Überwachung mit Amazon CloudWatch - AWS Key Management Service
Metriken und DimensionenAnzeigen von AWS KMS-MetrikenCloudWatch Alarme

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung mit Amazon CloudWatch

Sie können Ihre AWS KMS keys mit Amazon überwachen CloudWatch, einem -AWSService, der Rohdaten von sammelt und AWS KMS in lesbare Metriken verarbeitet, die nahezu in Echtzeit zur Verfügung stehen. Diese Daten werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf historische Daten zugreifen und die Nutzung Ihrer KMS-Schlüssel sowie deren Änderungen besser nachvollziehen können.

Sie können Amazon verwenden CloudWatch , um Sie auf wichtige Ereignisse aufmerksam zu machen, z. B. auf die folgenden.

  • Das importierte Schlüsselmaterial in einem KMS-Schlüssel befindet kurz vor dem Ablaufdatum.

  • Ein KMS-Schlüssel, dessen Löschung ansteht, wird immer noch verwendet.

  • Das Schlüsselmaterial in einem KMS-Schlüssel wurde automatisch rotiert.

  • Ein KMS-Schlüssel wurde gelöscht.

Sie können auch einen Amazon CloudWatch-Alarm erstellen, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingentwerts erreicht. Weitere Informationen finden Sie unter Verwalten Ihrer AWS KMS API-Anforderungsraten mit Service Quotas und Amazon CloudWatch im AWS -Sicherheitsblog.

AWS KMS-Metriken und -Dimensionen

AWS KMS definiert Amazon- CloudWatch Metriken vorab, um Ihnen die Überwachung kritischer Daten und die Erstellung von Alarmen zu erleichtern. Sie können die AWS KMS Metriken mithilfe der AWS Management Console und der Amazon CloudWatch API anzeigen.

In diesem Abschnitt werden alle AWS KMS Metriken und Dimensionen für jede Metrik aufgeführt und einige grundlegende Anleitungen zum Erstellen von CloudWatch Alarmen auf der Grundlage dieser Metriken und Dimensionen gegeben.

Anmerkung

Name der Dimensionsgruppe:

Um eine Metrik in der Amazon- CloudWatch Konsole anzuzeigen, wählen Sie im Abschnitt Metriken den Namen der Dimensionsgruppe aus. Dann können Sie nach dem Metriknamen filtern. Dieses Thema enthält den Metriknamen und den Dimensionsgruppennamen für jede AWS KMS-Metrik.

SecondsUntilKeyMaterialExpiration

Die Anzahl der verbleibenden Sekunden, bis das importierte Schlüsselmaterial eines KMS-Schlüssels abläuft. Diese Metrik gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial (Herkunft des Schlüsselmaterials EXTERNAL) und einem Ablaufdatum.

Verwenden Sie diese Metrik, um die Zeit zu verfolgen, die bis zum Ablauf Ihres importierten Schlüsselmaterials verbleibt. Wenn diese Zeit unter einen von Ihnen definierten Schwellenwert fällt, sollten Sie das Schlüsselmaterial mit einem neuen Ablaufdatum erneut importieren. Die SecondsUntilKeyMaterialExpiration-Metrik ist spezifisch für einen KMS-Schlüssel. Sie können diese Metrik nicht verwenden, um mehrere KMS-Schlüssel oder KMS-Schlüssel, die Sie möglicherweise in Zukunft erstellen werden, zu überwachen. Hilfe zum Erstellen eines CloudWatch Alarms zur Überwachung dieser Metrik finden Sie unter Erstellen eines CloudWatch Alarms für den Ablauf von importiertem Schlüsselmaterial.

Die nützlichste Statistik für diese Metrik ist Minimum, die Ihnen die kleinste verbleibende Zeit für alle Datenpunkte im angegebenen Statistikzeitraum angibt. Die einzige gültige Einheit für diese Metrik ist Seconds.

Name der Dimensionsgruppe: Per-Key Metrics (Metriken pro Schlüssel)

Dimensionen für SecondsUntilKeyMaterialExpiration
Dimension Beschreibung; bezogen auf AWS
KeyId Wert für jeden KMS-Schlüssel.

