As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Monitorar e corrigir a exclusão programada das chaves do AWS KMS *Mikesh Khanal e Ramya Pulipaka, Amazon Web Services* ## Resumo Na nuvem da Amazon Web Services (AWS), a exclusão de uma chave do AWS Key Management Services (AWS KMS) pode resultar na perda de dados. A exclusão remove o material de chave e todos os metadados associados à chave do AWS KMS e é irreversível. Depois que uma chave do AWS KMS é excluída, não é mais possível descriptografar os dados que foram criptografados com aquela chave do AWS KMS, o que significa que os dados são irrecuperáveis. Este padrão configura o monitoramento, com notificações, quando um aplicativo ou um usuário programa a exclusão de uma chave do AWS KMS. Se você receber essa notificação, convém cancelar a exclusão da chave do AWS KMS e reconsiderar sua decisão de excluí-la. O padrão usa o runbook de automação do AWS Systems Manager [AWSConfigRemediation-CancelKeyDeletion](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-cancel-key-deletion.html)para facilitar o cancelamento da exclusão de uma chave do AWS KMS. **nota** O CloudFormation modelo do padrão deve ser implantado em todas as regiões da AWS nas quais você deseja monitorar a exclusão das chaves do AWS KMS. ## Pré-requisitos e limitações **Pré-requisitos ** + Uma conta AWS ativa + Compreensão dos seguintes serviços da AWS:  + Amazon EventBridge + AWS KMS + Amazon Simple Notification Service (Amazon SNS) + AWS Systems Manager **Limitações** + Qualquer personalização da solução requer conhecimento dos CloudFormation modelos da AWS e dos serviços da AWS usados nesse padrão. + Atualmente, esta solução usa o barramento de eventos padrão e pode ser personalizada de acordo com os requisitos. Para obter mais informações sobre o barramento de eventos personalizado, consulte a [documentação do AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html). ## Arquitetura **Pilha de tecnologias de destino** + Amazon EventBridge + AWS KMS + Amazon SNS + AWS Systems Manager + Automação usando o seguinte: + AWS Command Line Interface (AWS CLI) ou AWS SDK + Pilha da AWS CloudFormation **Arquitetura de destino** ![\[Diagrama das cinco etapas do processo de monitoramento, alerta e correção.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/56927ebc-bbf7-49cc-9ad2-b2e0dff1201c/images/32537a66-037a-45a1-af19-3bc7bc26eaa6.png) 1. A exclusão de uma chave do AWS KMS está programada. 1. O evento de exclusão programada é avaliado por uma regra. EventBridge 1. A EventBridge regra envolve o tópico do Amazon SNS. 1. A EventBridge regra inicia a automação e os runbooks do Systems Manager. 1. Os runbooks cancelam a exclusão. **Automação e escala** A CloudFormation pilha implanta todos os recursos e serviços necessários para que essa solução funcione. O padrão pode ser executado de forma independente em uma única conta ou executado usando a AWS CloudFormation StackSets para várias contas independentes ou uma organização. ``` aws cloudformation create-stack --stack-name  \     --template-body file:// \     --parameters ParameterKey=,ParameterValue= \ --capabilities CAPABILITY_NAMED_IAM ``` ## Ferramentas **Ferramentas** + [AWS CloudFormation](https://aws.amazon.com/cloudformation/) — CloudFormation A AWS é um serviço que ajuda você a modelar e configurar seus recursos da Amazon Web Services para que você possa passar menos tempo gerenciando esses recursos e mais tempo se concentrando em seus aplicativos executados na AWS. Você pode usar um CloudFormation modelo para criar pilhas em uma conta da AWS em uma região da AWS. O modelo descreve todos os recursos da AWS que você deseja e CloudFormation provisiona e configura esses recursos para você. + [AWS CLI](https://docs.aws.amazon.com/cli/?id=docs_gateway): a AWS Command Line Interface (AWS CLI) é uma ferramenta de código aberto que você pode usar para interagir com serviços da AWS usando comandos no seu shell da linha de comando. + [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html) — EventBridge A Amazon é um serviço de ônibus de eventos sem servidor que conecta seus aplicativos a dados de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos e serviços da AWS e encaminha esses dados para destinos como o AWS Lambda. EventBridge simplifica o processo de criação de arquiteturas orientadas por eventos. + [AWS KMS](https://aws.amazon.com/kms/): o AWS Key Management Service (AWS KMS) é um serviço gerenciado para criar e controlar chaves do AWS KMS, que são as chaves de criptografia usadas para criptografar seus dados. + [AWS SDKs](https://aws.amazon.com/tools/?id=docs_gateway) — As ferramentas da AWS incluem SDKs para que você possa desenvolver e gerenciar aplicativos na AWS na linguagem de programação de sua escolha. + [Amazon SNS](https://aws.amazon.com/sns/): o Amazon Simple Notification Service (Amazon SNS) é um serviço gerenciado que fornece entrega de mensagens de editores para assinantes (também conhecido como produtores e consumidores). Os publicadores se comunicam de maneira assíncrona com os assinantes produzindo e enviando mensagens para um tópico, que é um canal de comunicação e um ponto de acesso lógico.  + [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html): o AWS Systems Manager é um serviço da AWS que você pode usar para visualizar e controlar sua infraestrutura na AWS. Usando o console do Systems Manager, você pode automatizar tarefas operacionais nos recursos da AWS. O Systems Manager ajuda você a manter a segurança e a conformidade verificando suas instâncias gerenciadas e gerando relatórios (ou tomando medidas corretivas) sobre quaisquer violações de políticas detectadas.   **Código ** + O `alerting_ct_logs.yaml` CloudFormation modelo do projeto está anexado. ## Épicos ### Preparação da conta da AWS | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Instale e configure AWS CLI. | Instale a versão 2 da AWS CLI. Em seguida, defina as configurações de credenciais de segurança para uma identidade, o formato de saída padrão e a região padrão da AWS que a AWS CLI usa para interagir com a AWS.A identidade deve ter as permissões necessárias para realizar as tarefas. | Desenvolvedor, engenheiro de segurança | ### Implemente o CloudFormation modelo da AWS | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Faça o download do CloudFormation modelo. | Baixe o anexo para um caminho local em seu computador e extraia o arquivo do modelo `alerting_ct_logs.yaml`. | Desenvolvedor, engenheiro de segurança | | Implante o modelo. | Na janela do terminal em que o perfil da conta da AWS foi configurado, execute o comando a seguir.
aws cloudformation create-stack --stack-name  \
--capabilities   \
--template-body file:// \
 --parameters ParameterKey=DestinationEmailAddress,ParameterValue= \
ParameterKey=SNSTopicName,ParameterValue= \
ParameterKey=EnableRemediation ,ParameterValue= \
ParameterKey=AutomationAssumeRole,ParameterValue=
No próximo tópico, forneça valores para os parâmetros do modelo. | Desenvolvedor, engenheiro de segurança | | Preencha os parâmetros no modelo. | Informe os valores necessários para os parâmetros.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/monitor-and-remediate-scheduled-deletion-of-aws-kms-keys.html) | Desenvolvedor, engenheiro de segurança | ### Confirmar a assinatura | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Confirmar a assinatura. | Verifique sua caixa de entrada de e-mail e escolha **Confirmar a assinatura** na mensagem de e-mail que você recebe do Amazon SNS. A janela do navegador da Web abrirá e exibirá uma confirmação de assinatura com seu ID de assinatura.  | Desenvolvedor, engenheiro de segurança | ## Recursos relacionados **Referências** + [Criação de uma regra para um serviço da AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/create-eventbridge-rule.html) + [Criação de um CloudWatch alarme da Amazon para detectar o uso de uma chave do AWS KMS que está pendente de exclusão](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) **Tutoriais e vídeos** + [Como começar a usar a Amazon EventBridge](https://www.youtube.com/watch?v=ea9SCYDJIm4) + [Mergulhe na Amazon EventBridge](https://www.youtube.com/watch?v=28B4L1fnnGM) (palestras técnicas on-line da AWS) **workshop da AWS** + [Trabalhando com EventBridge regras](https://event-driven-architecture.workshop.aws/2-event-bridge/2-rules/rules.html) ## Mais informações O código a seguir fornece exemplos de como estender a solução para monitorar e notificar você sobre quaisquer alterações realizadas em qualquer serviço da AWS. Os exemplos incluem padrões predefinidos e personalizados. Para obter mais informações, consulte [Eventos e padrões de eventos em EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html). ``` EventPattern:         source:         - aws.kms         detail-type:         - AWS API Call via CloudTrail         detail:           eventSource:           - kms.amazonaws.com           eventName:           - ScheduleKeyDeletion ``` ## Anexos Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo:[ attachment.zip](samples/p-attach/56927ebc-bbf7-49cc-9ad2-b2e0dff1201c/attachments/attachment.zip)