As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitore as chaves KMS com a Amazon EventBridge

Você pode usar a Amazon EventBridge (antiga Amazon CloudWatch Events) para alertá-lo sobre os seguintes eventos importantes no ciclo de vida de suas chaves KMS.

AWS KMS se integra à Amazon EventBridge para notificá-lo sobre eventos importantes que afetam suas chaves KMS. Cada evento é representado em JSON (JavaScriptObject Notation) e inclui o nome do evento, a data e a hora em que o evento ocorreu e os afetados. Você pode coletar esses eventos e estabelecer regras que os encaminhem para um ou mais destinos, como AWS Lambda funções, tópicos do Amazon SNS, filas do Amazon SQS, streams no Amazon Kinesis Data Streams ou destinos integrados.

Para obter mais informações sobre o uso EventBridge com outros tipos de eventos, incluindo aqueles emitidos AWS CloudTrail quando ele registra uma solicitação de read/write API, consulte o Guia do EventBridge usuário da Amazon.

Os tópicos a seguir descrevem os EventBridge eventos AWS KMS gerados.

Alternância de CMKs do KMS

AWS KMS suporta a rotação automática e sob demanda do material da chave em chaves KMS de criptografia simétrica.

Sempre que AWS KMS gira o material da chave, ele envia um KMS CMK Rotation evento para EventBridge. AWS KMS gera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}

Expiração do material de chave importado do KMS

Ao importar o material de chave em uma chave do KMS, é possível especificar opcionalmente em que hora o material de chave expira. Quando o material chave expira, AWS KMS exclui o material chave e envia um KMS Imported Key Material Expiration evento correspondente para. EventBridge AWS KMS gera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}

Exclusão da CMK do KMS

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. Após o término do período de espera, AWS KMS exclui a chave KMS e envia um KMS CMK Deletion evento para. EventBridge AWS KMS garante esse EventBridge evento. Devido a novas tentativas, ele pode gerar vários eventos dentro de alguns segundos que excluem a mesma chave do KMS.

A seguir há um exemplo deste evento.

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}