ExternalKeyStoreThrottle

Die Anzahl der Anforderungen für kryptografische Vorgänge für KMS-Schlüssel in jedem externen Schlüsselspeicher, die AWS KMS drosselt (mit einer ThrottlingException antwortet). Diese Metrik gilt nur für externe Schlüsselspeicher.

Die -ExternalKeyStoreThrottleMetrik gilt nur für KMS-Schlüssel in einem externen Schlüsselspeicher und nur für Anforderungen für kryptografische Operationen und die -DescribeKeyOperation. AWS KMSdrosselt diese Anforderungen, wenn die Anforderungsrate das Anforderungskontingent für benutzerdefinierte Schlüsselspeicher für Ihren externen Schlüsselspeicher überschreitet. Diese Metrik berücksichtigt nicht die Drosselung durch Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.

Verwenden Sie diese Metrik, um den Wert des Anforderungskontingents für benutzerdefinierte Schlüsselspeicher zu überprüfen und anzupassen. Wenn diese Metrik darauf hinweist, dass AWS KMS Ihre Anforderungen für diese KMS-Schlüssel häufig drosselt, sollten Sie eine Erhöhung Ihres Anforderungskontingent für benutzerdefinierte Schlüsselspeicher anfordern. Hilfe finden Sie unter Anfordern einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch.

Wenn Sie sehr häufig KMSInvalidStateException-Fehler mit einer Meldung erhalten, in der erklärt wird, dass die Anforderung „aufgrund einer sehr hohen Anforderungsrate“ abgelehnt wurde oder die Anforderung abgelehnt wurde, „weil der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat“, könnte dies darauf hinweisen, dass Ihr externer Schlüsselmanager oder externer Schlüsselspeicher-Proxy mit der aktuellen Anforderungsrate nicht Schritt halten kann. Verringen Sie wenn möglich Ihre Anforderungsrate. Sie können auch eine Verringerung des Anforderungskontingentwerts für benutzerdefinierte Schlüsselspeicher anfordern. Eine Verringerung dieses Kontingentwerts könnte die Drosselung (und den Metrikwert ExternalKeyStoreThrottle) erhöhen, deutet aber darauf hin, dass AWS KMS übermäßige Anforderungen schnell zurückweist, bevor sie an Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager gesendet werden. Um eine Reduzierung des Kontingents zu beantragen, besuchen Sie bitte das AWS Support Center und erstellen Sie einen Fall.

Name der Dimensionsgruppe: Keystore Throttle Metrics (Keystore-Drossel-Metriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
KmsOperation Wert für jeden AWS KMS-API-Vorgang. Diese Metrik gilt nur für kryptografische Vorgänge und den DescribeKey-Vorgang für KMS-Schlüssel in einem externen Schlüsselspeicher.
KeySpec Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT.

XksProxyCertificateDaysToExpire

Die Anzahl der Tage, bis das TLS-Zertifikat für den Proxy-Endpunkt Ihres externen Schlüsselspeichers (XksProxyUriEndpoint) abläuft. Diese Metrik gilt nur für externe Schlüsselspeicher.

Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie über den bevorstehenden Ablauf Ihres TLS-Zertifikats benachrichtigt. Wenn das Zertifikat abläuft, kann AWS KMS nicht mit dem Proxy des externen Schlüsselspeichers kommunizieren. Der Zugriff auf alle durch KMS-Schlüssel geschützten Daten in Ihrem externen Schlüsselspeicher ist dann erst wieder möglich, wenn Sie das Zertifikat erneuern.

Ein Zertifikatsalarm verhindert, dass ein abgelaufenes Zertifikat den Zugriff auf Ihre verschlüsselten Ressourcen verhindert. Stellen Sie den Alarm so ein, dass Ihre Organisation Zeit hat, das Zertifikat zu erneuern, bevor es abläuft.

Name der Dimensionsgruppe: XKS Proxy Certificate Metrics (XKS-Proxy-Zertifikatsmetriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
CertificateName Subjektname (CN) im TLS-Zertifikat.

XksProxyCredentialAge

Die Anzahl der Tage, seit die aktuelle Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers (XksProxyAuthenticationCredential) mit dem externen Schlüsselspeicher verknüpft wurde. Diese Zählung beginnt, wenn Sie die Anmeldeinformation für die Authentifizierung beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eingeben. Diese Metrik gilt nur für externe Schlüsselspeicher.

