Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Bewährte Methoden zur Erkennung und Überwachung von AWS KMS
<a name="monitoring"></a>

Erkennung und Überwachung sind ein wichtiger Bestandteil des Verständnisses der Verfügbarkeit, des Zustands und der Verwendung Ihrer AWS Key Management Service (AWS KMS) -Schlüssel. Die Überwachung trägt dazu bei, die Sicherheit, Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS Lösungen aufrechtzuerhalten. AWS bietet mehrere Tools zur Überwachung Ihrer KMS-Schlüssel und AWS KMS -Vorgänge. In diesem Abschnitt wird beschrieben, wie Sie diese Tools konfigurieren und verwenden, um einen besseren Einblick in Ihre Umgebung zu erhalten und die Verwendung Ihrer KMS-Schlüssel zu überwachen.

**Topics**
+ [Überwachung von AWS KMS Vorgängen mit AWS CloudTrail](#monitoring-cloudtrail)
+ [Überwachung des Zugriffs auf KMS-Schlüssel mit IAM Access Analyzer](#monitoring-access-analyzer)
+ [Überwachung der Verschlüsselungseinstellungen anderer AWS-Services mit AWS Config](#monitoring-config)
+ [Überwachung von KMS-Schlüsseln mit CloudWatch Amazon-Alarmen](#monitoring-alarms)
+ [Automatisieren von Antworten mit Amazon EventBridge](#monitoring-eventbridge)

## Überwachung von AWS KMS Vorgängen mit AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS KMS ist in einen Dienst integriert [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), der alle Anrufe AWS KMS von Benutzern, Rollen und anderen Personen aufzeichnen kann AWS-Services. CloudTrail erfasst alle API-Aufrufe AWS KMS als Ereignisse, einschließlich Aufrufe von der AWS KMS Konsole AWS KMS APIs, AWS CloudFormation,, AWS Command Line Interface (AWS CLI) und AWS -Tools für PowerShell.

CloudTrail protokolliert alle AWS KMS Operationen, einschließlich schreibgeschützter Operationen wie `ListAliases` und. `GetKeyRotationStatus` Außerdem werden Vorgänge protokolliert, die KMS-Schlüssel verwalten, z. B. `CreateKey` und und`PutKeyPolicy, and cryptographic operations, such as GenerateDataKey`. `Decrypt` Außerdem werden interne Vorgänge protokolliert, AWS KMS die für Sie erforderlich sind`DeleteExpiredKeyMaterial`, z. B.`DeleteKey`,`SynchronizeMultiRegionKey`, und`RotateKey`.

CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie ihn erstellen. Standardmäßig bietet der [Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignis-API-Aktivitäten der letzten 90 Tage in einem. AWS-Region Um die Nutzung Ihrer KMS-Schlüssel nach Ablauf der 90 Tage zu überwachen oder zu überprüfen, empfehlen wir, [einen CloudTrail Trail für Sie zu erstellen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). AWS-Konto Wenn Sie eine Organisation in erstellt haben AWS Organizations, können Sie [einen Organisationspfad oder einen [Ereignisdatenspeicher](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) erstellen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html), der Ereignisse für alle Mitglieder AWS-Konten dieser Organisation protokolliert.

Nachdem Sie einen Trail für Ihr Konto oder Ihre Organisation eingerichtet haben, können Sie andere verwenden, AWS-Services um Ereignisse zu speichern, zu analysieren und automatisch auf Ereignisse zu reagieren, die im Trail protokolliert werden. Sie können z. B. Folgendes tun:
+ Sie können CloudWatch Amazon-Alarme einrichten, die Sie über bestimmte Ereignisse im Trail informieren. Weitere Informationen finden Sie unter [Überwachung von KMS-Schlüsseln mit CloudWatch Amazon-Alarmen](#monitoring-alarms) in diesem Handbuch.
+ Sie können EventBridge Amazon-Regeln erstellen, die automatisch eine Aktion ausführen, wenn ein Ereignis im Trail eintritt. Weitere Informationen finden Sie unter [Automatisieren von Antworten mit Amazon EventBridge](#monitoring-eventbridge) in diesem Leitfaden.
+ Sie können Amazon Security Lake verwenden, um Protokolle von mehreren zu sammeln und zu speichern AWS-Services, darunter CloudTrail. Weitere Informationen finden Sie unter [Sammeln von Daten aus AWS-Services Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) in der Amazon Security Lake-Dokumentation.
+ Um Ihre Analyse der betrieblichen Aktivitäten zu verbessern, können Sie CloudTrail Protokolle mit Amazon Athena abfragen. Weitere Informationen finden Sie unter [AWS CloudTrail Abfrageprotokolle](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html) in der Amazon Athena Athena-Dokumentation.

