创建警报,检测KMS密钥的使用情况,等待删除 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建警报,检测KMS密钥的使用情况,等待删除

您可以将 Amazon CloudWatch Logs 和 Amazon 简单通知服务 (AmazonSNS) 的功能结合起来,创建亚马逊 CloudWatch 警报,当您的账户中有人尝试使用待删除的KMS密钥时,该警报会通知您。 Amazon CloudTrail如果您收到此通知,则可能需要取消对KMS密钥的删除并重新考虑删除密钥的决定。

以下过程将创建一个警报,每当向 CloudTrail 日志文件写入 “Key ARN is pending deletion” 错误消息时,该警报就会通知您。此错误消息表示有人或应用程序试图在加密操作中使用该KMS密钥。由于通知与错误消息相关联,因此当您对待删除的KMS密钥使用允许的API操作(例如ListKeys、和)时,不会触发该通知PutKeyPolicyCancelKeyDeletion要查看返回此错误消息的 Amazon KMS API操作列表,请参阅Amazon KMS 密钥的密钥状态

您收到的通知电子邮件未列出KMS密钥或加密操作。你可以在你的 CloudTrail日志中找到这些信息。电子邮件会报告警报状态已从 OK (正常) 变为 Alarm (警报)。有关 CloudWatch警报和状态变化的更多信息,请参阅亚马逊 CloudWatch 用户指南中的使用亚马逊 CloudWatch警报

警告

此 Amazon CloudWatch 警报无法检测到外部使用非对称KMS密钥的 Amazon KMS公钥。有关删除用于公钥加密的非对称KMS密钥(包括创建无法解密的密文)的特殊风险的详细信息,请参阅。Deleting asymmetric KMS keys

在此过程中,您将创建一个 CloudWatch 日志组指标筛选器,用于查找待删除异常的实例。然后,根据日志组指标创建 CloudWatch 警报。有关日志组指标筛选条件的信息,请参阅 Amazon Logs 用户指南中的使用筛选条件从 CloudWatch 日志事件创建指标

  1. 创建用于解析 CloudTrail 日志的 CloudWatch 指标筛选器。

    使用以下必填值,按照为日志组创建指标筛选条件中的说明进行操作。对于其他字段,请接受默认值并按要求提供名称。

    Field Value
    筛选条件模式

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}

    指标值 1
  2. 根据您在步骤 1 中创建的指标筛选器创建 CloudWatch 警报。

    使用以下必填值按照基于日志组指标筛选器创建 CloudWatch 警报中的说明进行操作。对于其他字段,请接受默认值并按要求提供名称。

    Field Value
    指标筛选条件

    您在步骤 1 中创建的指标筛选条件名称。

    阈值类型 静态
    Conditions 每当 metric-name 大于/ 等于 1
    要警报的数据点 1 / 1
    缺失数据处理 将缺失的数据作为好处理 (未超出阈值)

完成此过程后,每当您的新 CloudWatch警报进入ALARM状态时,您都会收到一条通知。如果您收到此警报的通知,则可能意味着仍需要预定删除的密KMS钥来加密或解密数据。在这种情况下,请取消对KMS密钥的删除并重新考虑您删除密钥的决定。