Dieser Wert soll Sie daran erinnern, wie alt Ihre Anmeldeinformation für die Authentifizierung ist. Da wir jedoch mit der Zählung beginnen, wenn Sie die Anmeldeinformation mit Ihrem externen Schlüsselspeicher verknüpfen, und nicht, wenn Sie Ihre Anmeldeinformation für die Authentifizierung auf dem Proxy des externen Schlüsselspeichers erstellen, ist dies möglicherweise kein genauer Indikator für das Alter der Anmeldeinformation auf dem Proxy.

Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie daran erinnert, Ihre Anmeldeinformationen für die Proxy-Authentifizierung des externen Schlüsselspeichers zu rotieren.

Name der Dimensionsgruppe: Per-Keystore Metrics (Metriken pro Keystore)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.

XksProxyErrors

Die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS-Anforderungen an Ihren externen Schlüsselspeicher-Proxy. Diese Zahl umfasst Ausnahmen, die der externe Schlüsselspeicher-Proxy an AWS KMS zurückgibt, sowie Timeout-Fehler, die auftreten, wenn der externe Schlüsselspeicher-Proxy nicht innerhalb des Timeout-Intervalls von 250 Millisekunden an AWS KMS antwortet. Diese Metrik gilt nur für externe Schlüsselspeicher.

Mit dieser Metrik können Sie die Fehlerquote von KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verfolgen. Sie gibt Aufschluss über die häufigsten Fehler, sodass Sie Ihre Entwicklungsarbeit nach Prioritäten ordnen können. KMS-Schlüssel, die eine hohe Rate an nicht wiederholbaren Fehlern generieren, könnten beispielsweise auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Informationen zur Konfiguration Ihres externen Schlüsselspeichers finden Sie unter Anzeigen eines externen Schlüsselspeichers. Informationen zum Bearbeiten der Einstellungen Ihres externen Schlüsselspeichers finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers.

Name der Dimensionsgruppe: XKS Proxy Error Metrics (XKS-Proxy-Fehlermetriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
KmsOperation Wert für jeden AWS KMS-API-Vorgang, der eine Anforderung an den XKS-Proxy generiert hat.
XksOperation Wert für jeden Proxy-API-Vorgang des externen Schlüsselspeichers.
KeySpec Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT.
ErrorType Werte:

  • Wiederholbare Fehler: Wahrscheinlich vorübergehend, z. B. Netzwerkfehler.

  • Nicht wiederholbare Fehler: Weisen wahrscheinlich auf ein Problem mit der Konfiguration des benutzerdefinierten Schlüsselspeichers oder mit externen Komponenten hin.

  • N/V: Erfolgreiche Anforderung; keine Fehler
ExceptionName

Werte:

  • Name der Ausnahme

  • Keine: Erfolgreiche Anforderung; keine Fehler

XksExternalKeyManagerStates

Die Anzahl der Instances des externen Schlüsselmanagers in jedem der folgenden Zustände: Active, Degraded und Unavailable. Die Informationen für diese Metrik stammen von dem externen Schlüsselspeicher-Proxy, der jedem externen Schlüsselspeicher zugeordnet ist. Diese Metrik gilt nur für externe Schlüsselspeicher.

Nachfolgend sind die Zustände für die Instances des externen Schlüsselmanagers aufgeführt, die mit einem externen Schlüsselspeicher verbunden sind. Jeder Proxy für einen externen Schlüsselspeicher verwendet möglicherweise andere Indikatoren zur Messung des Zustands Ihres externen Schlüsselmanagers. Weitere Informationen finden Sie in der Dokumentation Ihres externen Schlüsselspeicher-Proxys.

  • Active: Der externe Schlüsselmanager ist fehlerfrei.

  • Degraded: Der externe Schlüsselmanager ist fehlerhaft, kann aber trotzdem Datenverkehr bereitstellen.

  • Unavailable: Der externe Schlüsselmanager kann keinen Datenverkehr bereitstellen.

Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie über beeinträchtigte und nicht verfügbare externe Schlüsselmanager-Instances benachrichtigt. Sehen Sie in den Protokollen Ihres externen Schlüsselspeicher-Proxys nach, welche Instances des externen Schlüsselmanagers sich in welchem Zustand befinden.

