AWS KMS 키의 키 상태가 변경될 때 Amazon SNS 알림 받기

요약 사전 조건 및 제한 사항 아키텍처 도구 에픽 관련 리소스 추가 정보

작성자: Shubham Harsora(AWS), Aromal Raj Jayarajan(AWS), Navdeep Pareek(AWS)

코드 리포지토리: aws-kms-deletion-notification	환경: PoC 또는 파일럿	기술: 인프라, 클라우드 네이티브, 보안 DevOps, ID, 규정 준수
워크로드: 기타 모든 워크로드	AWS 서비스: 아마존 EventBridge, AWS KMS, 아마존 SNS

AWS Key Management Service(AWS KMS) 키와 연결된 데이터 및 메타데이터는 해당 키를 삭제한 후에 손실됩니다. 삭제는 되돌릴 수 없으며 손실된 데이터(암호화된 데이터 포함)는 복구할 수 없습니다. AWS KMS 키의 키 상태에 대한 상태 변경을 알려주는 알림 시스템을 설정하여 데이터 손실을 방지할 수 있습니다.

이 패턴은 Amazon 및 Amazon Simple Notification Service ( EventBridge Amazon SNS) 를 사용하여 AWS KMS 키의 키 상태가 또는 로 변경될 때마다 자동 알림을 발행하여 AWS KMS 키의 상태 변경을 모니터링하는 방법을 보여줍니다. Disabled PendingDeletion 예를 들어, 사용자가 AWS KMS 키를 비활성화하거나 삭제하려고 하면 시도된 상태 변경에 대한 세부 정보가 포함된 이메일 알림을 받게 됩니다. 또한 이 패턴을 사용하여 AWS KMS 키 삭제를 예약할 수 있습니다.

사전 조건

AWS Identity and Access Management (IAM) 사용자가 있는 활성 AWS 계정
AWS KMS 키

기술 스택

아마존 EventBridge
AWS Key Management Service (AWS KMS)
Amazon Simple Notification Service(SNS)

대상 아키텍처

다음 다이어그램은 AWS KMS 키의 상태 변경을 감지하기 위한 자동 모니터링 및 알림 프로세스를 구축하는 아키텍처를 보여줍니다.

이 다이어그램은 다음 워크플로우를 보여줍니다.

사용자가 AWS KMS 키를 비활성화하거나 삭제를 예약합니다.
EventBridge 규칙은 예정된 PendingDeletion 이벤트 Disabled 또는 이벤트를 평가합니다.
이 EventBridge 규칙은 Amazon SNS 주제를 호출합니다.
Amazon SNS가 사용자에게 이메일 알림 메시지를 보냅니다.

참고: 조직의 필요에 맞게 이메일 메시지를 사용자 지정할 수 있습니다. AWS KMS 키가 사용되는 엔티티에 대한 정보를 포함하는 것이 좋습니다. 이를 통해 사용자는 AWS KMS 키 삭제가 미치는 영향을 이해할 수 있습니다. 또한 AWS KMS 키가 삭제되기 하루나 이틀 전에 이메일 알림을 보내도록 예약할 수 있습니다.

자동화 및 규모 조정

AWS CloudFormation 스택은 이 패턴이 작동하는 데 필요한 모든 리소스와 서비스를 배포합니다. 단일 계정에서 독립적으로 패턴을 구현하거나 AWS Organizations의 여러 독립 계정 또는 조직 단위에 CloudFormation StackSets AWS를 사용하여 패턴을 구현할 수 있습니다.

AWS는 AWS CloudFormation 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, AWS 계정 및 AWS 지역의 수명 주기 전반에 걸쳐 리소스를 관리할 수 있도록 지원합니다. 이 패턴의 CloudFormation 템플릿은 원하는 모든 AWS 리소스를 설명하고 해당 리소스를 CloudFormation 프로비저닝 및 구성합니다.
EventBridgeAmazon은 다양한 소스의 실시간 데이터와 애플리케이션을 연결하는 데 도움이 되는 서버리스 이벤트 버스 서비스입니다. EventBridge 자체 애플리케이션 및 AWS 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를 AWS Lambda와 같은 대상으로 라우팅합니다. EventBridge 이벤트 기반 아키텍처 구축 프로세스를 간소화합니다.
AWS Key Management Service(AWS KMS)를 사용하면 암호화 키를 생성하고 제어하여 데이터를 보호할 수 있습니다.
Amazon Simple Notification Service(Amazon SNS)를 사용하면 웹 서버 및 이메일 주소를 포함하여 게시자와 클라이언트 간의 메시지 교환을 조정하고 관리할 수 있습니다.

코드

이 패턴의 코드는 AWS KMS 키 비활성화 및 예약 삭제 리포지토리 GitHub 모니터링에서 사용할 수 있습니다.

