Monitorar chaves do KMS com o Amazon EventBridge

Você pode usar o Amazon EventBridge (antigo Amazon CloudWatch Events) para alertá-lo sobre os seguintes eventos importantes no ciclo de vida de suas chaves do KMS.

O AWS KMS integra-se ao Amazon EventBridge para notificar você sobre eventos importantes que afetam suas chaves do KMS. Cada evento é representado em JSON (JavaScript Object Notation) e contém o nome do evento, a data e a hora em que o evento ocorreu e a chave afetada. Você pode coletar esses eventos e estabelecer regras que os roteiam a um ou mais destinos, como funções do AWS Lambda, tópicos do Amazon SNS, filas do Amazon SQS, transmissões no Amazon Kinesis Data Streams no destinos integrados.

Para obter mais informações sobre como usar o EventBridge com outros tipos de eventos, incluindo aqueles emitidos pelo AWS CloudTrail quando ele registra uma solicitação de API de leitura/gravação, consulte o Guia do usuário do Amazon EventBridge.

Os tópicos a seguir descrevem os eventos do EventBridge que o AWS KMS gera.

Alternância de CMKs do KMS

O AWS KMS é compatível com rodízio automático e sob demanda do material de chave em chaves do KMS de criptografia simétrica.

Sempre que o AWS KMS alterna o material de chave, ele envia um evento KMS CMK Rotation ao EventBridge. O AWS KMS gera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}

Expiração do material de chave importada do KMS

Ao importar o material de chave em uma chave do KMS, é possível especificar opcionalmente em que hora o material de chave expira. Quando o material chave expira, o AWS KMS o exclui e envia um evento KMS Imported Key Material Expiration correspondente ao EventBridge. O AWS KMS gera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}

Exclusão da CMK do KMS

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. Terminado o período de espera, o AWS KMS exclui a chave do KMS e envia um evento KMS CMK Deletion ao EventBridge. O AWS KMS garante esse evento do EventBridge. Devido a novas tentativas, ele pode gerar vários eventos dentro de alguns segundos que excluem a mesma chave do KMS.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}