本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon 进行监控 EventBridge
您可以使用亚马逊 EventBridge (前身为 Amazon CloudWatch Events)提醒您注意您的 KMS 密钥生命周期中的以下重要事件。
-
KMS 密钥中的密钥材料已自动轮换。
-
KMS 密钥中已导入的密钥材料到期。
-
计划删除的 KMS 密钥已被删除。
Amazon KMS与 Amazon 集成 EventBridge ,可在影响您的 KMS 密钥的重要事件时通知您。每个事件都以 JSON(JavaScript对象表示法)
有关 EventBridge 与其他类型的事件(包括记录读/写 API 请求Amazon CloudTrail时发出的事件)一起使用的更多信息,请参阅 A ma EventBridge zon 用户指南。
以下主题描述了Amazon KMS生成 EventBridge 的事件。
KMS CMK 轮换
Amazon KMS 支持自动轮换对称加密 KMS 密钥中的密钥材料。每年进行密钥材料轮换对于客户托管密钥是可选项。Amazon 托管式密钥 的密钥材料每年自动轮换一次。
每当Amazon KMS轮换密钥材料时,它都会向发送一个KMS CMK Rotation
事件。 EventBridge Amazon KMS尽力生成此事件。
以下是该事件的示例。
{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
KMS 导入的密钥材料过期
当您将密钥材料导入 KMS 密钥中时,您可以选择性地指定密钥材料的过期时间。当密钥材料过期时,Amazon KMS会删除密钥材料并将相应KMS Imported Key Material Expiration
的事件发送到 EventBridge。 Amazon KMS尽力生成此事件。
以下是该事件的示例。
{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
KMS CMK 删除
当您为 KMS 密钥计划删除时,Amazon KMS 会强制执行一段等待期,然后再删除 KMS 密钥。等待期结束后,Amazon KMS删除 KMS 密钥并向发送KMS CMK Deletion
事件 EventBridge。 Amazon KMS保证此 EventBridge 事件。由于重试,它可能会在几秒钟内生成多个删除同一 KMS 密钥的事件。
以下是该事件的示例。
{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }