Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente - AWS Key Management Service
Requisitos para um CloudWatch alarmeCriando o CloudWatch alarme

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente

Você pode combinar os recursos do AWS CloudTrail Amazon CloudWatch Logs e do Amazon Simple Notification Service (Amazon SNS) para criar um alarme da CloudWatch Amazon que notifica você quando alguém em sua conta tenta usar uma chave KMS que está pendente de exclusão. Se você receber essa notificação, convém cancelar a exclusão da chave do KMS e reconsiderar sua decisão de excluí-la.

Os procedimentos a seguir criam um alarme que notifica você sempre que a mensagem de erro Key ARN is pending deletion "" for gravada em seus arquivos de CloudTrail log. Essa mensagem de erro indica que uma pessoa ou aplicação tentou usar a chave do KMS em uma operação criptográfica. Como a notificação está vinculada à mensagem de erro, ela não é acionada quando você usa operações da API que são permitidas em chaves do KMS com exclusão pendente, como ListKeys, CancelKeyDeletion e PutKeyPolicy. Para ver uma lista das operações de API do AWS KMS que geram essa mensagem de erro, consulte Principais estados das AWS KMS chaves.

O e-mail de notificação recebido não indicará a chave do KMS ou a operação criptográfica. É possível encontrar essas informações em seu log do CloudTrail. Em vez disso, o e-mail informa que o estado do alarme mudou de OK para Alarme. Para obter mais informações sobre CloudWatch alarmes e mudanças de estado, consulte Usando CloudWatch alarmes da Amazon no Guia CloudWatch do usuário da Amazon.

Atenção

Esse CloudWatch alarme da Amazon não pode detectar o uso da chave pública de uma chave KMS assimétrica fora do. AWS KMS Para obter detalhes sobre os riscos especiais de exclusão de chaves do KMS assimétricas usadas para a criptografia de chave pública, incluindo a criação de textos cifrados que não podem ser descriptografados, consulte Excluir chaves do KMS assimétricas.

Requisitos para um CloudWatch alarme

Antes de criar um CloudWatch alarme, você deve criar uma AWS CloudTrail trilha e configurá-la CloudTrail para entregar arquivos de CloudTrail log ao Amazon CloudWatch Logs. Você também precisa de um tópico do Amazon SNS para a notificação do alarme.

  • Crie uma trilha do CloudTrail.

    CloudTrail é ativado automaticamente Conta da AWS quando você cria a conta. No entanto, para obter um registro contínuo de eventos em sua conta, incluindo eventos do AWS KMS, crie uma trilha.

  • Configure CloudTrail para entregar seus arquivos de log CloudWatch Logs.

    Configure a entrega de seus arquivos de CloudTrail log para o CloudWatch Logs. Isso permite que o CloudWatch Logs monitore os registros de solicitações de AWS KMS API que tentam usar uma chave KMS que está pendente de exclusão.

  • Crie um tópico do Amazon SNS.

    Quando seu alarme é acionado, ele notifica você enviando uma mensagem de e-mail para um endereço de e-mail em um tópico do Amazon Simple Notification Service (Amazon SNS).

Criando o CloudWatch alarme

Neste procedimento, você cria um filtro métrico de grupo de CloudWatch registros que localiza instâncias da exceção de exclusão pendente. Em seguida, você cria um CloudWatch alarme com base na métrica do grupo de registros. Para obter informações sobre filtros métricos de grupos de registros, consulte Criação de métricas a partir de eventos de log usando filtros no Guia do usuário do Amazon CloudWatch Logs.

  1. Crie um filtro CloudWatch métrico que analise os CloudTrail registros.

    Siga as instruções em Criar um filtro de métrica para um grupo de logs usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.

    Campo Valor
    Padrão de filtro

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    Valor da métrica 1

  2. Crie um CloudWatch alarme com base no filtro métrico que você criou na Etapa 1.

    Siga as instruções em Criação de um CloudWatch alarme com base em um filtro métrico de grupo de registros usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.

    Campo Valor
    Filtro de métrica

    O nome do filtro de métrica que você criou na Etapa 1.
    Tipo de limite Estático
    Condições Sempre que o nome da métrica for maior que 1
    Pontos de dados para o alarme 1 de 1
    Tratamento de dados ausentes Treat missing data as good (not breaching threshold) (Tratar dados ausentes como bons [sem violar o limite])

Depois de concluir esse procedimento, você receberá uma notificação sempre que o novo CloudWatch alarme entrar no ALARM estado. Se você receber uma notificação desse alarme, talvez isso signifique que uma chave do KMS programada para exclusão ainda seja necessária para criptografar ou descriptografar dados. Nesse caso, cancele a exclusão da chave do KMS e reconsidere sua decisão de excluí-la.