本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立偵測 KMS 金鑰待刪除使用情況的警示
<a name="deleting-keys-creating-cloudwatch-alarm"></a>

您可以結合 Amazon CloudWatch Logs AWS CloudTrail和 Amazon Simple Notification Service (Amazon SNS) 的功能來建立 Amazon CloudWatch 警示，以便在您帳戶中有人嘗試使用待刪除的 KMS 金鑰時通知您。如果您收到此通知，您可能想要取消刪除 KMS 金鑰並重新考慮您的刪除決定。

下列程序會建立一個警示，在 "`Key ARN is pending deletion`" 錯誤訊息寫入 CloudTrail 日誌檔案時通知您。此錯誤訊息指示有人或應用程式嘗試在[密碼編譯操作](kms-cryptography.md#cryptographic-operations)中使用 KMS 金鑰。由於通知是連結到錯誤訊息，因此當您使用在待刪除的 KMS 金鑰上獲允許的 API 操作時，例如 `ListKeys`、`CancelKeyDeletion` 和 `PutKeyPolicy`，不會觸發通知。若要查看傳回此錯誤訊息的 AWS KMS API 操作清單，請參閱 [金鑰的 AWS KMS 金鑰狀態](key-state.md)。

您收到的通知電子郵件不會列出 KMS 金鑰或密碼編譯操作。您可以在 [CloudTrail 日誌](logging-using-cloudtrail.md)中找到該資訊。反之，電子郵件會報告警示狀態從**正常**變更為**警示**。如需有關 CloudWatch 警示和狀態變更的詳細資訊，請參閱《Amazon CloudWatch 使用者指南》中的[使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。

**警告**  
此 Amazon CloudWatch 警示偵測不到在 AWS KMS外部對非對稱 KMS 金鑰之公有金鑰的使用。如需刪除用於公有金鑰密碼編譯之非對稱 KMS 金鑰特殊風險的詳細資訊，包括建立無法解密的加密文字，請參閱 [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)。

在此程序中，您會建立 CloudWatch 日誌群組指標篩選條件，以尋找待刪除例外狀況的執行個體。然後，您可以根據日誌群組指標建立 CloudWatch 警示。如需有關日誌群組指標篩選條件的資訊，請參閱《Amazon CloudWatch Logs 使用者指南》中的[使用篩選條件從日誌事件建立指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)。

1. 建立可剖析 CloudTrail 日誌的 CloudWatch 指標篩選條件。

   遵循[建立日誌群組的指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)中的指示，使用以下所需值。對於其他欄位，請接受預設值，並按要求提供名稱。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

1. 根據您在步驟 1 中建立的指標篩選條件建立 CloudWatch 警示。

   使用下列必要值，[遵循根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)中的指示。對於其他欄位，請接受預設值，並按要求提供名稱。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

完成此程序後，新 CloudWatch 警示每次進入 `ALARM` 狀態時，您都會收到通知。如果您收到此警示的通知，可能表示仍需要排程刪除的 KMS 金鑰來加密或解密資料。在這種情況下，請[取消刪除 KMS 金鑰](deleting-keys-scheduling-key-deletion.md)並重新考慮您的刪除決定。