Dapatkan notifikasi Amazon SNS saat status kunci kunci AWS KMS berubah

Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Informasi tambahan

Shubham Harsora, Aromal Raj Jayarajan, dan Navdeep Pareek, Amazon Web Services

Data dan metadata yang terkait dengan kunci AWS Key Management Service (AWS KMS) hilang saat kunci tersebut dihapus. Penghapusan tidak dapat diubah dan Anda tidak dapat memulihkan data yang hilang (termasuk data terenkripsi). Anda dapat mencegah kehilangan data dengan menyiapkan sistem notifikasi untuk memberi tahu Anda tentang perubahan status pada status kunci AWS KMS Anda.

Pola ini menunjukkan kepada Anda cara memantau perubahan status ke kunci AWS KMS dengan menggunakan Amazon dan EventBridge Amazon Simple Notification Service (Amazon SNS) untuk mengeluarkan notifikasi otomatis setiap kali status kunci AWS KMS berubah menjadi atau. Disabled PendingDeletion Misalnya, jika pengguna mencoba menonaktifkan atau menghapus kunci AWS KMS, Anda akan menerima pemberitahuan email dengan detail tentang upaya perubahan status. Anda juga dapat menggunakan pola ini untuk menjadwalkan penghapusan kunci AWS KMS.

Prasyarat

Akun AWS aktif dengan pengguna AWS Identity and Access Management (IAM)
Kunci AWS KMS

Tumpukan teknologi

Amazon EventBridge
AWS Key Management Service (AWS KMS)
Amazon Simple Notification Service (Amazon SNS)

Arsitektur target

Diagram berikut menunjukkan arsitektur untuk membangun proses pemantauan dan pemberitahuan otomatis untuk mendeteksi perubahan apa pun pada status kunci AWS KMS.

Diagram menunjukkan alur kerja berikut:

Pengguna menonaktifkan atau menjadwalkan penghapusan kunci AWS KMS.
EventBridge Aturan mengevaluasi jadwal Disabled atau PendingDeletion acara.
EventBridge Aturan tersebut memanggil topik Amazon SNS.
Amazon SNS mengirimkan pesan notifikasi email kepada pengguna.

catatan

Anda dapat menyesuaikan pesan email untuk memenuhi kebutuhan organisasi Anda. Sebaiknya sertakan informasi tentang entitas tempat kunci AWS KMS digunakan. Ini dapat membantu pengguna memahami dampak penghapusan kunci AWS KMS. Anda juga dapat menjadwalkan pemberitahuan email pengingat yang dikirim satu atau dua hari sebelum kunci AWS KMS dihapus.

Otomatisasi dan skala

CloudFormation Tumpukan AWS menyebarkan semua sumber daya dan layanan yang diperlukan agar pola ini berfungsi. Anda dapat menerapkan pola secara independen dalam satu akun, atau dengan menggunakan AWS CloudFormation StackSets untuk beberapa akun independen atau unit organisasi di AWS Organizations.

AWS CloudFormation membantu Anda menyiapkan sumber daya AWS, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya di seluruh akun AWS dan Wilayah AWS. CloudFormation Template untuk pola ini menjelaskan semua sumber daya AWS yang Anda inginkan, serta menyediakan CloudFormation serta mengonfigurasi sumber daya tersebut untuk Anda.
Amazon EventBridge adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. EventBridge mengirimkan aliran data real-time dari aplikasi dan layanan AWS Anda sendiri, dan merutekan data tersebut ke target seperti AWS Lambda. EventBridge menyederhanakan proses membangun arsitektur berbasis peristiwa.
AWS Key Management Service (AWS KMS) membantu Anda membuat dan mengontrol kunci kriptografi untuk membantu melindungi data Anda.
Amazon Simple Notification Service (Amazon SNS) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.

Kode

Kode untuk pola ini tersedia di kunci GitHub Monitor AWS KMS nonaktifkan dan repositori penghapusan terjadwal.

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Kloning repositori.	Kloning kunci GitHub Monitor AWS KMS menonaktifkan dan menjadwalkan repositori penghapusan ke mesin lokal Anda dengan menjalankan perintah berikut: `git clone https://github.com/aws-samples/aws-kms-deletion-notification`	Administrator AWS, arsitek Cloud
Perbarui parameter template.	Di editor kode, buka `Alerting-KMS-Events.yaml` CloudFormation template yang Anda kloning dari repositori, lalu perbarui parameter berikut: Untuk`DestinationEmailAddress`, masukkan alamat email aktif yang Anda rencanakan untuk digunakan untuk menerima notifikasi SNS. Untuk`SNSTopicName`, masukkan nama untuk topik SNS Anda.	Administrator AWS, arsitek Cloud
Menyebarkan CloudFormation template.	Masuk ke AWS Management Console dan buka CloudFormation konsol. Di panel navigasi, pilih Buat tumpukan, lalu pilih Dengan sumber daya baru (standar). Pada halaman Identifikasi sumber daya, pilih Berikutnya. Pada halaman Tentukan templat, untuk Sumber templat, pilih Unggah file templat. Pilih Pilih file, pilih `Alerting-KMS-Events.yaml` file dari GitHub repositori kloning Anda, lalu pilih Berikutnya. Untuk nama Stack, masukkan nama tumpukan Anda. Pilih Kirim.	Administrator AWS, arsitek Cloud

Kloning repositori.

