使用 Amazon 监控 KMS 密钥 EventBridge - AWS Key Management Service
KMS CMK 轮换KMS 导入的密钥材料过期KMS CMK 删除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 监控 KMS 密钥 EventBridge

您可以使用亚马逊 EventBridge (前身为 Amazon CloudWatch Events)提醒您注意您的 KMS 密钥生命周期中的以下重要事件。

  • KMS 密钥中的密钥材料是自动轮换或按需轮换。

  • KMS 密钥中已导入的密钥材料到期。

  • 计划删除的 KMS 密钥已被删除。

AWS KMS 与 Amazon 集成 EventBridge ,可在影响您的 KMS 密钥的重要事件时通知您。每个事件都以 JSON(JavaScript对象表示法)表示,包括事件名称、事件发生的日期和时间以及受影响的事件。您可以收集这些事件并制定规则,将它们路由到一个或多个目标,例如 AWS Lambda 函数、Amazon SNS 主题、亚马逊 SQS 队列、Amazon Kinesis Data Streams 中的流或内置目标。

有关 EventBridge 与其他类型的事件(包括记录 read/write API 请求 AWS CloudTrail 时发出的事件)一起使用的更多信息,请参阅 Amazon EventBridge 用户指南

以下主题描述了 AWS KMS 生成 EventBridge 的事件。

KMS CMK 轮换

AWS KMS 支持对称加密 KMS 密钥中的密钥材料的自动和按需轮换

每当 AWS KMS 轮换密钥材料时,它都会向发送一个KMS CMK Rotation事件。 EventBridge AWS KMS 在尽最大努力的基础上生成此事件。

以下是该事件的示例。

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}

KMS 导入的密钥材料过期

当您将密钥材料导入 KMS 密钥中时,您可以选择性地指定密钥材料的过期时间。当密钥材料过期时, AWS KMS 会删除密钥材料并将相应KMS Imported Key Material Expiration的事件发送到 EventBridge。 AWS KMS 在尽最大努力的基础上生成此事件。

以下是该事件的示例。

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}

KMS CMK 删除

当您为 KMS 密钥计划删除时, AWS KMS 会强制执行一段等待期,然后再删除 KMS 密钥。等待期结束后, AWS KMS 删除 KMS 密钥并向发送KMS CMK Deletion事件 EventBridge。 AWS KMS 保证此 EventBridge 事件。由于重试,它可能会在几秒钟内生成多个删除同一 KMS 密钥的事件。

以下是该事件的示例。

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}