Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Memantau dan memulihkan penghapusan kunci AWS KMS yang dijadwalkan *Mikesh Khanal dan Ramya Pulipaka, Amazon Web Services* ## Ringkasan Di Amazon Web Services (AWS) Cloud, menghapus kunci AWS Key Management Services (AWS KMS) dapat mengakibatkan hilangnya data. Penghapusan menghapus materi kunci dan semua metadata yang terkait dengan kunci AWS KMS, dan itu tidak dapat diubah. Setelah kunci AWS KMS dihapus, Anda tidak dapat lagi mendekripsi data yang dienkripsi di bawah kunci AWS KMS tersebut, sehingga data tidak dapat dipulihkan. Pola ini mengatur pemantauan, dengan pemberitahuan saat aplikasi atau pengguna menjadwalkan kunci AWS KMS untuk dihapus. Jika Anda menerima pemberitahuan, Anda mungkin ingin membatalkan penghapusan kunci AWS KMS dan mempertimbangkan kembali keputusan Anda untuk menghapusnya. Pola ini menggunakan runbook otomatisasi AWS Systems Manager [AWSConfigRemediation-CancelKeyDeletion](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-cancel-key-deletion.html)untuk memfasilitasi pembatalan penghapusan kunci AWS KMS. **catatan** CloudFormation Template pola harus diterapkan di semua Wilayah AWS tempat Anda ingin memantau penghapusan kunci AWS KMS. ## Prasyarat dan batasan **Prasyarat** + Akun AWS yang aktif + Memahami layanan AWS berikut:  + Amazon EventBridge + AWS KMS + Amazon Simple Notification Service (Amazon SNS) + AWS Systems Manager **Batasan** + Setiap penyesuaian solusi memerlukan pengetahuan tentang CloudFormation template AWS dan layanan AWS yang digunakan dalam pola ini. + Saat ini, solusi ini menggunakan bus acara default, dan dapat disesuaikan sesuai dengan persyaratan. Untuk informasi selengkapnya tentang bus acara khusus, lihat [dokumentasi AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html). ## Arsitektur **Tumpukan teknologi target** + Amazon EventBridge + AWS KMS + Amazon SNS + AWS Systems Manager + Otomatisasi menggunakan yang berikut ini: + AWS Command Line Interface (AWS CLI) atau AWS SDK + AWS CloudFormation tumpukan **Arsitektur target** ![\[Diagram lima langkah proses pemantauan, peringatan, dan remediasi.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/56927ebc-bbf7-49cc-9ad2-b2e0dff1201c/images/32537a66-037a-45a1-af19-3bc7bc26eaa6.png) 1. Penghapusan kunci AWS KMS dijadwalkan. 1. Acara penghapusan terjadwal dievaluasi oleh aturan. EventBridge 1. EventBridge Aturan tersebut melibatkan topik Amazon SNS. 1. EventBridge Aturan ini memulai otomatisasi Systems Manager dan runbook. 1. Runbook membatalkan penghapusan. **Otomatisasi dan skala** CloudFormation Tumpukan menyebarkan semua sumber daya dan layanan yang diperlukan agar solusi ini berfungsi. Pola dapat dijalankan secara independen dalam satu akun atau dijalankan menggunakan AWS CloudFormation StackSets untuk beberapa akun independen atau organisasi. ``` aws cloudformation create-stack --stack-name  \     --template-body file:// \     --parameters ParameterKey=,ParameterValue= \ --capabilities CAPABILITY_NAMED_IAM ``` ## Alat **Alat** + [AWS CloudFormation](https://aws.amazon.com/cloudformation/) — AWS CloudFormation adalah layanan yang membantu Anda memodelkan dan menyiapkan sumber daya Amazon Web Services sehingga Anda dapat menghabiskan lebih sedikit waktu untuk mengelola sumber daya tersebut dan lebih banyak waktu untuk berfokus pada aplikasi yang berjalan di AWS. Anda dapat menggunakan CloudFormation template untuk membuat tumpukan di akun AWS di Wilayah AWS. Template menjelaskan semua sumber daya AWS yang Anda inginkan, serta menyediakan CloudFormation serta mengonfigurasi sumber daya tersebut untuk Anda. + [AWS CLI](https://docs.aws.amazon.com/cli/?id=docs_gateway) — AWS Command Line Interface (AWS CLI) Command Line Interface (AWS CLI) adalah alat open source yang dapat Anda gunakan untuk berinteraksi dengan layanan AWS menggunakan perintah di shell baris perintah Anda. + [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html) — Amazon EventBridge adalah layanan bus acara tanpa server yang menghubungkan aplikasi Anda dengan data dari berbagai sumber. EventBridge mengirimkan aliran data real-time dari aplikasi dan layanan AWS Anda sendiri, dan merutekan data tersebut ke target seperti AWS Lambda. EventBridge menyederhanakan proses membangun arsitektur berbasis peristiwa. + [AWS KMS](https://aws.amazon.com/kms/) — AWS Key Management Service (AWS KMS) adalah layanan terkelola untuk membuat dan mengendalikan kunci AWS KMS, kunci enkripsi yang digunakan untuk mengenkripsi data Anda. + [AWS SDKs](https://aws.amazon.com/tools/?id=docs_gateway) — Alat AWS disertakan SDKs sehingga Anda dapat mengembangkan dan mengelola aplikasi di AWS dalam bahasa pemrograman pilihan Anda. + [Amazon SNS](https://aws.amazon.com/sns/) — Amazon Simple Notification Service (Amazon SNS) adalah layanan terkelola yang menyediakan pengiriman pesan dari penerbit ke pelanggan (juga dikenal sebagai produsen dan konsumen). Penerbit berkomunikasi secara asinkron dengan pelanggan dengan mengirim pesan ke topik, yang merupakan titik akses logis dan saluran komunikasi.  + [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) — AWS Systems Manager adalah layanan AWS yang dapat Anda gunakan untuk melihat dan mengontrol infrastruktur di AWS. Menggunakan konsol Systems Manager, Anda dapat mengotomatiskan tugas operasional di seluruh sumber daya AWS Anda. Systems Manager membantu Anda menjaga keamanan dan kepatuhan dengan memindai instans terkelola Anda dan melaporkan (atau mengambil tindakan korektif) setiap pelanggaran kebijakan yang terdeteksi.   **Kode** + `alerting_ct_logs.yaml` CloudFormation Template untuk proyek terlampir. ## Epik ### Siapkan akun AWS | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Instal dan konfigurasikan AWS CLI. | Instal AWS CLI versi 2. Kemudian konfigurasikan setelan kredensional keamanan untuk identitas, format output default, dan Wilayah AWS default yang digunakan AWS CLI untuk berinteraksi dengan AWS.Identitas harus memiliki izin yang diperlukan untuk melakukan tugas. | Pengembang, insinyur keamanan | ### Terapkan templat AWS CloudFormation | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Unduh CloudFormation template. | Unduh lampiran ke jalur lokal di komputer Anda dan ekstrak file `alerting_ct_logs.yaml` template. | Pengembang, insinyur keamanan | | Menyebarkan template. | Di jendela terminal tempat profil akun AWS telah dikonfigurasi, jalankan perintah berikut.
aws cloudformation create-stack --stack-name  \
--capabilities   \
--template-body file:// \
 --parameters ParameterKey=DestinationEmailAddress,ParameterValue= \
ParameterKey=SNSTopicName,ParameterValue= \
ParameterKey=EnableRemediation ,ParameterValue= \
ParameterKey=AutomationAssumeRole,ParameterValue=
Pada langkah berikutnya, masukkan nilai untuk parameter template. | Pengembang, insinyur keamanan | | Lengkapi parameter template. | Masukkan nilai yang diperlukan untuk parameter.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/monitor-and-remediate-scheduled-deletion-of-aws-kms-keys.html) | Pengembang, insinyur keamanan | ### Konfirmasi langganan. | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Konfirmasi langganan. | Periksa kotak masuk email Anda dan pilih **Konfirmasi langganan** di pesan email yang Anda terima dari Amazon SNS. Jendela browser web akan terbuka dan menampilkan konfirmasi berlangganan dan ID langganan Anda.  | Pengembang, insinyur keamanan | ## Sumber daya terkait **Referensi** + [Membuat aturan untuk layanan AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-rule.html) + [Membuat CloudWatch alarm Amazon untuk mendeteksi penggunaan kunci AWS KMS yang sedang menunggu penghapusan](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) **Tutorial dan video** + [Cara memulai dengan Amazon EventBridge](https://www.youtube.com/watch?v=ea9SCYDJIm4) + [Menyelam jauh di Amazon EventBridge](https://www.youtube.com/watch?v=28B4L1fnnGM) (AWS Online Tech Talks) **Lokakarya AWS** + [Bekerja dengan EventBridge aturan](https://event-driven-architecture.workshop.aws/2-event-bridge/2-rules/rules.html) ## Informasi tambahan Kode berikut memberikan contoh untuk memperluas solusi untuk memantau dan memberi tahu Anda tentang perubahan apa pun dalam layanan AWS apa pun. Contohnya termasuk pola yang telah ditentukan dan pola kustom. Untuk informasi selengkapnya, lihat [Peristiwa dan pola acara di EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html). ``` EventPattern:         source:         - aws.kms         detail-type:         - AWS API Call via CloudTrail         detail:           eventSource:           - kms.amazonaws.com           eventName:           - ScheduleKeyDeletion ``` ## Lampiran [Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip](samples/p-attach/56927ebc-bbf7-49cc-9ad2-b2e0dff1201c/attachments/attachment.zip)