.

Codice

Il codice per questo modello è disponibile nell'archivio GitHub Monitor AWS KMS keys disable and scheduled delete.

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Clonare il repository.	Clona l'archivio GitHub Monitor AWS KMS keys, disable and scheduled delete repository sul tuo computer locale eseguendo il seguente comando: `git clone https://github.com/aws-samples/aws-kms-deletion-notification`	Amministratore AWS, architetto cloud
Aggiorna i parametri del modello.	In un editor di codice, apri il `Alerting-KMS-Events.yaml` CloudFormation modello che hai clonato dal repository, quindi aggiorna i seguenti parametri: Ad `DestinationEmailAddress` esempio, inserisci un indirizzo e-mail attivo che intendi utilizzare per ricevere la notifica SNS. Per`SNSTopicName`, inserisci un nome per il tuo argomento SNS.	Amministratore AWS, architetto cloud
Implementa il CloudFormation modello.	Accedi alla console di gestione AWS e apri la console CloudFormation . Nel riquadro di navigazione, scegli Crea pila, quindi scegli Con nuove risorse (standard). Nella pagina Identifica risorse, scegli Avanti. Nella pagina Specificare il modello, per Origine del modello, seleziona Carica un file modello. Scegli file, seleziona il `Alerting-KMS-Events.yaml` file dal tuo GitHub repository clonato, quindi scegli Avanti. Per il nome dello stack, inserisci il nome dello stack. Seleziona Invia.	Amministratore AWS, architetto cloud

Clonare il repository.

Clona l'archivio GitHub Monitor AWS KMS keys, disable and scheduled delete repository sul tuo computer locale eseguendo il seguente comando:

git clone https://github.com/aws-samples/aws-kms-deletion-notification

Amministratore AWS, architetto cloud

Aggiorna i parametri del modello.

In un editor di codice, apri il Alerting-KMS-Events.yaml CloudFormation modello che hai clonato dal repository, quindi aggiorna i seguenti parametri:

Ad DestinationEmailAddress esempio, inserisci un indirizzo e-mail attivo che intendi utilizzare per ricevere la notifica SNS.
PerSNSTopicName, inserisci un nome per il tuo argomento SNS.

Amministratore AWS, architetto cloud

Implementa il CloudFormation modello.

Accedi alla console di gestione AWS e apri la console CloudFormation .
Nel riquadro di navigazione, scegli Crea pila, quindi scegli Con nuove risorse (standard).
Nella pagina Identifica risorse, scegli Avanti.
Nella pagina Specificare il modello, per Origine del modello, seleziona Carica un file modello.
Scegli file, seleziona il Alerting-KMS-Events.yaml file dal tuo GitHub repository clonato, quindi scegli Avanti.
Per il nome dello stack, inserisci il nome dello stack.
Seleziona Invia.

Amministratore AWS, architetto cloud

Attività	Descrizione	Competenze richieste
Conferma l'email di iscrizione.	Dopo la corretta implementazione del CloudFormation modello, Amazon SNS invia un messaggio di conferma dell'abbonamento all'indirizzo e-mail fornito nel CloudFormation modello. Per ricevere notifiche, devi confermare questa sottoscrizione e-mail. Per ulteriori informazioni, consulta Confermare l'abbonamento nella Amazon SNS Developer Guide.	Amministratore AWS, architetto cloud

Attività

Descrizione

Competenze richieste

Conferma l'email di iscrizione.

Dopo la corretta implementazione del CloudFormation modello, Amazon SNS invia un messaggio di conferma dell'abbonamento all'indirizzo e-mail fornito nel CloudFormation modello.

Per ricevere notifiche, devi confermare questa sottoscrizione e-mail. Per ulteriori informazioni, consulta Confermare l'abbonamento nella Amazon SNS Developer Guide.

Amministratore AWS, architetto cloud

Attività	Descrizione	Competenze richieste
Disabilita le chiavi AWS KMS.	Accedi alla Console di gestione AWS e apri la console AWS KMS. Per cambiare la regione, scegli il nome della regione attualmente visualizzata, quindi scegli la regione a cui vuoi passare. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente. Seleziona la casella di controllo per la chiave AWS KMS che desideri abilitare o disabilitare. Per disabilitare la chiave AWS KMS, scegli Azioni chiave, quindi scegli Disabilita.	Amministratore AWS
Convalida l'abbonamento.	Conferma di aver ricevuto l'e-mail di notifica di Amazon SNS.	Amministratore AWS

Attività	Descrizione	Competenze richieste
Elimina lo CloudFormation stack.	Accedi alla console di gestione AWS e apri la console CloudFormation . Nel riquadro di navigazione selezionare Stacks (Stack). Seleziona lo stack che hai creato in precedenza, quindi scegli Elimina.	Amministratore AWS

AWS CloudFormation (documentazione AWS)
Creazione di uno stack sulla CloudFormation console AWS ( CloudFormation documentazione AWS)
Creazione di architetture basate sugli eventi in AWS (documentazione di AWS Workshop Studio)
Best practice di AWS Key Management Service (Whitepaper di AWS)
Best practice di sicurezza per AWS Key Management Service (AWS KMS Developer Guide)

Amazon SNS fornisce la crittografia in transito per impostazione predefinita. Per allinearti alle best practice di sicurezza, puoi anche abilitare la crittografia lato server per Amazon SNS utilizzando una chiave gestita dal cliente AWS KMS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Estendi i VRF ad AWS utilizzando Transit Gateway Connect

Modernizza il tuo ambiente mainframe con Micro Focus