Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervise las claves de KMS con Amazon EventBridge

Puede usar Amazon EventBridge (anteriormente Amazon CloudWatch Events) para que le avise de los siguientes eventos importantes en el ciclo de vida de sus claves de KMS.

AWS KMS se integra con Amazon EventBridge para notificarle los eventos importantes que afectan a sus claves de KMS. Cada evento se representa en JSON (notación de JavaScript objetos) e incluye el nombre del evento, la fecha y hora en que se produjo el evento y las personas afectadas. Puede recopilar estos eventos y establecer reglas que los dirijan a uno o más destinos, como AWS Lambda funciones, temas de Amazon SNS, colas de Amazon SQS, transmisiones en Amazon Kinesis Data Streams o destinos integrados.

Para obtener más información sobre su uso EventBridge con otros tipos de eventos, incluidos los que se emiten AWS CloudTrail cuando se registra una solicitud de read/write API, consulta la Guía del EventBridge usuario de Amazon.

En los temas siguientes se describen los EventBridge eventos que se AWS KMS generan.

Rotación de CMK de KMS

AWS KMS admite la rotación automática y bajo demanda del material clave en las claves KMS de cifrado simétrico.

Cada vez que AWS KMS rota el material clave, envía un KMS CMK Rotation evento a. EventBridge AWS KMS genera este evento haciendo el mejor esfuerzo posible.

A continuación se muestra un ejemplo de este evento.

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}

Vencimiento del material de claves importado de KMS

Al importar material de claves en una clave KMS, también puede especificar una hora en la que vence el material de claves. Cuando el material clave caduque, lo AWS KMS elimina y envía el KMS Imported Key Material Expiration evento correspondiente a. EventBridge AWS KMS genera este evento haciendo todo lo posible.

A continuación se muestra un ejemplo de este evento.

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}

Eliminación de CMK de KMS

Al programar una eliminación de claves de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Una vez finalizado el período de espera, AWS KMS elimina la clave KMS y envía un KMS CMK Deletion evento a. EventBridge AWS KMS garantiza este EventBridge evento. Debido a los reintentos, puede generar varios eventos en unos segundos que eliminan la misma clave KMS.

A continuación se muestra un ejemplo de este evento.

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}