Kloning kunci GitHub Monitor AWS KMS menonaktifkan dan menjadwalkan repositori penghapusan ke mesin lokal Anda dengan menjalankan perintah berikut:

git clone https://github.com/aws-samples/aws-kms-deletion-notification

Administrator AWS, arsitek Cloud

Perbarui parameter template.

Di editor kode, buka Alerting-KMS-Events.yaml CloudFormation template yang Anda kloning dari repositori, lalu perbarui parameter berikut:

UntukDestinationEmailAddress, masukkan alamat email aktif yang Anda rencanakan untuk digunakan untuk menerima notifikasi SNS.
UntukSNSTopicName, masukkan nama untuk topik SNS Anda.

Administrator AWS, arsitek Cloud

Menyebarkan CloudFormation template.

Masuk ke AWS Management Console dan buka CloudFormation konsol.
Di panel navigasi, pilih Buat tumpukan, lalu pilih Dengan sumber daya baru (standar).
Pada halaman Identifikasi sumber daya, pilih Berikutnya.
Pada halaman Tentukan templat, untuk Sumber templat, pilih Unggah file templat.
Pilih Pilih file, pilih Alerting-KMS-Events.yaml file dari GitHub repositori kloning Anda, lalu pilih Berikutnya.
Untuk nama Stack, masukkan nama tumpukan Anda.
Pilih Kirim.

Administrator AWS, arsitek Cloud

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Konfirmasikan email berlangganan.	Setelah CloudFormation template berhasil digunakan, Amazon SNS mengirimkan pesan konfirmasi berlangganan ke alamat email yang Anda berikan di CloudFormation template. Untuk menerima pemberitahuan, Anda harus mengonfirmasi langganan email ini. Untuk informasi selengkapnya, lihat Konfirmasi langganan di Panduan Pengembang Amazon SNS.	Administrator AWS, arsitek Cloud

Tugas

Deskripsi

Keterampilan yang dibutuhkan

Konfirmasikan email berlangganan.

Setelah CloudFormation template berhasil digunakan, Amazon SNS mengirimkan pesan konfirmasi berlangganan ke alamat email yang Anda berikan di CloudFormation template.

Untuk menerima pemberitahuan, Anda harus mengonfirmasi langganan email ini. Untuk informasi selengkapnya, lihat Konfirmasi langganan di Panduan Pengembang Amazon SNS.

Administrator AWS, arsitek Cloud

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Nonaktifkan kunci AWS KMS.	Masuk ke AWS Management Console dan buka konsol AWS KMS. Untuk mengubah Wilayah, pilih nama Wilayah yang ditampilkan saat ini, lalu pilih Wilayah yang ingin Anda alihkan. Di panel navigasi, pilih Kunci yang dikelola pelanggan. Pilih kotak centang untuk kunci AWS KMS yang ingin Anda aktifkan atau nonaktifkan. Untuk menonaktifkan kunci AWS KMS, pilih Tindakan kunci, lalu pilih Nonaktifkan.	Administrator AWS
Validasi langganan.	Konfirmasikan bahwa Anda menerima email notifikasi Amazon SNS.	Administrator AWS

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Hapus CloudFormation tumpukan.	Masuk ke AWS Management Console dan buka CloudFormation konsol. Di panel navigasi, pilih Stacks (Tumpukan). Pilih tumpukan yang Anda buat sebelumnya, lalu pilih Hapus.	Administrator AWS

AWS CloudFormation (dokumentasi AWS)
Membuat tumpukan di CloudFormation konsol AWS ( CloudFormation dokumentasi AWS)
Membangun arsitektur berbasis peristiwa di AWS (dokumentasi AWS Workshop Studio)
Praktik Terbaik AWS Key Management Service (AWS Whitepaper)
Praktik terbaik keamanan untuk AWS Key Management Service (Panduan Pengembang AWS KMS)

Amazon SNS menyediakan enkripsi dalam transit secara default. Untuk menyelaraskan dengan praktik terbaik keamanan, Anda juga dapat mengaktifkan enkripsi sisi server untuk Amazon SNS dengan menggunakan kunci terkelola pelanggan AWS KMS.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memperluas VRFs ke AWS menggunakan Transit Gateway Connect

Pertahankan ruang IP yang dapat dirutekan dalam desain VPC multi-akun untuk subnet non-beban kerja