Weitere Informationen zur Überwachung von AWS KMS Vorgängen mit CloudTrail finden Sie im Folgenden:
+ [AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)
+ [Beispiele für AWS KMS Protokolleinträge](https://docs.aws.amazon.com/kms/latest/developerguide/understanding-kms-entries.html)
+ [Überwachen Sie KMS-Schlüssel mit Amazon EventBridge](https://docs.aws.amazon.com/kms/latest/developerguide/kms-events.html)
+ [CloudTrail Integration mit Amazon EventBridge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-eventbridge)

## Überwachung des Zugriffs auf KMS-Schlüssel mit IAM Access Analyzer
<a name="monitoring-access-analyzer"></a>

[AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) hilft Ihnen dabei, die Ressourcen in Ihrer Organisation und die Konten (wie KMS-Schlüssel) zu identifizieren, die mit einer externen Entität gemeinsam genutzt werden. Dieser Service kann Ihnen helfen, unbeabsichtigte oder zu breite Zugriffe auf Ihre Ressourcen und Daten zu identifizieren, die ein Sicherheitsrisiko darstellen. IAM Access Analyzer identifiziert Ressourcen, die gemeinsam mit externen Prinzipalen genutzt werden. Dabei werden die ressourcenbasierten Richtlinien in Ihrer Umgebung anhand von logischen Argumenten analysiert. AWS 

Mit IAM Access Analyzer können Sie ermitteln, welche externen Entitäten Zugriff auf Ihre KMS-Schlüssel haben. Wenn Sie IAM Access Analyzer aktivieren, erstellen Sie einen Analyzer für eine gesamte Organisation oder für ein Zielkonto. Die Organisation oder das Konto, das Sie auswählen, wird als *Vertrauenszone* für den Analyzer bezeichnet. Der Analyzer überwacht die unterstützten Ressourcen innerhalb der Vertrauenszone. Jeder Zugriff auf Ressourcen durch Prinzipale innerhalb der Vertrauenszone gilt als vertrauenswürdig.

Bei KMS-Schlüsseln analysiert IAM Access Analyzer die [wichtigsten Richtlinien und Berechtigungen, die auf einen Schlüssel angewendet wurden](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html#access-analyzer-kms-key). Es wird festgestellt, ob eine Schlüsselrichtlinie oder ein Zuschuss einer externen Entität den Zugriff auf den Schlüssel ermöglicht. Verwenden Sie IAM Access Analyzer, um festzustellen, ob externe Entitäten Zugriff auf Ihre KMS-Schlüssel haben, und überprüfen Sie dann, ob diese Entitäten Zugriff haben sollten.

Weitere Informationen zur Verwendung von IAM Access Analyzer zur Überwachung des KMS-Schlüsselzugriffs finden Sie im Folgenden:
+ [Verwenden von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [IAM Access Analyzer-Ressourcentypen für externen Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html)
+ [IAM Access Analyzer-Ressourcentypen: AWS KMS keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html#access-analyzer-kms-key)
+ [Ergebnisse für externen und ungenutzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html)

## Überwachung der Verschlüsselungseinstellungen anderer AWS-Services mit AWS Config
<a name="monitoring-config"></a>

[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)bietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem AWS-Konto. Sie können AWS Config damit überprüfen, ob AWS-Services die Verschlüsselungseinstellungen für diejenigen, die Ihre KMS-Schlüssel verwenden, ordnungsgemäß konfiguriert sind. Sie können beispielsweise die AWS Config Regel für [verschlüsselte Volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) verwenden, um zu überprüfen, ob Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes verschlüsselt sind.

