기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성
AWS CloudTrail, Amazon CloudWatch Logs 및 Amazon Simple Notification Service(Amazon SNS)의 기능을 결합하여 계정의 누군가가 삭제 보류 중인 KMS 키를 사용하려고 할 때 알려주는 Amazon CloudWatch 경보를 생성할 수 있습니다. 이 알림이 수신되면 KMS 키 삭제를 취소하고 삭제 결정을 재고할 수 있습니다.
다음 절차에서는 CloudTrail 로그 파일에 “
” 오류 메시지가 쓸 때마다 이를 알리는 경보를 생성합니다. 이 오류 메시지는 개인 또는 애플리케이션이 암호화 작업에서 KMS 키를 사용하려고 했음을 나타냅니다. 알림은 오류 메시지에 연결되어 있으므로 , Key ARN
is pending deletionListKeys
CancelKeyDeletion
및 와 같이 삭제 보류 중인 KMS 키에 허용되는 API 작업을 사용하면 트리거되지 않습니다PutKeyPolicy
. 이 오류 메시지를 반환하는 작업 목록을 보려면 섹션을 참조하세요 AWS KMS APIAWS KMS 키의 키 상태.
수신한 알림 이메일에는 KMS 키 또는 암호화 작업이 나열되지 않습니다. 로그 에서 해당 정보를 찾을 수 있습니다 CloudTrail. 대신에, 경보 상태가 정상에서 경보로 변경되었다는 내용이 이메일로 보고됩니다. 경보 및 상태 변경에 대한 CloudWatch 자세한 내용은 Amazon CloudWatch 사용 설명서의 Amazon 경보 사용을 참조하세요. CloudWatch
주의
이 Amazon CloudWatch 경보는 외부 비대칭 키의 퍼블릭 KMS 키 사용을 감지할 수 없습니다 AWS KMS. 복호화할 수 없는 암호 텍스트 생성을 포함하여 퍼블릭 KMS 키 암호화에 사용되는 비대칭 키 삭제의 특별한 위험에 대한 자세한 내용은 섹션을 참조하세요Deleting asymmetric KMS keys.
이 절차에서는 삭제 대기 중인 예외의 인스턴스를 찾는 CloudWatch 로그 그룹 지표 필터를 생성합니다. 그런 다음 로그 그룹 지표를 기반으로 CloudWatch 경보를 생성합니다. 로그 그룹 지표 필터에 대한 자세한 내용은 Amazon Logs 사용 설명서의 필터를 사용하여 로그 이벤트에서 지표 생성을 참조하세요. CloudWatch
-
CloudTrail 로그를 구문 분석하는 CloudWatch 지표 필터를 생성합니다.
다음 필수 값을 사용하여 로그 그룹에 대한 지표 필터 생성의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
필드 값 필터 패턴 { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
지표 값 1 -
1단계에서 생성한 지표 필터를 기반으로 CloudWatch 경보를 생성합니다.
다음 필수 값을 사용하여 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성의 지침을 따릅니다. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
필드 값 지표 필터 1단계에서 생성한 지표 필터 이름입니다.
임계값 유형 정적 조건 항상 metric-name
보다 크거나 같음1
경보를 가리키는 데이터 1
/1
누락 데이터 처리 누락 데이터 처리에서 양호(임계값을 위반하지 않음)
이 절차를 완료하면 새 CloudWatch 경보가 ALARM
상태가 될 때마다 알림을 받게 됩니다. 이 경보에 대한 알림을 받는 경우 데이터를 암호화하거나 복호화하려면 삭제가 예약된 KMS 키가 여전히 필요할 수 있습니다. 이 경우 KMS 키 삭제를 취소하고 삭제 결정을 다시 고려하세요.