Name der Dimensionsgruppe: XKS External Key Manager Metrics (XKS-Metriken für externe Key Manager)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
XksExternalKeyManagerState Wert für jeden Zustand.

XksProxyLatency

Die Anzahl der Millisekunden, die ein externer Schlüsselspeicher-Proxy für die Antwort auf eine AWS KMS-Anforderung benötigt. Wenn die Anforderung eine Zeitüberschreitung aufweist, entspricht der aufgezeichnete Wert der Zeitüberschreitungsgrenze von 250 Millisekunden. Diese Metrik gilt nur für externe Schlüsselspeicher.

Verwenden Sie diese Metrik, um die Leistung Ihres externen Schlüsselspeicher-Proxys und Ihres externen Schlüsselmanagers zu bewerten. Wenn der Proxy beispielsweise bei Verschlüsselungs- und Entschlüsselungsvorgängen häufig eine Zeitüberschreitung aufweist, wenden Sie sich an Ihren externen Proxy-Administrator.

Langsame Antworten können auch darauf hinweisen, dass Ihr externer Schlüsselmanager den aktuellen Datenverkehr nicht bewältigen kann. AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager in der Lage ist, bis zu 1 800 Anforderungen für kryptografische Vorgänge pro Sekunde zu verarbeiten. Wenn Ihr externer Schlüsselmanager die Rate von 1 800 Anforderungen pro Sekunde nicht bewältigen kann, sollten Sie eine Verringerung Ihrer Anforderungsquote für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher anfordern. Anforderungen für kryptografische Vorgänge, die die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, schlagen schnell mit einer Drosselungsausnahme fehl, anstatt verarbeitet und später von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager abgelehnt zu werden.

Name der Dimensionsgruppe: XKS Proxy Latency Metrics (XKS-Proxy-Latenzmetriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
KmsOperation Wert für jeden AWS KMS-API-Vorgang, der eine Anforderung an den XKS-Proxy generiert hat.
XksOperation Wert für jeden Proxy-API-Vorgang des externen Schlüsselspeichers.
KeySpec Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT.

Anzeigen von AWS KMS-Metriken

Sie können die AWS KMS Metriken mithilfe der AWS Management Console und der Amazon CloudWatch API anzeigen.

So zeigen Sie Metriken mit der CloudWatch Konsole an

  1. Öffnen Sie die - CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, in der sich Ihre AWS-Ressourcen befinden.

  3. Wählen Sie im Navigationsbereich Metrics (Metriken) All metrics (Alle Metriken) aus.

  4. Suchen Sie auf der Registerkarte Browse (Durchsuchen) nach KMS und wählen Sie dann KMS aus.

  5. Wählen Sie den Dimensionsgruppennamen der Metrik aus, die Sie anzeigen möchten.

    Wählen Sie beispielsweise für die SecondsUntilKeyMaterialExpiration-Metrik die Option Per-Key Metrics (Metriken pro Schlüssel) aus.

  6. Für ein Diagramm des Metrikwerts müssen Sie den Metriknamen und anschließend Add to graph auswählen. Um das Liniendiagramm in einen Wert zu konvertieren, wählen Sie Line (Linie)und dann Number (Zahl) aus.

So zeigen Sie Metriken mit der Amazon CloudWatch -API an

Um AWS KMS Metriken mit der CloudWatch -API anzuzeigen, senden Sie eine -ListMetricsAnforderung, bei der auf Namespace gesetzt istAWS/KMS. Im folgenden Beispiel wird gezeigt, wie Sie dies mit dem AWS Command Line Interface (AWS CLI) durchführen.

