As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente Você pode combinar os recursos do AWS CloudTrail Amazon CloudWatch Logs e do Amazon Simple Notification Service (Amazon SNS) para criar um alarme da CloudWatch Amazon que notifica você quando alguém em sua conta tenta usar uma chave KMS que está pendente de exclusão. Se você receber essa notificação, convém cancelar a exclusão da chave do KMS e reconsiderar sua decisão de excluí-la. Os procedimentos a seguir criam um alarme que notifica você sempre que a mensagem de erro `Key ARN is pending deletion` "" for gravada em seus arquivos de CloudTrail log. Essa mensagem de erro indica que uma pessoa ou aplicação tentou usar a chave do KMS em uma [operação criptográfica](kms-cryptography.md#cryptographic-operations). Como a notificação está vinculada à mensagem de erro, ela não é acionada quando você usa operações da API que são permitidas em chaves do KMS com exclusão pendente, como `ListKeys`, `CancelKeyDeletion` e `PutKeyPolicy`. Para ver uma lista das operações de AWS KMS API que retornam essa mensagem de erro, consulte[Principais estados das AWS KMS chaves](key-state.md). O e-mail de notificação recebido não indicará a chave do KMS ou a operação criptográfica. É possível encontrar essas informações em [seu log do CloudTrail](logging-using-cloudtrail.md). Em vez disso, o e-mail informa que o estado do alarme mudou de **OK** para **Alarme**. Para obter mais informações sobre CloudWatch alarmes e mudanças de estado, consulte [Usando CloudWatch alarmes da Amazon no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *do usuário da Amazon*. **Atenção** Esse CloudWatch alarme da Amazon não pode detectar o uso da chave pública de uma chave KMS assimétrica fora do. AWS KMS Para obter detalhes sobre os riscos especiais de exclusão de chaves do KMS assimétricas usadas para a criptografia de chave pública, incluindo a criação de textos cifrados que não podem ser descriptografados, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks). Neste procedimento, você cria um filtro métrico de grupo de CloudWatch registros que localiza instâncias da exceção de exclusão pendente. Em seguida, você cria um CloudWatch alarme com base na métrica do grupo de registros. Para obter informações sobre filtros métricos de grupos de registros, consulte [Criação de métricas a partir de eventos de log usando filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) no Guia do usuário do Amazon CloudWatch Logs. 1. Crie um filtro CloudWatch métrico que analise os CloudTrail registros. Siga as instruções em [Criar um filtro de métrica para um grupo de logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) 1. Crie um CloudWatch alarme com base no filtro métrico que você criou na Etapa 1. Siga as instruções em [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) Depois de concluir esse procedimento, você receberá uma notificação sempre que o novo CloudWatch alarme entrar no `ALARM` estado. Se você receber uma notificação desse alarme, talvez isso signifique que uma chave do KMS programada para exclusão ainda seja necessária para criptografar ou descriptografar dados. Nesse caso, [cancele a exclusão da chave do KMS](deleting-keys-scheduling-key-deletion.md) e reconsidere sua decisão de excluí-la.