AWS Config umfasst *verwaltete Regeln*, mit denen Sie schnell Regeln auswählen können, anhand derer Sie Ihre Ressourcen bewerten können. Erkundigen Sie AWS-Regionen sich AWS Config in Ihrem, ob die verwalteten Regeln, die Sie benötigen, in dieser Region unterstützt werden. Zu den verfügbaren verwalteten Regeln gehören Prüfungen für die Konfiguration von Amazon Relational Database Service (Amazon RDS) -Snapshots, CloudTrail Trail-Verschlüsselung, Standardverschlüsselung für Amazon Simple Storage Service (Amazon S3) -Buckets, Amazon DynamoDB-Tabellenverschlüsselung und mehr.

Sie können auch *benutzerdefinierte Regeln* erstellen und Ihre Geschäftslogik anwenden, um festzustellen, ob Ihre Ressourcen Ihren Anforderungen entsprechen. Open-Source-Code für viele verwaltete Regeln ist im [AWS Config Regel-Repository](https://github.com/awslabs/aws-config-rules) unter verfügbar GitHub. Diese können ein nützlicher Ausgangspunkt für die Entwicklung eigener benutzerdefinierter Regeln sein.

Wenn eine Ressource einer Regel nicht entspricht, können Sie entsprechende Aktionen einleiten. AWS Config umfasst Behebungsmaßnahmen, die die [AWS Systems Manager Automatisierung](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) durchführt. Wenn Sie beispielsweise die Regel angewendet haben und die [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)Regel ein `NON_COMPLIANT` Ergebnis zurückgibt, AWS Config können Sie ein Automatisierungsdokument initiieren, das das Problem behebt, indem die CloudTrail Protokolle für Sie verschlüsselt werden.

AWS Config ermöglicht es Ihnen, proaktiv die Einhaltung der AWS Config Regeln zu überprüfen, bevor Sie Ressourcen bereitstellen. Durch die Anwendung von Regeln im [proaktiven Modus](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes) können Sie die Konfigurationen Ihrer Cloud-Ressourcen bewerten, bevor sie erstellt oder aktualisiert werden. Wenn Sie Regeln im proaktiven Modus als Teil Ihrer Bereitstellungspipeline anwenden, können Sie Ressourcenkonfigurationen testen, bevor Sie Ihre Ressourcen bereitstellen.

Sie können AWS Config Regeln auch als Kontrollen implementieren [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). Security Hub CSPM bietet Sicherheitsstandards, die Sie auf Ihre anwenden können. AWS-Konten Diese Standards helfen Ihnen dabei, Ihre Umgebung anhand empfohlener Verfahren zu bewerten. Der Standard [AWS Basic Security Best Practices](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) umfasst Kontrollen innerhalb der [Kategorie Protect Control](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html#control-category-protect), mit denen überprüft werden kann, ob die Verschlüsselung im Ruhezustand konfiguriert ist und ob die KMS-Schlüsselrichtlinien den empfohlenen Methoden entsprechen.

Weitere Informationen AWS Config zur Überwachung der Verschlüsselungseinstellungen finden Sie unter: AWS-Services
+ [Erste Schritte mit AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)
+ [AWS Config verwaltete Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Config benutzerdefinierte Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)
+ [Behebung nicht konformer Ressourcen mit AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## Überwachung von KMS-Schlüsseln mit CloudWatch Amazon-Alarmen
<a name="monitoring-alarms"></a>

[Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) überwacht Ihre AWS Ressourcen und die Anwendungen, auf denen Sie laufen, AWS in Echtzeit. Sie können CloudWatch damit *Metriken* sammeln und verfolgen. Dabei handelt es sich um Variablen, die Sie messen können.

