Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate Informazioni aggiuntive Allegati

Monitora e correggi l'eliminazione pianificata delle chiavi AWS KMS

Creato da Mikesh Khanal (AWS) e Ramya Pulipaka (AWS)

Ambiente: produzione

Tecnologie: sicurezza, identità, conformità; operazioni

Servizi AWS: Amazon SNS; CloudTrail AWS; Amazon CloudWatch

Riepilogo

Sul cloud Amazon Web Services (AWS), l'eliminazione di una chiave AWS Key Management Services (AWS KMS) può causare la perdita di dati. L'eliminazione rimuove il materiale chiave e tutti i metadati associati alla chiave AWS KMS ed è irreversibile. Dopo l'eliminazione di una chiave AWS KMS, non è più possibile decrittografare i dati crittografati con quella chiave AWS KMS, in modo che i dati non possano essere recuperati.

Questo modello imposta il monitoraggio, con notifiche quando un'applicazione o un utente pianifica l'eliminazione di una chiave AWS KMS. Se ricevi una notifica, potresti voler annullare l'eliminazione della chiave AWS KMS e riconsiderare la tua decisione di eliminarla. Il modello utilizza il runbook AWSConfigRemediation di automazione di AWS Systems Manager CancelKeyDeletion per facilitare l'annullamento dell'eliminazione di una chiave AWS KMS.

Nota: il CloudFormation modello del pattern deve essere distribuito in tutte le regioni AWS in cui desideri monitorare l'eliminazione delle chiavi AWS KMS.

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo
Comprensione dei seguenti servizi AWS:
- Amazon EventBridge
- AWS KMS
- Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))
- AWS Systems Manager

Limitazioni

Qualsiasi personalizzazione della soluzione richiede la conoscenza dei CloudFormation modelli AWS e dei servizi AWS utilizzati in questo modello.
Attualmente, questa soluzione utilizza il bus di eventi predefinito e può essere personalizzata in base ai requisiti. Per ulteriori informazioni sul bus di eventi personalizzato, consulta la documentazione AWS.

Architettura

Stack tecnologico Target

Amazon EventBridge
AWS KMS
Amazon SNS
AWS Systems Manager
Automazione utilizzando quanto segue:
- AWS Command Line Interface (AWS CLI) o SDK AWS
- CloudFormation Stack AWS

Architettura Target

Diagramma delle cinque fasi del processo di monitoraggio, avviso e riparazione.

L'eliminazione di una chiave AWS KMS è pianificata.
L'evento di eliminazione pianificata viene valutato in base a una regola. EventBridge
La EventBridge regola riguarda l'argomento Amazon SNS.
La EventBridge regola avvia l'automazione e i runbook di Systems Manager.
I runbook annullano l'eliminazione.

Automazione e scalabilità

Lo CloudFormation stack implementa tutte le risorse e i servizi necessari per il funzionamento di questa soluzione. Il pattern può essere eseguito indipendentemente in un singolo account o eseguito utilizzando AWS CloudFormation StackSets per più account indipendenti o un'organizzazione.


aws cloudformation create-stack --stack-name  <stack-name>\
    --template-body file://<Full-Path-of-file> \
    --parameters ParameterKey=,ParameterValue= \
    --capabilities CAPABILITY_NAMED_IAM

Strumenti

Strumenti

AWS CloudFormation: AWS CloudFormation è un servizio che ti aiuta a modellare e configurare le tue risorse Amazon Web Services in modo da poter dedicare meno tempo alla gestione di tali risorse e più tempo a concentrarti sulle applicazioni eseguite su AWS. Puoi utilizzare un CloudFormation modello per creare stack in un account AWS in una regione AWS. Il modello descrive tutte le risorse AWS che desideri, effettua il CloudFormation provisioning e configura tali risorse per te.
AWS CLI — L'AWS Command Line Interface (AWS CLI) è uno strumento open source che puoi usare per interagire con i servizi AWS utilizzando i comandi nella shell della riga di comando.
Amazon EventBridge: Amazon EventBridge è un servizio di bus eventi senza server che collega le tue applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni e dai servizi AWS e indirizza tali dati verso obiettivi come AWS Lambda. EventBridge semplifica il processo di creazione di architetture basate sugli eventi.
AWS KMS — AWS Key Management Service (AWS KMS) è un servizio gestito per la creazione e il controllo delle chiavi AWS KMS, le chiavi di crittografia utilizzate per crittografare i dati.
SDK AWS: gli strumenti AWS includono SDK che ti consentono di sviluppare e gestire applicazioni su AWS nel linguaggio di programmazione che preferisci.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) è un servizio gestito che fornisce il recapito dei messaggi dagli editori agli abbonati (noti anche come produttori e consumatori). Gli editori comunicano in modo asincrono con gli abbonati creando e inviando messaggi a un argomento, che rappresenta un punto di accesso logico e un canale di comunicazione.
AWS Systems Manager — AWS Systems Manager è un servizio AWS che puoi usare per visualizzare e controllare la tua infrastruttura su AWS. Utilizzando la console Systems Manager, puoi automatizzare le attività operative tra le tue risorse AWS. Systems Manager consente di mantenere la sicurezza e la conformità eseguendo la scansione delle Istanze gestite e segnalando eventuali violazioni dei criteri rilevate (o intraprendendo azioni correttive in merito).

Codice

Il alerting_ct_logs.yaml CloudFormation modello per il progetto è allegato.

Epiche

Attività	Descrizione	Competenze richieste
Installa e configura AWS CLI.	Installa AWS CLI versione 2. Quindi configura le impostazioni delle credenziali di sicurezza per un'identità, il formato di output predefinito e la regione AWS predefinita che AWS CLI utilizza per interagire con AWS. L'identità deve disporre delle autorizzazioni necessarie per eseguire le attività.	Sviluppatore, ingegnere della sicurezza

Attività

Descrizione

Competenze richieste

Installa e configura AWS CLI.

