삭제 보류 중인 고객 마스터 키 사용을 감지하는 Amazon CloudWatch 경보 생성 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

삭제 보류 중인 고객 마스터 키 사용을 감지하는 Amazon CloudWatch 경보 생성

의 기능을 결합할 수 있습니다.AWS CloudTrail, Amazon CloudWatch Logs s와 Amazon SNS (Amazon SNS) 에서 계정 누군가가 암호화 작업에서 삭제 보류 중인 고객 마스터 키 (CMK) 를 사용하려고 하는 고객 마스터 키 (Amazon SNS) 를 사용하려고 하는 고객 마스터 키 (Amazon SNS 이 알림을 받는 경우 CMK 삭제를 취소하고 삭제 결정을 재고해 볼 수 있습니다.

다음 절차에서는 알림을 받는 방법에 대해 설명합니다.AWS KMSAPI 요청을 생성 하는”Key ARN is pending deletion“오류 메시지가 CloudTrail 로그 파일에 기록됩니다. 이 오류 메시지는 개인이나 애플리케이션이 암호화 작업 시 해당 CMK를 사용하려고 했음을 나타냅니다(Encrypt, Decrypt, GenerateDataKey, GenerateDataKeyWithoutPlaintextReEncrypt). 이 알림은 오류 메시지와 연결되어 있으므로 ListKeys, CancelKeyDeletionPutKeyPolicy 같은 삭제 보류 중인 CMK에 대해 허용된 API 작업을 사용할 때는 트리거되지 않습니다. 이 오류 메시지를 반환하는 AWS KMS API 작업의 목록을 보려면 키 상태 CMK에 미치는 영향 단원을 참조하십시오.

수신하는 알림 이메일에 CMK 또는 암호화 작업이 나열되지 않습니다. CloudTrail 로그에서 해당 정보를 확인할 수 있습니다. 대신에, 경보 상태가 정상에서 경보로 변경되었다는 내용이 이메일로 보고됩니다. CloudWatch 경보 및 상태 변경에 대한 자세한 내용은 단원을 참조하십시오.Amazon CloudWatch 경보 생성Amazon CloudWatch 사용 설명서.

주의

Amazon CloudWatch 경보는 외부 비대칭 CMK 퍼블릭 키 사용을 감지할 수 없습니다.AWS KMS. 암호를 해독할 수 없는 암호화 텍스트를 만드는 등 퍼블릭 키 암호화에 사용되는 비대칭 CMK를 삭제할 때의 특별한 위험에 대한 자세한 내용은 비대칭 CMK 삭제 단원을 참조하십시오.

CloudWatch 경보의 요구 사항

CloudWatch 경보를 생성하려면 먼저AWS CloudTrail추적하고 CloudTrail 을 구성하여 Amazon CloudWatch Logs로의 CloudTrail 로그 파일을 제공하도록 구성합니다.

  1. CloudTrail 추적 생성.

    CloudTrail 은 자동으로 AWS 계정 은 계정 생성 시. 하지만 AWS KMS 관련 이벤트를 비롯하여 계정 내 현재 이벤트 레코드의 경우에는 추적을 생성합니다.

  2. CloudWatch Logs로의 로그 파일을 제공하도록 CloudTrail 구성.

    CloudWCloudWatch Logs Logs로의 CloudTrail 로그 파일 전송을 구성합니다. 이를 통해 CloudWatch Logs 가AWS KMS삭제 보류 중인 고객 마스터 키 (CMK) 를 사용하려고 하는 API 요청

CloudWatch 경보 생성

다음과 같은 경우에 알림을 받으려면AWS KMS암호화 작업에서 삭제 보류 중인 고객 마스터 키 (CMK) 를 사용하려고 하는 API 요청 발생 시, CloudWatch 경보를 생성하고 알림을 구성합니다.

삭제 보류 중인 고객 마스터 키 사용을 모니터링하는 CloudWatch 경보를 생성하려면

  1. 에 로그인합니다.AWS Management Console에서 CloudWatch 콘솔을 엽니다.https://console.aws.amazon.com/cloudwatch/.

  2. 오른쪽 상단의 리전 선택기를 사용하여 AWS 리전 을 모니터링하기를 원합니다.

  3. 왼쪽 탐색 창에서 Logs를 선택합니다.

  4. 로그 그룹 목록에서 로그 그룹 옆에 있는 옵션 버튼을 선택합니다. 그런 다음 [Create Metric Filter]를 선택합니다.

  5. [Filter Pattern]에 다음을 입력하거나 붙여 넣습니다.

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}

    [Assign Metric]을 선택합니다.

  6. [Create Metric Filter and Assign a Metric] 페이지에서 다음을 수행합니다.

    1. 지표 네임스페이스CloudTrailLogMetrics를 입력합니다.

    2. 지표 이름KMSKeyPendingDeletionErrorCount를 입력합니다.

    3. 고급 지표 설정 표시를 선택한 후 측정치 값1(이 값이 현재 값이 아닌 경우)을 입력합니다.

    4. [Create Filter]를 선택합니다.

  7. 필터 상자에서 [Create Alarm]을 선택합니다.

  8. [Create Alarm] 창에서 다음과 같이 실행합니다.

    1. 경보 임계값 섹션에서 이름KMSKeyPendingDeletionErrorAlarm을 입력합니다. 또한 설명(선택 사항)을 추가할 수도 있습니다.

    2. 다음 경우 항상 다음에 같음>=를 선택하고 나서 1을 입력합니다.

    3. 1 out of n datapoints(n 중 1 데이터 포인트)에서, 필요할 경우 1을 입력합니다.

    4. 추가 설정 섹션의 누락 데이터 처리에서 정상(임계값을 위반하지 않음)를 선택합니다.

    5. 작업 섹션의 알림 보내기에서 다음 중 하나를 선택합니다.

      • 새로운 Amazon SNS 주제를 사용하려면새 목록을 클릭한 후 새 주제 이름 (예:) 을 입력합니다.KMSAlert. 이메일 목록에는 하나 이상의 이메일 주소를 입력합니다. 쉼표로 구분하여 두 개 이상의 이메일 주소를 입력할 수 있습니다.

      • 기존 Amazon SNS 주제를 사용하려면 사용할 주제의 이름을 선택합니다.

    6. 경보 생성(Create Alarm)을 선택합니다.

  9. 한 이메일 주소로 알림을 보내기로 선택한 경우 no-reply@sns.amazonaws.com 에서 제목으로 수신한 이메일 메시지를 엽니다.”AWS알림 - 구독 확인입니다.” 이메일 메시지의 [Confirm subscription] 링크를 선택해 이메일 주소를 확인합니다.

    참고

    이메일 주소를 확인한 후부터 이메일 알림을 받게 됩니다.

이 절차를 완료한 후 CloudWatch 경보가ALARM상태에 도달합니다. 이 경보에 따른 알림을 받는 경우, 누군가 또는 무언가 아직 이 CMK를 사용해야 한다는 뜻일 수 있습니다. 이 경우 CMK 삭제를 취소하여, 정말로 삭제할지 판단할 시간을 확보해야 합니다.