삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성 - AWS Key Management Service
알람 요구 사항 CloudWatch 알람 생성 CloudWatch

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성

Amazon CloudWatch Logs와 Amazon Simple Notification Service (Amazon SNS) 의 AWS CloudTrail 기능을 결합하여 계정 내 누군가가 삭제 보류 중인 KMS 키를 사용하려고 할 때 알림을 보내는 CloudWatch Amazon 경보를 생성할 수 있습니다. 이 알림을 받는 경우 KMS 키 삭제를 취소하고 삭제 결정을 재고해 볼 수 있습니다.

다음 절차는 "Key ARN is pending deletion" 오류 메시지가 로그 파일에 기록될 때마다 알림을 보내는 경보를 생성합니다. CloudTrail 이 오류 메시지는 개인이나 애플리케이션이 암호화 작업 시 해당 KMS 키를 사용하려고 했음을 나타냅니다. 이 알림은 오류 메시지와 연결되어 있으므로 ListKeys, CancelKeyDeletionPutKeyPolicy 같은 삭제 보류 중인 KMS 키에 대해 허용된 API 작업을 사용할 때는 트리거되지 않습니다. 이 오류 메시지를 반환하는 AWS KMS API 작업의 목록을 보려면 AWS KMS 키의 키 상태 단원을 참조하십시오.

수신하는 알림 이메일에 KMS 키 또는 암호화 작업이 나열되지 않습니다. CloudTrail 로그에서 해당 정보를 확인할 수 있습니다. 대신에, 경보 상태가 정상에서 경보로 변경되었다는 내용이 이메일로 보고됩니다. CloudWatch경보 및 상태 변경에 대한 자세한 내용은 Amazon 사용 CloudWatch 설명서의 Amazon CloudWatch 경보 사용을 참조하십시오.

주의

이 Amazon CloudWatch 경보는 외부에서 비대칭 KMS 키의 공개 키 사용을 감지할 수 없습니다. AWS KMS 암호를 해독할 수 없는 암호화 텍스트를 만드는 등 퍼블릭 키 암호화에 사용되는 비대칭 KMS 키를 삭제할 때의 특별한 위험에 대한 자세한 내용은 비대칭 KMS 키 삭제 단원을 참조하십시오.

알람 요구 사항 CloudWatch

CloudWatch 경보를 생성하기 전에 AWS CloudTrail 트레일을 생성하고 Amazon CloudWatch Logs에 CloudTrail 로그 파일을 CloudTrail 전송하도록 구성해야 합니다. 경보 알림을 위한 Amazon SNS 주제도 필요합니다.

  • CloudTrail 추적 생성

    CloudTrail 계정을 AWS 계정 만들면 자동으로 활성화됩니다. 하지만 AWS KMS 관련 이벤트를 비롯하여 계정 내 현재 이벤트 레코드의 경우에는 추적을 생성합니다.

  • 로그 파일 CloudWatch 로그를 CloudTrail 전달하도록 구성하십시오.

    CloudTrail 로그 파일을 CloudWatch Logs로 전달하도록 구성합니다. 이를 통해 CloudWatch Logs는 삭제 보류 중인 KMS 키를 사용하려는 AWS KMS API 요청의 로그를 모니터링할 수 있습니다.

  • Amazon SNS 주제를 생성합니다.

    경보가 트리거되면 Amazon Simple Notification Service(Amazon SNS) 주제에 있는 이메일 주소로 이메일 메시지를 보내 알립니다.

알람 생성 CloudWatch

이 절차에서는 삭제 보류 중인 예외 인스턴스를 찾는 CloudWatch 로그 그룹 지표 필터를 생성합니다. 그런 다음 로그 그룹 지표를 기반으로 CloudWatch 경보를 생성합니다. 로그 그룹 지표 필터에 대한 자세한 내용은 Amazon CloudWatch Logs 사용 설명서의 필터를 사용하여 로그 이벤트에서 지표 생성을 참조하십시오.

  1. CloudTrail 로그를 파싱하는 CloudWatch 지표 필터를 생성하십시오.

    다음 필수 값을 사용하여 로그 그룹에 대한 지표 필터 생성의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.

    필드
    필터 패턴

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    지표 값 1

  2. 1단계에서 만든 지표 필터를 기반으로 CloudWatch 경보를 생성합니다.

    다음 필수 값을 사용하여 로그 그룹 메트릭 필터를 기반으로 CloudWatch 경보 만들기의 지침을 따르십시오. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.

    필드
    지표 필터

    1단계에서 생성한 지표 필터 이름입니다.
    임계값 유형 정적
    조건 metric-name1 보다 클때마다
    경보를 보낼 데이터 포인트 1/1
    누락 데이터 처리 누락 데이터 처리에서 양호(임계값을 위반하지 않음)

이 절차를 완료하면 새 CloudWatch 경보가 상태에 들어갈 때마다 알림을 받게 됩니다ALARM. 이 경보에 대한 알림을 받으면 데이터를 암호화하거나 암호를 해독하기 위해서는 삭제가 예약된 KMS 키가 아직 필요하다는 뜻일 수 있습니다. 이 경우 KMS 키 삭제를 취소하고 삭제 결정을 다시 생각해 볼 수 있습니다.