As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Receber notificações do Amazon SNS quando o estado de chave de uma chave do AWS KMS mudar
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes"></a>

*Shubham Harsora, Aromal Raj Jayarajan e Navdeep Pareek, Amazon Web Services*

## Resumo
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes-summary"></a>

Os dados e metadados associados a uma chave do AWS Key Management Service (AWS KMS) são perdidos quando essa chave é excluída. A exclusão é irreversível e você não pode recuperar dados perdidos (incluindo dados criptografados). Você pode evitar a perda de dados ao configurar um sistema de notificação para alertá-lo sobre mudanças de status nos [estados principais](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type) de suas chaves do AWS KMS.

Esse padrão mostra como monitorar alterações de status nas chaves do AWS KMS usando a Amazon e o EventBridge Amazon Simple Notification Service (Amazon SNS) para emitir notificações automáticas sempre que o estado da chave do AWS KMS mudar para ou. `Disabled` `PendingDeletion` Por exemplo, se um usuário tentar desabilitar ou excluir uma chave do AWS KMS, você receberá uma notificação por e-mail com detalhes sobre a tentativa de alteração de status. Você também pode usar esse padrão para programar a exclusão das chaves do AWS KMS.

## Pré-requisitos e limitações
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes-prereqs"></a>

**Pré-requisitos **
+ Uma conta ativa do AWS com um usuário do Identity and Access Management (IAM).
+ Uma [chave do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)

## Arquitetura
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes-architecture"></a>

**Pilha de tecnologia**
+ Amazon EventBridge
+ AWS Key Management Service (AWS KMS)
+ Amazon Simple Notification Service (Amazon SNS)

**Arquitetura de destino**

O diagrama a seguir mostra uma arquitetura para criar um processo automatizado de monitoramento e notificação para detectar quaisquer alterações no estado de uma chave do AWS KMS.

![\[Arquitetura para criar um processo automatizado de monitoramento e notificação\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/2534df87-a6fd-4360-9b5d-4a8b1f533de3/images/0cb6a6b0-405b-4d26-ad04-2067176aa086.png)


O diagrama mostra o seguinte fluxo de trabalho:

1. Um usuário desativa ou programa a exclusão de uma chave do AWS KMS.

1. Uma EventBridge regra avalia o agendado `Disabled` ou o `PendingDeletion` evento.

1. A EventBridge regra invoca o tópico do Amazon SNS.

1. O Amazon SNS envia uma mensagem de notificação por e-mail aos usuários.

**nota**  
É possível personalizar a mensagem de e-mail para atender às necessidades da sua organização. Recomendamos incluir informações sobre as entidades nas quais a chave do AWS KMS é usada. Isso pode ajudar os usuários a entenderem o impacto da exclusão da chave do AWS KMS. Você também pode agendar uma notificação de lembrete por e-mail enviada um ou dois dias antes da exclusão da chave do AWS KMS.

**Automação e escala**

O AWS CloudFormation stack implanta todos os recursos e serviços necessários para que esse padrão funcione. Você pode implementar o padrão de forma independente em uma única conta ou usando a [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) para várias contas independentes ou [unidades organizacionais](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) no AWS Organizations.

## Ferramentas
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes-tools"></a>
+  CloudFormationA [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) ajuda você a configurar recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em todas as contas e regiões da AWS. O CloudFormation modelo desse padrão descreve todos os recursos da AWS que você deseja e CloudFormation provisiona e configura esses recursos para você.
+  EventBridgeA [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos e serviços da AWS e encaminha esses dados para destinos como o AWS Lambda. EventBridge simplifica o processo de criação de arquiteturas orientadas por eventos.
+ O [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) ajuda você a criar e controlar chaves criptográficas para proteger seus dados.
+ O [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.

**Código **

O código desse padrão está disponível no repositório de [desativação e exclusão programada de chaves do AWS KMS do GitHub Monitor AWS](https://github.com/aws-samples/aws-kms-deletion-notification) KMS.

## Épicos
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes-epics"></a>

### Implante o CloudFormation modelo
<a name="deploy-the-cloudformation-template"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Clonar o repositório. | Clone o repositório de [desativação e exclusão programada das chaves do GitHub Monitor AWS KMS](https://github.com/aws-samples/aws-kms-deletion-notification) em sua máquina local executando o seguinte comando:`git clone https://github.com/aws-samples/aws-kms-deletion-notification` | Administrador da AWS, arquiteto de nuvem | 
| Atualizar os parâmetros do modelo. | Em um editor de código, abra o `Alerting-KMS-Events.yaml` CloudFormation modelo que você clonou do repositório e atualize os seguintes parâmetros:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | Administrador da AWS, arquiteto de nuvem | 
| Implante o CloudFormation modelo. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | Administrador da AWS, arquiteto de nuvem | 

### Confirmar a assinatura
<a name="confirm-the-subscription"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Confirmar a assinatura de e-mail. | Depois que o CloudFormation modelo for implantado com sucesso, o Amazon SNS envia uma mensagem de confirmação da assinatura para o endereço de e-mail que você forneceu no CloudFormation modelo.Você precisa confirmar sua assinatura para começar a receber as notificações. Para obter mais informações, consulte [Confirmar a assinatura](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToHttp.confirm.html) no Guia do desenvolvedor do Amazon SNS. | Administrador da AWS, arquiteto de nuvem | 

### Testar a notificação de assinatura.
<a name="test-the-subscription-notification"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Desabilitar chaves do AWS KMS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | Administrador da AWS | 
| Validar a assinatura. | Confirme se você recebeu o e-mail de notificação do Amazon SNS. | Administrador da AWS | 

### Limpar os recursos
<a name="clean-up-resources"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Exclua a CloudFormation pilha. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes.html) | Administrador da AWS | 

## Recursos relacionados
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes-resources"></a>
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/) (documentação da AWS)
+ [Criação de uma pilha no CloudFormation console da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation documentação da AWS)
+ [Criar arquiteturas orientadas por eventos na AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/63320e83-6abc-493d-83d8-f822584fb3cb/en-US) (documentação do AWS Workshop Studio)
+ [Práticas recomendadas do AWS Key Management Service](https://d1.awsstatic.com/whitepapers/aws-kms-best-practices.pdf) (whitepaper da AWS)
+ [Práticas recomendadas de segurança para o AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) (Guia do desenvolvedor do AWS KMS)

## Mais informações
<a name="get-amazon-sns-notifications-when-the-key-state-of-an-aws-kms-key-changes-additional"></a>

O Amazon SNS fornece criptografia em trânsito por padrão. Para se alinhar às práticas recomendadas de segurança, você também pode habilitar a criptografia do lado do servidor para o Amazon SNS usando uma chave gerenciada pelo cliente do AWS KMS.