Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitora le chiavi KMS con Amazon EventBridge

Puoi utilizzare Amazon EventBridge (precedentemente Amazon CloudWatch Events) per avvisarti dei seguenti eventi importanti nel ciclo di vita delle tue chiavi KMS.

AWS KMS si integra con Amazon EventBridge per avvisarti di eventi importanti che influiscono sulle tue chiavi KMS. Ogni evento è rappresentato in JSON (JavaScriptObject Notation) e include il nome dell'evento, la data e l'ora in cui si è verificato l'evento e l'evento interessato. Puoi raccogliere questi eventi e stabilire regole che li indirizzino verso uno o più target come AWS Lambda funzioni, argomenti Amazon SNS, code Amazon SQS, flussi in Amazon Kinesis Data Streams o destinazioni integrate.

Per ulteriori informazioni sull'utilizzo EventBridge con altri tipi di eventi, inclusi quelli emessi AWS CloudTrail quando registra una richiesta read/write API, consulta la Amazon EventBridge User Guide.

I seguenti argomenti descrivono gli EventBridge eventi che AWS KMS genera.

Rotazione KMS CMK

AWS KMS supporta la rotazione automatica e su richiesta del materiale chiave nelle chiavi KMS con crittografia simmetrica.

Ogni volta che AWS KMS ruota il materiale chiave, invia un evento a. KMS CMK Rotation EventBridge AWS KMS genera questo evento con il massimo impegno.

Di seguito è illustrato un esempio di questo evento.

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}

Scadenza del materiale chiave importato di KMS

Quando importi il materiale chiave in una chiave KMS, è possibile specificare un'ora in cui tale materiale scade. Quando il materiale chiave scade, AWS KMS elimina il materiale chiave e invia un evento corrispondente KMS Imported Key Material Expiration a. EventBridge AWS KMS genera questo evento con la massima diligenza possibile.

Di seguito è illustrato un esempio di questo evento.

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}

Eliminazione di KMS CMK

Quando programmi l'eliminazione di una chiave KMS, AWS KMS applica un periodo di attesa prima di procedere all'eliminazione. Al termine del periodo di attesa, AWS KMS elimina la chiave KMS e invia un KMS CMK Deletion evento a. EventBridge AWS KMS garantisce questo EventBridge evento. A seguito dei tentativi, potrebbero generarsi più eventi in pochi secondi che eliminano la stessa chiave KMS.

Di seguito è illustrato un esempio di questo evento.

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}