Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillez les clés KMS avec Amazon EventBridge
Vous pouvez utiliser Amazon EventBridge (anciennement Amazon CloudWatch Events) pour vous avertir des événements importants suivants survenus dans le cycle de vie de vos clés KMS.
-
Le contenu clé d'une clé KMS a fait l'objet d'une rotation automatique ou à la demande.
-
Le matériel clé importé dans la clé KMS expirée
-
Une clé KMS dont la suppression avait été planifiée a été supprimée.
AWS KMS s'intègre EventBridge à Amazon pour vous informer des événements importants qui affectent vos clés KMS. Chaque événement est représenté au format JSON (JavaScriptObject Notation)
Pour plus d'informations sur l'utilisation EventBridge avec d'autres types d'événements, notamment ceux émis AWS CloudTrail lors de l'enregistrement d'une demande d' read/write API, consultez le guide de EventBridge l'utilisateur Amazon.
Les rubriques suivantes décrivent les EventBridge événements AWS KMS générés.
Rotation de clé CMK dans KMS
AWS KMS prend en charge la rotation automatique et à la demande du contenu clé dans les clés KMS de chiffrement symétriques.
Chaque fois qu'il AWS KMS fait pivoter un matériau clé, il envoie un KMS CMK Rotation événement à EventBridge. AWS KMS génère cet événement dans la mesure du possible.
Voici un exemple de cet événement.
{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2025-05-23T03:11:54Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab", "key-origin": "AWS_KMS", "rotation-type": "ON_DEMAND", "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0", "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068" } }
Expiration d'éléments de clé importés KMS
Lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez éventuellement spécifier une heure à laquelle les éléments de clé doivent expirer. Lorsque le contenu clé expire, le AWS KMS supprime et envoie un KMS Imported Key Material Expiration événement correspondant à EventBridge. AWS KMS génère cet événement dans la mesure du possible.
Voici un exemple de cet événement.
{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2025-05-23T03:11:54Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab", "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0" } }
Suppression d'une clé CMK dans KMS
Lorsque vous planifiez la suppression d'une clé KMS, AWS KMS
applique une période d'attente avant de supprimer la clé KMS. Une fois la période d'attente terminée, AWS KMS supprime la clé KMS et envoie un KMS CMK Deletion événement à EventBridge. AWS KMS garantit cet EventBridge événement. En raison de nouvelles tentatives, il peut générer plusieurs événements en quelques secondes qui suppriment la même clé KMS.
Voici un exemple de cet événement.
{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2025-05-23T03:11:54Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }
