本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建警报,检测KMS密钥的使用情况,等待删除
您可以将 Amazon CloudWatch Logs 和 Amazon 简单通知服务 (AmazonSNS) 的功能结合起来,创建亚马逊 CloudWatch 警报,当您的账户中有人尝试使用待删除的KMS密钥时,该警报会通知您。 Amazon CloudTrail如果您收到此通知,则可能需要取消对KMS密钥的删除并重新考虑删除密钥的决定。
以下过程将创建一个警报,每当向 CloudTrail 日志文件写入 “
” 错误消息时,该警报就会通知您。此错误消息表示有人或应用程序试图在加密操作中使用该KMS密钥。由于通知与错误消息相关联,因此当您对待删除的KMS密钥使用允许的API操作(例如Key ARN
is pending deletionListKeys
、和)时,不会触发该通知PutKeyPolicy
。CancelKeyDeletion
要查看返回此错误消息的 Amazon KMS API操作列表,请参阅Amazon KMS 密钥的密钥状态。
您收到的通知电子邮件未列出KMS密钥或加密操作。你可以在你的 CloudTrail日志中找到这些信息。电子邮件会报告警报状态已从 OK (正常) 变为 Alarm (警报)。有关 CloudWatch警报和状态变化的更多信息,请参阅亚马逊 CloudWatch 用户指南中的使用亚马逊 CloudWatch警报。
警告
此 Amazon CloudWatch 警报无法检测到外部使用非对称KMS密钥的 Amazon KMS公钥。有关删除用于公钥加密的非对称KMS密钥(包括创建无法解密的密文)的特殊风险的详细信息,请参阅。Deleting asymmetric KMS keys
在此过程中,您将创建一个 CloudWatch 日志组指标筛选器,用于查找待删除异常的实例。然后,根据日志组指标创建 CloudWatch 警报。有关日志组指标筛选条件的信息,请参阅 Amazon Logs 用户指南中的使用筛选条件从 CloudWatch 日志事件创建指标。
-
创建用于解析 CloudTrail 日志的 CloudWatch 指标筛选器。
使用以下必填值,按照为日志组创建指标筛选条件中的说明进行操作。对于其他字段,请接受默认值并按要求提供名称。
Field Value 筛选条件模式 { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
指标值 1 -
根据您在步骤 1 中创建的指标筛选器创建 CloudWatch 警报。
使用以下必填值按照基于日志组指标筛选器创建 CloudWatch 警报中的说明进行操作。对于其他字段,请接受默认值并按要求提供名称。
Field Value 指标筛选条件 您在步骤 1 中创建的指标筛选条件名称。
阈值类型 静态 Conditions 每当 metric-name
大于/ 等于1
要警报的数据点 1
/1
缺失数据处理 将缺失的数据作为好处理 (未超出阈值)
完成此过程后,每当您的新 CloudWatch警报进入ALARM
状态时,您都会收到一条通知。如果您收到此警报的通知,则可能意味着仍需要预定删除的密KMS钥来加密或解密数据。在这种情况下,请取消对KMS密钥的删除并重新考虑您删除密钥的决定。