Der Ablauf von importiertem Schlüsselmaterial oder das Löschen eines Schlüssels sind potenziell katastrophale Ereignisse, wenn sie unbeabsichtigt oder nicht ordnungsgemäß geplant werden. Wir empfehlen, [CloudWatch Alarme](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html) so zu konfigurieren, dass Sie vor diesen Ereignissen gewarnt werden, bevor sie eintreten. Wir empfehlen außerdem, AWS Identity and Access Management (IAM-) Richtlinien oder AWS Organizations [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) zu konfigurieren, um das Löschen wichtiger Schlüssel zu verhindern.

CloudWatch Mithilfe von Alarmen können Sie Korrekturmaßnahmen ergreifen, z. B. das Löschen von Schlüsseln rückgängig machen, oder Abhilfemaßnahmen ergreifen, z. B. gelöschtes oder abgelaufenes Schlüsselmaterial erneut importieren.

## Automatisieren von Antworten mit Amazon EventBridge
<a name="monitoring-eventbridge"></a>

Sie können [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) auch verwenden EventBridge, um Sie über wichtige Ereignisse zu informieren, die sich auf Ihre KMS-Schlüssel auswirken. EventBridge ist ein Programm AWS-Service , das nahezu in Echtzeit einen Stream von Systemereignissen liefert, die Änderungen an AWS Ressourcen beschreiben. EventBridgeempfängt automatisch Ereignisse von CloudTrail und Security Hub CSPM. In können Sie Regeln erstellen EventBridge, die auf Ereignisse reagieren, die von aufgezeichnet wurden. CloudTrail

AWS KMS Zu den Ereignissen gehören die folgenden:
+ Das Schlüsselmaterial in einem KMS-Schlüssel wurde automatisch rotiert
+ Das importierte Schlüsselmaterial in einem KMS-Schlüssel ist abgelaufen
+ Ein KMS-Schlüssel, dessen Löschung geplant war, wurde gelöscht

Diese Ereignisse können zusätzliche Aktionen in Ihrem auslösen AWS-Konto. Diese Aktionen unterscheiden sich von den im vorherigen Abschnitt beschriebenen CloudWatch Alarmen, da auf sie erst reagiert werden kann, nachdem das Ereignis eingetreten ist. Beispielsweise möchten Sie möglicherweise Ressourcen löschen, die mit einem bestimmten Schlüssel verbunden sind, nachdem dieser Schlüssel gelöscht wurde, oder Sie möchten ein Compliance- oder Auditteam darüber informieren, dass der Schlüssel gelöscht wurde.

Sie können auch nach jedem anderen API-Ereignis filtern, das angemeldet ist, CloudTrail indem Sie EventBridge Das bedeutet, dass Sie nach wichtigen richtlinienbezogenen API-Aktionen filtern können, wenn sie von besonderer Bedeutung sind. Sie könnten beispielsweise nach der EventBridge `PutKeyPolicy` API-Aktion filtern. Allgemeiner gesagt können Sie nach jeder API-Aktion filtern, die mit automatisierten Antworten beginnt `Disable*` oder `Delete*` diese einleitet.

Mit EventBridge dieser Methode können Sie unerwartete oder ausgewählte Ereignisse überwachen (was eine detektive Kontrolle ist), untersuchen und darauf reagieren (bei denen es sich um reaktive Kontrollen handelt). Sie können beispielsweise Sicherheitsteams benachrichtigen und bestimmte Maßnahmen ergreifen, wenn ein IAM-Benutzer oder eine IAM-Rolle erstellt wird, wenn ein KMS-Schlüssel erstellt wird oder wenn eine wichtige Richtlinie geändert wird. Sie können eine EventBridge Ereignisregel erstellen, die die von Ihnen angegebenen API-Aktionen filtert, und dann Ziele mit der Regel verknüpfen. Zu den Beispielzielen gehören AWS Lambda Funktionen, Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen, Amazon Simple Queue Service (Amazon SQS) -Warteschlangen und mehr. Weitere Informationen zum Senden von Ereignissen an Ziele finden Sie unter [Event-Bus-Ziele in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html).

Weitere Informationen zur Überwachung AWS KMS EventBridge und Automatisierung von Antworten finden Sie EventBridge in der AWS KMS Dokumentation unter [KMS-Schlüssel mit Amazon überwachen](https://docs.aws.amazon.com/kms/latest/developerguide/kms-events.html).