本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建检测待删除 KMS 密钥的使用的警报
<a name="deleting-keys-creating-cloudwatch-alarm"></a>

您可以结合亚马逊 CloudWatch 日志和亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 的功能来创建 CloudWatch 亚马逊警报，当您的账户中有人尝试使用待删除的 KMS 密钥时，该警报会通知您。 AWS CloudTrail如果您收到此通知，则可能要取消删除该 KMS 密钥并重新考虑删除它的决定。

以下过程将创建一个警报，每当向 CloudTrail 日志文件写入 “`Key ARN is pending deletion`” 错误消息时，该警报就会通知您。此错误消息指示有人或应用程序尝试在[加密操作](kms-cryptography.md#cryptographic-operations)中使用该 KMS 密钥。由于通知链接至错误消息，因此，当您使用待删除的 KMS 密钥中允许的 API 操作时（例如 `ListKeys`、`CancelKeyDeletion` 和 `PutKeyPolicy`），不会触发该通知。要查看返回此错误消息的 AWS KMS API 操作列表，请参阅[密 AWS KMS 钥的关键状态](key-state.md)。

您收到的通知电子邮件不会列出 KMS 密钥或加密操作。可在 [ CloudTrail 日志](logging-using-cloudtrail.md)中找到此信息。电子邮件会报告警报状态已从 **OK (正常)** 变为 **Alarm (警报)**。有关 CloudWatch警报和状态变化的更多信息，请参阅[亚马逊* CloudWatch 用户指南中的使用亚马逊 CloudWatch*警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。

**警告**  
此 Amazon CloudWatch 警报无法检测到在之外使用非对称 KMS 密钥的 AWS KMS公钥。有关删除用于公有密钥加密的非对称 KMS 密钥的特殊风险的详细信息，包括创建无法解密的密文，请参阅 [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)。

在此过程中，您将创建一个 CloudWatch 日志组指标筛选器，用于查找待删除异常的实例。然后，根据日志组指标创建 CloudWatch 警报。有关日志组指标筛选条件的信息，请参阅 Amazon Logs 用户指南中的[使用筛选条件从 CloudWatch 日志事件创建指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)。

1. 创建用于解析 CloudTrail 日志的 CloudWatch 指标筛选器。

   使用以下必填值，按照[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)中的说明进行操作。对于其他字段，请接受默认值并按要求提供名称。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

1. 根据您在步骤 1 中创建的指标筛选器创建 CloudWatch 警报。

   使用以下必填值按照[基于日志组指标筛选器创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)中的说明进行操作。对于其他字段，请接受默认值并按要求提供名称。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

完成此过程后，每当您的新 CloudWatch警报进入`ALARM`状态时，您都会收到一条通知。如果您收到此警报的通知，可能意味着仍然需要计划删除的 KMS 密钥来加密或解密数据。在这种情况下，[请取消删除 KMS 密钥](deleting-keys-scheduling-key-deletion.md)并重新考虑删除它的决定。