Memantau dan memulihkan penghapusan kunci AWS KMS yang dijadwalkan - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkaitInformasi tambahanLampiran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau dan memulihkan penghapusan kunci AWS KMS yang dijadwalkan

Mikesh Khanal dan Ramya Pulipaka, Amazon Web Services

Ringkasan

Di Amazon Web Services (AWS) Cloud, menghapus kunci AWS Key Management Services (AWS KMS) dapat mengakibatkan hilangnya data. Penghapusan menghapus materi kunci dan semua metadata yang terkait dengan kunci AWS KMS, dan itu tidak dapat diubah. Setelah kunci AWS KMS dihapus, Anda tidak dapat lagi mendekripsi data yang dienkripsi di bawah kunci AWS KMS tersebut, sehingga data tidak dapat dipulihkan.

Pola ini mengatur pemantauan, dengan pemberitahuan saat aplikasi atau pengguna menjadwalkan kunci AWS KMS untuk dihapus. Jika Anda menerima pemberitahuan, Anda mungkin ingin membatalkan penghapusan kunci AWS KMS dan mempertimbangkan kembali keputusan Anda untuk menghapusnya. Pola ini menggunakan runbook otomatisasi AWS Systems Manager AWSConfigRemediation-CancelKeyDeletionuntuk memfasilitasi pembatalan penghapusan kunci AWS KMS.

catatan

CloudFormation Template pola harus diterapkan di semua Wilayah AWS tempat Anda ingin memantau penghapusan kunci AWS KMS.

Prasyarat dan batasan

Prasyarat

  • Akun AWS yang aktif

  • Memahami layanan AWS berikut: 

    • Amazon EventBridge

    • AWS KMS

    • Amazon Simple Notification Service (Amazon SNS)

    • AWS Systems Manager

Batasan

  • Setiap penyesuaian solusi memerlukan pengetahuan tentang CloudFormation template AWS dan layanan AWS yang digunakan dalam pola ini.

  • Saat ini, solusi ini menggunakan bus acara default, dan dapat disesuaikan sesuai dengan persyaratan. Untuk informasi selengkapnya tentang bus acara khusus, lihat dokumentasi AWS.

Arsitektur

Tumpukan teknologi target

  • Amazon EventBridge

  • AWS KMS

  • Amazon SNS

  • AWS Systems Manager

  • Otomatisasi menggunakan yang berikut ini:

    • AWS Command Line Interface (AWS CLI) atau AWS SDK

    • AWS CloudFormation tumpukan

Arsitektur target

Diagram lima langkah proses pemantauan, peringatan, dan remediasi.

  1. Penghapusan kunci AWS KMS dijadwalkan.

  2. Acara penghapusan terjadwal dievaluasi oleh aturan. EventBridge

  3. EventBridge Aturan tersebut melibatkan topik Amazon SNS.

  4. EventBridge Aturan ini memulai otomatisasi Systems Manager dan runbook.

  5. Runbook membatalkan penghapusan.

Otomatisasi dan skala

CloudFormation Tumpukan menyebarkan semua sumber daya dan layanan yang diperlukan agar solusi ini berfungsi. Pola dapat dijalankan secara independen dalam satu akun atau dijalankan menggunakan AWS CloudFormation StackSets untuk beberapa akun independen atau organisasi.

aws cloudformation create-stack --stack-name  <stack-name>\
    --template-body file://<Full-Path-of-file> \
    --parameters ParameterKey=,ParameterValue= \
    --capabilities CAPABILITY_NAMED_IAM

Alat

Alat

  • AWS CloudFormation — AWS CloudFormation adalah layanan yang membantu Anda memodelkan dan menyiapkan sumber daya Amazon Web Services sehingga Anda dapat menghabiskan lebih sedikit waktu untuk mengelola sumber daya tersebut dan lebih banyak waktu untuk berfokus pada aplikasi yang berjalan di AWS. Anda dapat menggunakan CloudFormation template untuk membuat tumpukan di akun AWS di Wilayah AWS. Template menjelaskan semua sumber daya AWS yang Anda inginkan, serta menyediakan CloudFormation serta mengonfigurasi sumber daya tersebut untuk Anda.

  • AWS CLI — AWS Command Line Interface (AWS CLI) Command Line Interface (AWS CLI) adalah alat open source yang dapat Anda gunakan untuk berinteraksi dengan layanan AWS menggunakan perintah di shell baris perintah Anda.

  • Amazon EventBridge — Amazon EventBridge adalah layanan bus acara tanpa server yang menghubungkan aplikasi Anda dengan data dari berbagai sumber. EventBridge mengirimkan aliran data real-time dari aplikasi dan layanan AWS Anda sendiri, dan merutekan data tersebut ke target seperti AWS Lambda. EventBridge menyederhanakan proses membangun arsitektur berbasis peristiwa.

