Receber notificações do Amazon SNS quando o estado de chave de uma chave do AWS KMS mudar

Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados Mais informações

Criado por Shubham Harsora (AWS), Aromal Raj Jayarajan (AWS) e Navdeep Pareek (AWS)

Repositório de códigos: aws-kms-deletion-notification	Ambiente: PoC ou piloto	Tecnologias: infraestrutura; nativa da nuvem DevOps; segurança, identidade, conformidade
Workload: todas as outras workloads	Serviços da AWS: Amazon EventBridge; AWS KMS; Amazon SNS

Os dados e metadados associados a uma chave do AWS Key Management Service (AWS KMS) são perdidos quando essa chave é excluída. A exclusão é irreversível e você não pode recuperar dados perdidos (incluindo dados criptografados). Você pode evitar a perda de dados ao configurar um sistema de notificação para alertá-lo sobre mudanças de status nos estados principais de suas chaves do AWS KMS.

Esse padrão mostra como monitorar as alterações de status nas chaves do AWS KMS usando a Amazon e o EventBridge Amazon Simple Notification Service (Amazon SNS) para emitir notificações automáticas sempre que o estado da chave do AWS KMS mudar para ou. Disabled PendingDeletion Por exemplo, se um usuário tentar desabilitar ou excluir uma chave do AWS KMS, você receberá uma notificação por e-mail com detalhes sobre a tentativa de alteração de status. Você também pode usar esse padrão para programar a exclusão das chaves do AWS KMS.

Pré-requisitos

Uma conta ativa do AWS com um usuário do Identity and Access Management (IAM).
Uma chave do AWS KMS

Pilha de tecnologia

Amazon EventBridge
AWS Key Management Service (AWS KMS)
Amazon Simple Notiﬁcation Service (Amazon SNS)

Arquitetura de destino

O diagrama a seguir mostra uma arquitetura para criar um processo automatizado de monitoramento e notificação para detectar quaisquer alterações no estado de uma chave do AWS KMS.

O diagrama mostra o seguinte fluxo de trabalho:

Um usuário desativa ou programa a exclusão de uma chave do AWS KMS.
Uma EventBridge regra avalia o agendado Disabled ou o PendingDeletion evento.
A EventBridge regra invoca o tópico do Amazon SNS.
O Amazon SNS envia uma mensagem de notificação por e-mail aos usuários.

Observação: você pode personalizar a mensagem de e-mail para atender às necessidades da sua organização. Recomendamos incluir informações sobre as entidades nas quais a chave do AWS KMS é usada. Isso pode ajudar os usuários a entenderem o impacto da exclusão da chave do AWS KMS. Você também pode agendar uma notificação de lembrete por e-mail enviada um ou dois dias antes da exclusão da chave do AWS KMS.

Automação e escala

O AWS CloudFormation stack implanta todos os recursos e serviços necessários para que esse padrão funcione. Você pode implementar o padrão de forma independente em uma única conta ou usando a AWS CloudFormation StackSets para várias contas independentes ou unidades organizacionais no AWS Organizations.

CloudFormationA AWS ajuda você a configurar recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em todas as contas e regiões da AWS. O CloudFormation modelo desse padrão descreve todos os recursos da AWS que você deseja e CloudFormation provisiona e configura esses recursos para você.
EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos e serviços da AWS e encaminha esses dados para destinos como o AWS Lambda. EventBridge simplifica o processo de criação de arquiteturas orientadas por eventos.
O AWS Key Management Service (AWS KMS) ajuda você a criar e controlar chaves criptográficas para proteger seus dados.
O Amazon Simple Notiﬁcation Service (Amazon SNS) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.

Código

O código desse padrão está disponível no repositório de desativação e exclusão programada de chaves do AWS KMS do GitHub Monitor AWS KMS.

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Clonar o repositório.	Clone o repositório de desativação e exclusão programada das chaves do GitHub Monitor AWS KMS em sua máquina local executando o seguinte comando: `git clone https://github.com/aws-samples/aws-kms-deletion-notification`	Administrador da AWS, arquiteto de nuvem
Atualizar os parâmetros do modelo.	Em um editor de código, abra o `Alerting-KMS-Events.yaml` CloudFormation modelo que você clonou do repositório e atualize os seguintes parâmetros: Para `DestinationEmailAddress`, insira um endereço de e-mail ativo que você planeja usar para receber a notificação do SNS. Para `SNSTopicName`, digite um nome para o seu tópico do SNS.	Administrador da AWS, arquiteto de nuvem
Implante o CloudFormation modelo.	Faça login no Console de Gerenciamento da AWS e abra o console do CloudFormation . No painel de navegação, escolha Criar pilha e, em seguida, escolha Com novos recursos (padrão). Na página Identificar recursos, escolha Próximo. Na página Especificar modelo, em Origem do modelo, selecione Carregar um arquivo de modelo. Escolha Escolher arquivo, selecione o `Alerting-KMS-Events.yaml` arquivo do seu GitHub repositório clonado e escolha Avançar. Em Nome da pilha, insira o nome da pilha. Selecione Enviar.	Administrador da AWS, arquiteto de nuvem

Clonar o repositório.