$  aws cloudwatch list-metrics --namespace AWS/KMS

{
    "Metrics": [
        {
            "Namespace": "AWS/KMS",
            "MetricName": "SecondsUntilKeyMaterialExpiration",
            "Dimensions": [
                {
                    "Name": "KeyId",
                    "Value": "1234abcd-12ab-34cd-56ef-1234567890ab"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "ExtenalKeyStoreThrottle",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Encrypt"
                },
                {
                    "Name": "KeySpec",
                    "Value": "SYMMETRIC_DEFAULT"
                }    
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyCertificateDaysToExpire",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "CertificateName",
                    "Value": "myproxy.xks.example.com"
                }    
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyCredentialAge",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyErrors",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Decrypt"
                },
                {
                    "Name": "XksOperation",
                    "Value": "Decrypt"
                },
                {
                     "Name": "KeySpec",
                     "Value": "SYMMETRIC_DEFAULT"
                },
                {
                    "Name": "ErrorType",
                    "Value": "Retryable errors"
                },
                {
                     "Name": "ExceptionName",
                     "Value": "KMSInvalidStateException"
                }                
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyHsmStates",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "XksProxyHsmState",
                    "Value": "Active"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyLatency",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Decrypt"
                },
                {
                    "Name": "XksOperation",
                    "Value": "Decrypt"
                },
                {
                     "Name": "KeySpec",
                     "Value": "SYMMETRIC_DEFAULT"
                }                
            ]
        }
    ]
}

Erstellen von CloudWatch Alarmen zur Überwachung von KMS-Schlüsseln

Sie können einen Amazon- CloudWatch Alarm basierend auf einer -AWS KMSMetrik erstellen. Der Alarm sendet eine E-Mail-Nachricht, wenn ein Metrikwert einen in der Alarmkonfiguration angegebenen Schwellenwert überschreitet. Der Alarm kann die E-Mail-Nachricht an ein Amazon-SNS (Amazon Simple Notification Service)-Thema oder eine Amazon-EC2-Auto-Scaling-Richtlinie senden. Ausführliche Informationen zu CloudWatch Alarmen finden Sie unter Verwenden von Amazon- CloudWatch Alarmen im Amazon CloudWatch -Benutzerhandbuch.

Erstellen eines Alarms für ablaufendes importiertes Schlüsselmaterial

Sie können die -SecondsUntilKeyMaterialExpirationMetrik verwenden, um einen CloudWatch Alarm zu erstellen, der Sie benachrichtigt, wenn das importierte Schlüsselmaterial in einem KMS-Schlüssel bald abläuft.

Wenn Sie Schlüsselmaterial in einen KMS-Schlüssel importieren, können Sie optional festlegen, an welchem Datum und zu welcher Uhrzeit das Schlüsselmaterial abläuft. Wenn das Schlüsselmaterial abgelaufen ist, löscht AWS KMS das Schlüsselmaterial und der KMS-Schlüssel kann nicht mehr verwendet werden. Wenn Sie den KMS-Schlüssel erneut nutzen möchten, müssen Sie das Schlüsselmaterial erneut importieren.

Anweisungen finden Sie unter Erstellen eines CloudWatch Alarms für den Ablauf von importiertem Schlüsselmaterial.

Erstellen eines Alarms für die Nutzung von KMS-Schlüsseln, die gelöscht werden sollen

Wenn Sie für einen KMS-Schlüssel das Löschen planen, erzwingt AWS KMS vor dem Löschen des KMS-Schlüssels eine Wartezeit. In der Wartezeit können Sie sicherzustellen, dass Sie den KMS-Schlüssel jetzt oder in der Zukunft nicht mehr benötigen. Sie können auch einen CloudWatch Alarm konfigurieren, um Sie zu warnen, wenn eine Person oder Anwendung versucht, den KMS-Schlüssel während der Wartezeit in einer kryptografischen Operation zu verwenden. Wenn Sie eine Benachrichtigung von einem solchen Alarm erhalten, können Sie das Löschen des KMS-Schlüssel abbrechen.

Anweisungen finden Sie unter Erstellen eines Alarms, der eine ausstehende Löschung eines KMS-Schlüssels erkennt.

Erstellen eines Alarms zur Überwachung eines externen Schlüsselspeichers

Sie können CloudWatch Alarme basierend auf den Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen.

Wir empfehlen Ihnen beispielsweise, einen CloudWatch Alarm einzustellen, der Sie benachrichtigt, wenn das TLS-Zertifikat für Ihren externen Schlüsselspeicher bald abläuft (XksProxyCertificateDaysToExpire), wenn Ihr externer Schlüsselspeicher-Proxy meldet, dass sich Ihre externen Schlüsselmanager-Instances in einem beeinträchtigten oder nicht verfügbaren Zustand befinden (XksProxyHsmStates).

Detaillierte Anweisungen finden Sie unter Überwachung eines externen Schlüsselspeichers.