  • AWS KMS — AWS Key Management Service (AWS KMS) adalah layanan terkelola untuk membuat dan mengendalikan kunci AWS KMS, kunci enkripsi yang digunakan untuk mengenkripsi data Anda.

  • AWS SDKs — Alat AWS disertakan SDKs sehingga Anda dapat mengembangkan dan mengelola aplikasi di AWS dalam bahasa pemrograman pilihan Anda.

  • Amazon SNS — Amazon Simple Notification Service (Amazon SNS) adalah layanan terkelola yang menyediakan pengiriman pesan dari penerbit ke pelanggan (juga dikenal sebagai produsen dan konsumen). Penerbit berkomunikasi secara asinkron dengan pelanggan dengan mengirim pesan ke topik, yang merupakan titik akses logis dan saluran komunikasi. 

  • AWS Systems Manager — AWS Systems Manager adalah layanan AWS yang dapat Anda gunakan untuk melihat dan mengontrol infrastruktur di AWS. Menggunakan konsol Systems Manager, Anda dapat mengotomatiskan tugas operasional di seluruh sumber daya AWS Anda. Systems Manager membantu Anda menjaga keamanan dan kepatuhan dengan memindai instans terkelola Anda dan melaporkan (atau mengambil tindakan korektif) setiap pelanggaran kebijakan yang terdeteksi.  

Kode

  • alerting_ct_logs.yaml CloudFormation Template untuk proyek terlampir.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Instal dan konfigurasikan AWS CLI.

Instal AWS CLI versi 2. Kemudian konfigurasikan setelan kredensional keamanan untuk identitas, format output default, dan Wilayah AWS default yang digunakan AWS CLI untuk berinteraksi dengan AWS.

Identitas harus memiliki izin yang diperlukan untuk melakukan tugas.

Pengembang, insinyur keamanan
TugasDeskripsiKeterampilan yang dibutuhkan

Unduh CloudFormation template.

Unduh lampiran ke jalur lokal di komputer Anda dan ekstrak file alerting_ct_logs.yaml template.

Pengembang, insinyur keamanan

Menyebarkan template.

Di jendela terminal tempat profil akun AWS telah dikonfigurasi, jalankan perintah berikut.

aws cloudformation create-stack --stack-name <stack_name> \
--capabilities <Value>  \
--template-body file://<Full_Path> \
 --parameters ParameterKey=DestinationEmailAddress,ParameterValue=<Value> \
ParameterKey=SNSTopicName,ParameterValue=<Value> \
ParameterKey=EnableRemediation ,ParameterValue=<Value> \
ParameterKey=AutomationAssumeRole,ParameterValue=<Value>

Pada langkah berikutnya, masukkan nilai untuk parameter template.

Pengembang, insinyur keamanan

Lengkapi parameter template.

Masukkan nilai yang diperlukan untuk parameter.

  • DestinationEmailAddress— Alamat email untuk menerima peringatan saat kunci AWS KMS dijadwalkan untuk dihapus.

  • SNSTopicName— Nama topik Amazon SNS.

  • EnableRemediation— Pembatalan penghapusan kunci terjadwal menggunakan runbook Systems Manager. Nilai yang diizinkan adalah true dan false.

  • AutomationAssumeRole— Nama Sumber Daya Amazon (ARN) dari peran yang memungkinkan otomatisasi Systems Manager untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat bagian Izin IAM yang Diperlukan di dokumentasi. AWSConfigRemediation-CancelKeyDeletion 

  • Capabilities— CloudFormation Agar AWS dapat membuat tumpukan, Anda harus secara eksplisit mengakui bahwa template tumpukan Anda berisi kemampuan tertentu.

Pengembang, insinyur keamanan
TugasDeskripsiKeterampilan yang dibutuhkan

Konfirmasi langganan.

Periksa kotak masuk email Anda dan pilih Konfirmasi langganan di pesan email yang Anda terima dari Amazon SNS. Jendela browser web akan terbuka dan menampilkan konfirmasi berlangganan dan ID langganan Anda. 

Pengembang, insinyur keamanan

Sumber daya terkait

Referensi

Tutorial dan video

Lokakarya AWS

Informasi tambahan

Kode berikut memberikan contoh untuk memperluas solusi untuk memantau dan memberi tahu Anda tentang perubahan apa pun dalam layanan AWS apa pun. Contohnya termasuk pola yang telah ditentukan dan pola kustom. Untuk informasi selengkapnya, lihat Peristiwa dan pola acara di EventBridge.

EventPattern:
        source:
        - aws.kms
        detail-type:
        - AWS API Call via CloudTrail
        detail:
          eventSource:
          - kms.amazonaws.com
          eventName:
          - ScheduleKeyDeletion

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip