Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente

É possível combinar os recursos do AWS CloudTrail, do Amazon CloudWatch Logs e do Amazon Simple Notification Service (Amazon SNS) para criar um alarme do Amazon CloudWatch que notifique quando alguém em sua conta tenta usar uma chave do KMS que esteja com exclusão pendente. Se você receber essa notificação, convém cancelar a exclusão da chave do KMS e reconsiderar sua decisão de excluí-la.

Os procedimentos a seguir criam um alarme que notifica você sempre que mensagem de erro “Key ARN is pending deletion” for gravada nos arquivos de log do CloudTrail. Essa mensagem de erro indica que uma pessoa ou aplicação tentou usar a chave do KMS em uma operação criptográfica. Como a notificação está vinculada à mensagem de erro, ela não é acionada quando você usa operações da API que são permitidas em chaves do KMS com exclusão pendente, como ListKeys, CancelKeyDeletion e PutKeyPolicy. Para ver uma lista das operações de API do AWS KMS que geram essa mensagem de erro, consulte Estados das chaves do AWS KMS.

O e-mail de notificação recebido não indicará a chave do KMS ou a operação criptográfica. Você pode encontrar essas informações em seu log do CloudTrail. Em vez disso, o e-mail informa que o estado do alarme mudou de OK para Alarme. Para obter mais informações sobre alarmes e alterações de estado do CloudWatch, consulte Usar alarmes do Amazon CloudWatch no Guia do usuário do Amazon CloudWatch.

Atenção

Esse alarme do Amazon CloudWatch não pode detectar o uso da chave pública de uma chave do KMS assimétrica fora do AWS KMS. Para obter detalhes sobre os riscos especiais de exclusão de chaves do KMS assimétricas usadas para a criptografia de chave pública, incluindo a criação de textos cifrados que não podem ser descriptografados, consulte Deleting asymmetric KMS keys.

Neste procedimento, você cria um filtro de métrica de grupo de logs do CloudWatch que encontra instâncias da exceção de exclusão pendente. Em seguida, crie um alarme do CloudWatch com base na métrica do grupo de logs. Para obter mais informações sobre filtros de métrica para grupo de logs, consulte Criar métricas de eventos de logs usando filtros no Guia do usuário do Amazon CloudWatch Logs.

  1. Crie um filtro de métricas do CloudWatch que analise os logs do CloudTrail.

    Siga as instruções em Criar um filtro de métrica para um grupo de logs usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.

    Campo Valor
    Padrão de filtro

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}
    Valor da métrica 1

  2. Crie um alarme do CloudWatch com base no filtro de métrica que você criou na Etapa 1.

    Siga as instruções em Create a CloudWatch alarm based on a log group-metric filter usando os valores obrigatórios a seguir. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.

    Campo Valor
    Filtro de métrica

    O nome do filtro de métrica que você criou na Etapa 1.
    Tipo de limite Estático
    Condições Sempre que o nome da métrica for maior que ou igual a 1
    Pontos de dados para o alarme 1 de 1
    Tratamento de dados ausentes Treat missing data as good (not breaching threshold) (Tratar dados ausentes como bons [sem violar o limite)

Após concluir esse procedimento, você receberá uma notificação sempre que seu novo alarme do CloudWatch entrar no estado ALARM. Se você receber uma notificação desse alarme, talvez isso signifique que uma chave do KMS programada para exclusão ainda seja necessária para criptografar ou descriptografar dados. Nesse caso, cancele a exclusão da chave do KMS e reconsidere sua decisão de excluí-la.