Installa AWS CLI versione 2. Quindi configura le impostazioni delle credenziali di sicurezza per un'identità, il formato di output predefinito e la regione AWS predefinita che AWS CLI utilizza per interagire con AWS.

L'identità deve disporre delle autorizzazioni necessarie per eseguire le attività.

Sviluppatore, ingegnere della sicurezza

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Scarica il CloudFormation modello.	Scaricate l'allegato in un percorso locale sul computer ed estraete il file `alerting_ct_logs.yaml` modello.	Sviluppatore, ingegnere della sicurezza
Implementa il modello.	Nella finestra del terminale in cui è stato configurato il profilo dell'account AWS, esegui il comando seguente. `aws cloudformation create-stack --stack-name <stack_name> \ --capabilities <Value> \ --template-body file://<Full_Path> \ --parameters ParameterKey=DestinationEmailAddress,ParameterValue=<Value> \ ParameterKey=SNSTopicName,ParameterValue=<Value> \ ParameterKey=EnableRemediation ,ParameterValue=<Value> \ ParameterKey=AutomationAssumeRole,ParameterValue=<Value>` Nel passaggio successivo, inserisci i valori per i parametri del modello.	Sviluppatore, ingegnere della sicurezza
Completa i parametri del modello.	Immettete i valori richiesti per i parametri. `DestinationEmailAddress`— L'indirizzo e-mail a cui ricevere un avviso quando è pianificata l'eliminazione di una chiave AWS KMS. `SNSTopicName`— Il nome dell'argomento Amazon SNS. `EnableRemediation`— Annullamento dell'eliminazione pianificata delle chiavi utilizzando un runbook Systems Manager. I valori consentiti sono `true` e `false`. `AutomationAssumeRole`— L'Amazon Resource Name (ARN) del ruolo che consente all'automazione di Systems Manager di eseguire le azioni per tuo conto. Per ulteriori informazioni, consulta la sezione Autorizzazioni IAM richieste nella AWSConfigRemediation- CancelKeyDeletion documentazione. `Capabilities`— Affinché AWS possa CloudFormation creare lo stack, è necessario riconoscere esplicitamente che il modello di stack contiene determinate funzionalità.	Sviluppatore, ingegnere della sicurezza

Scarica il CloudFormation modello.

Scaricate l'allegato in un percorso locale sul computer ed estraete il file alerting_ct_logs.yaml modello.

Sviluppatore, ingegnere della sicurezza

Implementa il modello.

Nella finestra del terminale in cui è stato configurato il profilo dell'account AWS, esegui il comando seguente.


aws cloudformation create-stack --stack-name <stack_name> \
--capabilities <Value>  \
--template-body file://<Full_Path> \
 --parameters ParameterKey=DestinationEmailAddress,ParameterValue=<Value> \
ParameterKey=SNSTopicName,ParameterValue=<Value> \
ParameterKey=EnableRemediation ,ParameterValue=<Value> \
ParameterKey=AutomationAssumeRole,ParameterValue=<Value>

Nel passaggio successivo, inserisci i valori per i parametri del modello.

Sviluppatore, ingegnere della sicurezza

Completa i parametri del modello.

Immettete i valori richiesti per i parametri.

DestinationEmailAddress— L'indirizzo e-mail a cui ricevere un avviso quando è pianificata l'eliminazione di una chiave AWS KMS.
SNSTopicName— Il nome dell'argomento Amazon SNS.
EnableRemediation— Annullamento dell'eliminazione pianificata delle chiavi utilizzando un runbook Systems Manager. I valori consentiti sono true e false.
AutomationAssumeRole— L'Amazon Resource Name (ARN) del ruolo che consente all'automazione di Systems Manager di eseguire le azioni per tuo conto. Per ulteriori informazioni, consulta la sezione Autorizzazioni IAM richieste nella AWSConfigRemediation- CancelKeyDeletion documentazione.
Capabilities— Affinché AWS possa CloudFormation creare lo stack, è necessario riconoscere esplicitamente che il modello di stack contiene determinate funzionalità.

Sviluppatore, ingegnere della sicurezza

Attività	Descrizione	Competenze richieste
Confermare la sottoscrizione.	Controlla la tua casella di posta elettronica e scegli Conferma abbonamento nel messaggio e-mail che ricevi da Amazon SNS. Si aprirà una finestra del browser Web che mostrerà una conferma dell'abbonamento e il tuo ID di abbonamento.	Sviluppatore, ingegnere della sicurezza

Risorse correlate

Riferimenti

Tutorial e video

Come iniziare a usare Amazon EventBridge
Approfondimento su Amazon EventBridge (AWS Online Tech Talks)

Workshop AWS

Lavorare con EventBridge le regole

Informazioni aggiuntive

Il codice seguente fornisce esempi per estendere la soluzione per monitorare e notificare eventuali modifiche a qualsiasi servizio AWS. Gli esempi includono modelli predefiniti e modelli personalizzati. Per ulteriori informazioni, consulta Eventi e modelli di eventi in EventBridge.


EventPattern:
        source:
        - aws.kms
        detail-type:
        - AWS API Call via CloudTrail
        detail:
          eventSource:
          - kms.amazonaws.com
          eventName:
          - ScheduleKeyDeletion

Allegati

Per accedere al contenuto aggiuntivo associato a questo documento, decomprimi il seguente file: attachment.zip

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esporta un report sulle identità di IAM Identity Center e sulle relative assegnazioni

Identifica i bucket S3 pubblici in AWS Organizations