기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS KMS 키의 키 상태가 변경될 때 Amazon SNS 알림 받기
작성자: Shubham Harsora(AWS), Aromal Raj Jayarajan(AWS), Navdeep Pareek(AWS)
코드 리포지토리: aws-kms-deletion-notification | 환경: PoC 또는 파일럿 | 기술: 인프라, 클라우드 네이티브, 보안 DevOps, ID, 규정 준수 |
워크로드: 기타 모든 워크로드 | AWS 서비스: 아마존 EventBridge, AWS KMS, 아마존 SNS |
요약
AWS Key Management Service(AWS KMS) 키와 연결된 데이터 및 메타데이터는 해당 키를 삭제한 후에 손실됩니다. 삭제는 되돌릴 수 없으며 손실된 데이터(암호화된 데이터 포함)는 복구할 수 없습니다. AWS KMS 키의 키 상태에 대한 상태 변경을 알려주는 알림 시스템을 설정하여 데이터 손실을 방지할 수 있습니다.
이 패턴은 Amazon 및 Amazon Simple Notification Service ( EventBridge Amazon SNS) 를 사용하여 AWS KMS 키의 키 상태가 또는 로 변경될 때마다 자동 알림을 발행하여 AWS KMS 키의 상태 변경을 모니터링하는 방법을 보여줍니다. Disabled
PendingDeletion
예를 들어, 사용자가 AWS KMS 키를 비활성화하거나 삭제하려고 하면 시도된 상태 변경에 대한 세부 정보가 포함된 이메일 알림을 받게 됩니다. 또한 이 패턴을 사용하여 AWS KMS 키 삭제를 예약할 수 있습니다.
사전 조건 및 제한 사항
사전 조건
AWS Identity and Access Management (IAM) 사용자가 있는 활성 AWS 계정
아키텍처
기술 스택
아마존 EventBridge
AWS Key Management Service (AWS KMS)
Amazon Simple Notification Service(SNS)
대상 아키텍처
다음 다이어그램은 AWS KMS 키의 상태 변경을 감지하기 위한 자동 모니터링 및 알림 프로세스를 구축하는 아키텍처를 보여줍니다.
![자동 모니터링 및 알림 프로세스를 구축하기 위한 아키텍처](images/pattern-img/2534df87-a6fd-4360-9b5d-4a8b1f533de3/images/0cb6a6b0-405b-4d26-ad04-2067176aa086.png)
이 다이어그램은 다음 워크플로우를 보여줍니다.
사용자가 AWS KMS 키를 비활성화하거나 삭제를 예약합니다.
EventBridge 규칙은 예정된
PendingDeletion
이벤트Disabled
또는 이벤트를 평가합니다.이 EventBridge 규칙은 Amazon SNS 주제를 호출합니다.
Amazon SNS가 사용자에게 이메일 알림 메시지를 보냅니다.
참고: 조직의 필요에 맞게 이메일 메시지를 사용자 지정할 수 있습니다. AWS KMS 키가 사용되는 엔티티에 대한 정보를 포함하는 것이 좋습니다. 이를 통해 사용자는 AWS KMS 키 삭제가 미치는 영향을 이해할 수 있습니다. 또한 AWS KMS 키가 삭제되기 하루나 이틀 전에 이메일 알림을 보내도록 예약할 수 있습니다.
자동화 및 규모 조정
AWS CloudFormation 스택은 이 패턴이 작동하는 데 필요한 모든 리소스와 서비스를 배포합니다. 단일 계정에서 독립적으로 패턴을 구현하거나 AWS Organizations의 여러 독립 계정 또는 조직 단위에 CloudFormation StackSets AWS를 사용하여 패턴을 구현할 수 있습니다.
도구
AWS는 AWS CloudFormation 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, AWS 계정 및 AWS 지역의 수명 주기 전반에 걸쳐 리소스를 관리할 수 있도록 지원합니다. 이 패턴의 CloudFormation 템플릿은 원하는 모든 AWS 리소스를 설명하고 해당 리소스를 CloudFormation 프로비저닝 및 구성합니다.
EventBridgeAmazon은 다양한 소스의 실시간 데이터와 애플리케이션을 연결하는 데 도움이 되는 서버리스 이벤트 버스 서비스입니다. EventBridge 자체 애플리케이션 및 AWS 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를 AWS Lambda와 같은 대상으로 라우팅합니다. EventBridge 이벤트 기반 아키텍처 구축 프로세스를 간소화합니다.
AWS Key Management Service(AWS KMS)를 사용하면 암호화 키를 생성하고 제어하여 데이터를 보호할 수 있습니다.
Amazon Simple Notification Service(Amazon SNS)를 사용하면 웹 서버 및 이메일 주소를 포함하여 게시자와 클라이언트 간의 메시지 교환을 조정하고 관리할 수 있습니다.
코드
이 패턴의 코드는 AWS KMS 키 비활성화 및 예약 삭제 리포지토리 GitHub 모니터링에서
에픽
작업 | 설명 | 필요한 기술 |
---|---|---|
리포지토리를 복제합니다. | 다음 명령을 실행하여 GitHub Monitor AWS KMS 키 비활성화 및 예약 삭제
| AWS 관리자, 클라우드 아키텍트 |
템플릿의 파라미터를 업데이트합니다. | 코드 편집기에서 리포지토리에서 복제한
| AWS 관리자, 클라우드 아키텍트 |
CloudFormation 템플릿을 배포합니다. |
| AWS 관리자, 클라우드 아키텍트 |
작업 | 설명 | 필요한 기술 |
---|---|---|
구독 이메일을 확인합니다. | CloudFormation 템플릿이 성공적으로 배포되면 Amazon SNS는 CloudFormation 템플릿에 제공한 이메일 주소로 구독 확인 메시지를 보냅니다. 알림을 받기 시작하려면 이 이메일 구독을 확인해야 합니다. 자세한 내용은 Amazon SNS 개발자 가이드의 구독 확인을 참조하세요. | AWS 관리자, 클라우드 아키텍트 |
작업 | 설명 | 필요한 기술 |
---|---|---|
AWS KMS 키를 비활성화합니다. |
| AWS 관리자 |
구독을 확인합니다. | Amazon SNS 알림 이메일 수신을 확인합니다. | AWS 관리자 |
작업 | 설명 | 필요한 기술 |
---|---|---|
CloudFormation 스택을 삭제합니다. |
| AWS 관리자 |
관련 리소스
AWS CloudFormation
(AWS 설명서) AWS CloudFormation 콘솔에서 스택 생성 (AWS CloudFormation 설명서)
AWS에서 이벤트 기반 아키텍처 구축
(AWS 워크숍 스튜디오 설명서) AWS Key Management Service 모범 사례
(AWS 백서) AWS Key Management Service의 보안 모범 사례(AWS KMS 개발자 가이드)
추가 정보
Amazon SNS는 기본값으로 전송 중 암호화를 제공합니다. 보안 모범 사례에 따라 AWS KMS 고객 관리 키를 사용하여 Amazon SNS의 서버 측 암호화를 활성화할 수도 있습니다.