Clone o repositório de desativação e exclusão programada das chaves do GitHub Monitor AWS KMS em sua máquina local executando o seguinte comando:

git clone https://github.com/aws-samples/aws-kms-deletion-notification

Administrador da AWS, arquiteto de nuvem

Atualizar os parâmetros do modelo.

Em um editor de código, abra o Alerting-KMS-Events.yaml CloudFormation modelo que você clonou do repositório e atualize os seguintes parâmetros:

Para DestinationEmailAddress, insira um endereço de e-mail ativo que você planeja usar para receber a notificação do SNS.
Para SNSTopicName, digite um nome para o seu tópico do SNS.

Administrador da AWS, arquiteto de nuvem

Implante o CloudFormation modelo.

Faça login no Console de Gerenciamento da AWS e abra o console do CloudFormation .
No painel de navegação, escolha Criar pilha e, em seguida, escolha Com novos recursos (padrão).
Na página Identificar recursos, escolha Próximo.
Na página Especificar modelo, em Origem do modelo, selecione Carregar um arquivo de modelo.
Escolha Escolher arquivo, selecione o Alerting-KMS-Events.yaml arquivo do seu GitHub repositório clonado e escolha Avançar.
Em Nome da pilha, insira o nome da pilha.
Selecione Enviar.

Administrador da AWS, arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Confirmar a assinatura de e-mail.	Depois que o CloudFormation modelo for implantado com sucesso, o Amazon SNS envia uma mensagem de confirmação da assinatura para o endereço de e-mail que você forneceu no CloudFormation modelo. Você deve confirmar essa assinatura de e-mail para receber notificações. Para obter mais informações, consulte Confirmar a assinatura no Guia do desenvolvedor do Amazon SNS.	Administrador da AWS, arquiteto de nuvem

Tarefa

Descrição

Habilidades necessárias

Confirmar a assinatura de e-mail.

Depois que o CloudFormation modelo for implantado com sucesso, o Amazon SNS envia uma mensagem de confirmação da assinatura para o endereço de e-mail que você forneceu no CloudFormation modelo.

Você deve confirmar essa assinatura de e-mail para receber notificações. Para obter mais informações, consulte Confirmar a assinatura no Guia do desenvolvedor do Amazon SNS.

Administrador da AWS, arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Desabilitar chaves do AWS KMS.	Faça login no Console de Gerenciamento da AWS e abra o Console do AWS KMS. Para alterar a região, escolha o nome da região exibida atualmente e, em seguida, escolha a região para a qual você deseja alternar. No painel de navegação, escolha Chaves gerenciadas pelo cliente. Marque a caixa de seleção das chaves do AWS KMS que você deseja habilitar ou desabilitar. Para desabilitar a chave do AWS KMS, escolha Ações de chaves e, depois, Desabilitar.	Administrador da AWS
Validar a assinatura.	Confirme se você recebeu o e-mail de notificação do Amazon SNS.	Administrador da AWS

Tarefa	Descrição	Habilidades necessárias
Exclua a CloudFormation pilha.	Faça login no Console de Gerenciamento da AWS e abra o console do CloudFormation . No painel de navegação, escolha Pilhas. Selecione a pilha que você criou e escolha Excluir.	Administrador da AWS

AWS CloudFormation (documentação da AWS)
Criação de uma pilha no CloudFormation console da AWS ( CloudFormation documentação da AWS)
Criar arquiteturas orientadas por eventos na AWS (documentação do AWS Workshop Studio)
Práticas recomendadas do AWS Key Management Service (whitepaper da AWS)
Práticas recomendadas de segurança para o AWS Key Management Service (AWS KMS) (Guia do desenvolvedor do AWS KMS)

O Amazon SNS fornece criptografia em trânsito por padrão. Para se alinhar às práticas recomendadas de segurança, você também pode habilitar a criptografia do lado do servidor para o Amazon SNS usando uma chave gerenciada pelo cliente do AWS KMS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Estenda VRFs para a AWS usando o Transit Gateway Connect

Modernize seu ambiente de mainframe com a Micro Focus