작업 설명 필요한 기술

작업	설명	필요한 기술
리포지토리를 복제합니다.	다음 명령을 실행하여 GitHub Monitor AWS KMS 키 비활성화 및 예약 삭제 리포지토리를 로컬 시스템에 복제합니다. `git clone https://github.com/aws-samples/aws-kms-deletion-notification`	AWS 관리자, 클라우드 아키텍트
템플릿의 파라미터를 업데이트합니다.	코드 편집기에서 리포지토리에서 복제한 `Alerting-KMS-Events.yaml` CloudFormation 템플릿을 열고 다음 파라미터를 업데이트하십시오. `DestinationEmailAddress`의 경우, SNS 알림을 수신하는 데 사용할 활성 이메일 주소를 입력합니다. `SNSTopicName`의 경우 이름에 SNS 주제의 이름을 입력합니다.	AWS 관리자, 클라우드 아키텍트
CloudFormation 템플릿을 배포합니다.	AWS Management Console에 로그인하고 CloudFormation 콘솔을 엽니다. 탐색 창에서 스택 생성을 선택한 다음 새 리소스 사용 (표준)을 선택합니다. 리소스 식별 페이지에서 다음을 선택합니다. 템플릿 지정 페이지의 템플릿 소스에서 템플릿 파일 업로드를 선택합니다. 파일 선택을 선택하고 복제된 GitHub 저장소에서 `Alerting-KMS-Events.yaml` 파일을 선택한 후 다음을 선택합니다. 스택 이름에 스택 이름을 입력합니다. 제출을 선택합니다.	AWS 관리자, 클라우드 아키텍트

리포지토리를 복제합니다.

다음 명령을 실행하여 GitHub Monitor AWS KMS 키 비활성화 및 예약 삭제 리포지토리를 로컬 시스템에 복제합니다.

git clone https://github.com/aws-samples/aws-kms-deletion-notification

AWS 관리자, 클라우드 아키텍트

템플릿의 파라미터를 업데이트합니다.

코드 편집기에서 리포지토리에서 복제한 Alerting-KMS-Events.yaml CloudFormation 템플릿을 열고 다음 파라미터를 업데이트하십시오.

DestinationEmailAddress의 경우, SNS 알림을 수신하는 데 사용할 활성 이메일 주소를 입력합니다.
SNSTopicName의 경우 이름에 SNS 주제의 이름을 입력합니다.

AWS 관리자, 클라우드 아키텍트

CloudFormation 템플릿을 배포합니다.

AWS Management Console에 로그인하고 CloudFormation 콘솔을 엽니다.
탐색 창에서 스택 생성을 선택한 다음 새 리소스 사용 (표준)을 선택합니다.
리소스 식별 페이지에서 다음을 선택합니다.
템플릿 지정 페이지의 템플릿 소스에서 템플릿 파일 업로드를 선택합니다.
파일 선택을 선택하고 복제된 GitHub 저장소에서 Alerting-KMS-Events.yaml 파일을 선택한 후 다음을 선택합니다.
스택 이름에 스택 이름을 입력합니다.
제출을 선택합니다.

AWS 관리자, 클라우드 아키텍트

작업	설명	필요한 기술
구독 이메일을 확인합니다.	CloudFormation 템플릿이 성공적으로 배포되면 Amazon SNS는 CloudFormation 템플릿에 제공한 이메일 주소로 구독 확인 메시지를 보냅니다. 알림을 받기 시작하려면 이 이메일 구독을 확인해야 합니다. 자세한 내용은 Amazon SNS 개발자 가이드의 구독 확인을 참조하세요.	AWS 관리자, 클라우드 아키텍트

작업

설명

필요한 기술

구독 이메일을 확인합니다.

CloudFormation 템플릿이 성공적으로 배포되면 Amazon SNS는 CloudFormation 템플릿에 제공한 이메일 주소로 구독 확인 메시지를 보냅니다.

알림을 받기 시작하려면 이 이메일 구독을 확인해야 합니다. 자세한 내용은 Amazon SNS 개발자 가이드의 구독 확인을 참조하세요.

AWS 관리자, 클라우드 아키텍트

작업	설명	필요한 기술
AWS KMS 키를 비활성화합니다.	AWS Management Console에 로그인하고 AWS KMS 콘솔을 엽니다. 리전을 변경하려면 현재 표시된 리전의 이름을 선택한 다음 전환하려는 리전을 선택합니다. 탐색 창에서 고객 관리형 키를 선택합니다. 활성화 또는 비활성화하려는 AWS KMS 키의 확인란을 선택합니다. AWS KMS 키를 비활성화하려면 키 작업을 선택한 후에 비활성화를 선택합니다.	AWS 관리자
구독을 확인합니다.	Amazon SNS 알림 이메일 수신을 확인합니다.	AWS 관리자

작업	설명	필요한 기술
CloudFormation 스택을 삭제합니다.	AWS Management Console에 로그인하고 CloudFormation 콘솔을 엽니다. 탐색 창에서 스택을 선택합니다. 이전에 생성한 스택을 선택한 다음 삭제를 선택합니다.	AWS 관리자

AWS CloudFormation (AWS 설명서)
AWS CloudFormation 콘솔에서 스택 생성 (AWS CloudFormation 설명서)
AWS에서 이벤트 기반 아키텍처 구축(AWS 워크숍 스튜디오 설명서)
AWS Key Management Service 모범 사례(AWS 백서)
AWS Key Management Service의 보안 모범 사례(AWS KMS 개발자 가이드)

Amazon SNS는 기본값으로 전송 중 암호화를 제공합니다. 보안 모범 사례에 따라 AWS KMS 고객 관리 키를 사용하여 Amazon SNS의 서버 측 암호화를 활성화할 수도 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Transit Gateway Connect를 사용하여 VRF를 AWS로 확장

Micro Focus를 사용하여 메인프레임 환경을 현대화하기