创建检测待删除 KMS 密钥的使用的警报 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建检测待删除 KMS 密钥的使用的警报

您可以结合亚马逊 CloudWatch 日志和亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 的功能来创建 CloudWatch 亚马逊警报,当您的账户中有人尝试使用待删除的 KMS 密钥时,该警报会通知您。Amazon CloudTrail如果您收到此通知,则可能要取消删除该 KMS 密钥并重新考虑删除它的决定。

以下过程将创建一个警报,每当向 CloudTrail 日志文件写入 “Key ARN is pending deletion” 错误消息时,该警报就会通知您。此错误消息指示有人或应用程序尝试在加密操作中使用该 KMS 密钥。由于通知链接至错误消息,因此,当您使用待删除的 KMS 密钥中允许的 API 操作时(例如 ListKeysCancelKeyDeletionPutKeyPolicy),不会触发该通知。要查看返回此错误消息的 Amazon KMS API 操作的列表,请参阅Amazon KMS 密钥的密钥状态

您收到的通知电子邮件不会列出 KMS 密钥或加密操作。可在 CloudTrail 日志中找到此信息。电子邮件会报告警报状态已从 OK (正常) 变为 Alarm (警报)。有关 CloudWatch警报和状态变化的更多信息,请参阅亚马逊 CloudWatch 用户指南中的使用亚马逊 CloudWatch警报

警告

此 Amazon CloudWatch 警报无法检测到在之外使用非对称 KMS 密钥的Amazon KMS公钥。有关删除用于公有密钥加密的非对称 KMS 密钥的特殊风险的详细信息,包括创建无法解密的密文,请参阅 删除非对称 KMS 密钥

CloudWatch 警报要求

在创建 CloudWatch 警报之前,您必须创建Amazon CloudTrail跟踪并配置为将 CloudTrail 日志文件传输 CloudTrail 到 Amazon Lo CloudWatch gs。您还需要针对警报通知使用 Amazon SNS 主题。

  • 创建 CloudTrail 跟踪

    CloudTrail 在您创建账户Amazon Web Services 账户时会自动在您的账户上启用。但是,要持续记录账户中的事件(包括 Amazon KMS 的事件),请创建跟踪。

  • 配置 CloudTrail 以传送您的日志文件 CloudWatch 日志

    配置将 CloudTrail 日志文件传送到 CloudWatch 日志。这样, CloudWatch 日志就可以监控尝试使用待删除的 KMS 密钥的 Amazon KMS API 请求的日志。

  • 创建 Amazon SNS 主题。

    当您的警报触发时,它会通过向 Amazon Simple Notification Service (Amazon SNS) 主题中的电子邮件地址发送电子邮件来通知您。

创建 CloudWatch 警报

在此过程中,您将创建一个 CloudWatch 日志组指标筛选器,用于查找待删除异常的实例。然后,根据日志组指标创建 CloudWatch 警报。有关日志组指标筛选条件的信息,请参阅 Amazon Logs 用户指南中的使用筛选条件从 CloudWatch 日志事件创建指标

  1. 创建用于解析 CloudTrail 日志的 CloudWatch 指标筛选器。

    使用以下必填值,按照为日志组创建指标筛选条件中的说明进行操作。对于其他字段,请接受默认值并按要求提供名称。

    Field Value
    筛选条件模式

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}

    指标值 1
  2. 根据您在步骤 1 中创建的指标筛选器创建 CloudWatch 警报。

    使用以下必填值按照基于日志组指标筛选器创建 CloudWatch 警报中的说明进行操作。对于其他字段,请接受默认值并按要求提供名称。

    Field Value
    指标筛选条件

    您在步骤 1 中创建的指标筛选条件名称。

    阈值类型 静态
    Conditions metric-name 大于 1
    待报警的数据点 1 / 1
    缺失数据处理 将缺失的数据作为好处理 (未超出阈值)

完成此过程后,每当您的新 CloudWatch警报进入ALARM状态时,您都会收到一条通知。如果您收到此警报的通知,可能意味着仍然需要计划删除的 KMS 密钥来加密或解密数据。在这种情况下,请取消删除 KMS 密钥并重新考虑删除它的决定。