Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erhalten Sie Amazon SNS SNS-Benachrichtigungen, wenn sich der Schlüsselstatus eines AWS KMS KMS-Schlüssels ändert
*Shubham Harsora, Aromal Raj Jayarajan und Navdeep Pareek, Amazon Web Services*
## Zusammenfassung
Die mit einem AWS Key Management Service (AWS KMS) -Schlüssel verknüpften Daten und Metadaten gehen verloren, wenn dieser Schlüssel gelöscht wird. Das Löschen ist irreversibel und Sie können verlorene Daten (einschließlich verschlüsselter Daten) nicht wiederherstellen. Sie können Datenverlust verhindern, indem Sie ein Benachrichtigungssystem einrichten, das Sie über Statusänderungen der [wichtigsten Status](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type) Ihrer AWS KMS KMS-Schlüssel informiert.
Dieses Muster zeigt Ihnen, wie Sie Statusänderungen an AWS-KMS-Schlüsseln überwachen können, indem Sie Amazon EventBridge und Amazon Simple Notification Service (Amazon SNS) verwenden, um automatische Benachrichtigungen auszugeben, wenn sich der Schlüsselstatus eines AWS KMS KMS-Schlüssels auf `Disabled` oder `PendingDeletion` ändert. Wenn ein Benutzer beispielsweise versucht, einen AWS KMS KMS-Schlüssel zu deaktivieren oder zu löschen, erhalten Sie eine E-Mail-Benachrichtigung mit Einzelheiten zur versuchten Statusänderung. Sie können dieses Muster auch verwenden, um das Löschen von AWS-KMS-Schlüsseln zu planen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto mit einem AWS Identity and Access Management (IAM) -Benutzer
+ Ein [AWS-KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
## Architektur
**Technologie-Stack**
+ Amazon EventBridge
+ AWS Key Management Service (AWS KMS)
+ Amazon-Simple-Notification-Service (Amazon-SNS)
**Zielarchitektur**
Das folgende Diagramm zeigt eine Architektur für den Aufbau eines automatisierten Überwachungs- und Benachrichtigungsprozesses zur Erkennung von Änderungen am Status eines AWS-KMS-Schlüssels.
![\[Architektur für den Aufbau eines automatisierten Überwachungs- und Benachrichtigungsprozesses\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/2534df87-a6fd-4360-9b5d-4a8b1f533de3/images/0cb6a6b0-405b-4d26-ad04-2067176aa086.png)
Das Diagramm zeigt den folgenden Workflow:
1. Ein Benutzer deaktiviert oder plant das Löschen eines AWS-KMS-Schlüssels.
1. Eine EventBridge Regel bewertet das geplante Ereignis `Disabled` oder `PendingDeletion` Ereignis.
1. Die EventBridge Regel ruft das Amazon SNS SNS-Thema auf.
1. Amazon SNS sendet eine E-Mail-Benachrichtigung an die Benutzer.
**Anmerkung**
Sie können die E-Mail-Nachricht an die Bedürfnisse Ihres Unternehmens anpassen. Wir empfehlen, Informationen über die Entitäten anzugeben, in denen der AWS-KMS-Schlüssel verwendet wird. Dies kann Benutzern helfen, die Auswirkungen des Löschens des AWS-KMS-Schlüssels zu verstehen. Sie können auch eine Erinnerungs-E-Mail-Benachrichtigung planen, die ein oder zwei Tage vor dem Löschen des AWS-KMS-Schlüssels gesendet wird.
**Automatisierung und Skalierung**
Der CloudFormation AWS-Stack stellt alle erforderlichen Ressourcen und Dienste bereit, damit dieses Muster funktioniert. Sie können das Muster unabhängig in einem einzigen Konto implementieren oder indem Sie [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) für mehrere unabhängige Konten oder [Organisationseinheiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) in AWS Organizations verwenden.
## Tools
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und AWS-Regionen hinweg zu verwalten. Die CloudFormation Vorlage für dieses Muster beschreibt alle AWS-Ressourcen, die Sie benötigen, und stellt CloudFormation diese Ressourcen für Sie bereit und konfiguriert sie.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen und AWS-Services und leitet diese Daten an Ziele wie AWS Lambda weiter. EventBridge vereinfacht den Prozess der Erstellung ereignisgesteuerter Architekturen.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
**Code**
Der Code für dieses Muster ist im Repository GitHub [Monitor AWS KMS Keys Disable and Scheduled Deletion](https://github.com/aws-samples/aws-kms-deletion-notification) verfügbar.
## Epen
### Stellen Sie die Vorlage CloudFormation bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Klonen Sie das Repository GitHub [Monitor AWS KMS Keys Disable and Scheduled Deletion](https://github.com/aws-samples/aws-kms-deletion-notification) auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:`git clone https://github.com/aws-samples/aws-kms-deletion-notification` | AWS-Administrator, Cloud-Architekt |
| Aktualisieren Sie die Parameter der Vorlage. | Öffnen Sie in einem Code-Editor die `Alerting-KMS-Events.yaml` CloudFormation Vorlage, die Sie aus dem Repository geklont haben, und aktualisieren Sie dann die folgenden Parameter:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator, Cloud-Architekt |
| Stellen Sie die CloudFormation Vorlage bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator, Cloud-Architekt |
### Bestätigen Sie das Abonnement
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie die Abonnement-E-Mail. | Nachdem die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet Amazon SNS eine Bestätigungsnachricht für das Abonnement an die E-Mail-Adresse, die Sie in der CloudFormation Vorlage angegeben haben.Um Benachrichtigungen zu erhalten, müssen Sie dieses E-Mail-Abonnement bestätigen. Weitere Informationen finden Sie unter [Bestätigen des Abonnements](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToHttp.confirm.html) im Amazon SNS Developer Guide. | AWS-Administrator, Cloud-Architekt |
### Testen Sie die Abonnementbenachrichtigung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Deaktivieren Sie die AWS-KMS-Schlüssel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator |
| Bestätigen Sie das Abonnement. | Bestätigen Sie, dass Sie die Amazon SNS SNS-Benachrichtigungs-E-Mail erhalten haben. | AWS-Administrator |
### Bereinigen von Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie den CloudFormation Stapel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | AWS-Administrator |
## Zugehörige Ressourcen
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/) (AWS-Dokumentation)
+ [Einen Stack auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) erstellen ( CloudFormation AWS-Dokumentation)
+ [Aufbau ereignisgesteuerter Architekturen auf AWS (AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/63320e83-6abc-493d-83d8-f822584fb3cb/en-US) Workshop Studio-Dokumentation)
+ [Bewährte Methoden für den AWS Key Management Service](https://d1.awsstatic.com/whitepapers/aws-kms-best-practices.pdf) (AWS-Whitepaper)
+ [Bewährte Sicherheitsmethoden für AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) (AWS KMS Developer Guide)
## Zusätzliche Informationen
Amazon SNS bietet standardmäßig Verschlüsselung bei der Übertragung. Um den bewährten Sicherheitsmethoden zu entsprechen, können Sie auch die serverseitige Verschlüsselung für Amazon SNS aktivieren, indem Sie einen vom Kunden verwalteten AWS KMS KMS-Schlüssel verwenden.