使用 Amazon 監控 EventBridge - AWS Key Management Service
KMS CMK Rotation (KMS CMK 輪換)KMS Imported Key Material Expiration (KMS 匯入的金鑰資料過期)KMS CMK Deletion (KMS CMK 的刪除)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon 監控 EventBridge

您可以使用 Amazon EventBridge (以前稱為 Amazon CloudWatch 活動) 提醒您 KMS 金鑰生命週期中的下列重要事件。

  • KMS 金鑰中的金鑰材料會自動輪換。

  • KMS 金鑰中所匯入的金鑰資料過期。

  • 已排程刪除的 KMS 金鑰已被刪除。

AWS KMS與 Amazon 整合, EventBridge 以通知您影響 KMS 金鑰的重要事件。每個事件都以 JSON(JavaScript對象符號)表示,並包括事件名稱,事件發生的日期和時間以及受影響的事件。您可以收集這些事件及建立規則,將事件路由到一或多個目標,例如 AWS Lambda 函數、Amazon SNS 主題、Amazon SQS 佇列、Amazon Kinesis Data Streams 中的串流,或是內建的目標。

如需 EventBridge 與其他類型的事件搭配使用的詳細資訊,包括記錄讀取/寫入 API 請求AWS CloudTrail時所發出的事件,請參閱 Amazon 使用 EventBridge 者指南

下列主題說明AWS KMS產生的 EventBridge 事件。

KMS CMK Rotation (KMS CMK 輪換)

AWS KMS 支援對稱加密 KMS 金鑰中金鑰資料的自動輪換。對於客戶受管金鑰而言,年度金鑰資料輪換是選用功能。AWS 受管金鑰 的金鑰資料每年會自動輪換。

每當AWS KMS旋轉關鍵材料時,它會將KMS CMK Rotation事件發送到 EventBridge。 AWS KMS在盡最大努力的基礎上產生此事件。

以下為此事件的範例。

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}

KMS Imported Key Material Expiration (KMS 匯入的金鑰資料過期)

當您匯入金鑰材料至 KMS 金鑰時,您可以選擇指定該金鑰材料的過期時間。當金鑰材料到期時,會AWS KMS刪除金鑰材料並將對應的KMS Imported Key Material Expiration事件傳送至 EventBridge。 AWS KMS在盡最大努力的基礎上產生此事件。

以下為此事件的範例。

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}

KMS CMK Deletion (KMS CMK 的刪除)

當您排程刪除 KMS 金鑰時,AWS KMS 會在刪除 KMS 金鑰之前強制執行等待期間。等待期結束後,AWS KMS刪除 KMS 金鑰並將KMS CMK Deletion事件傳送至 EventBridge。 AWS KMS保證此 EventBridge 事件。由於重試,它可能會在幾秒鐘內產生多個刪除相同 KMS 金鑰的事件。

以下為此事件的範例。

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}