Überwachung mit Amazon CloudWatch - AWS Key Management Service
Metriken und DimensionenMetriken anzeigen AWS KMSCloudWatch Alarme

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung mit Amazon CloudWatch

Sie können Ihre AWS KMS keys Nutzung von Amazon überwachen CloudWatch, einem AWS Service, der Rohdaten sammelt und AWS KMS in lesbare, nahezu in Echtzeit verfügbare Metriken verarbeitet. Diese Daten werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf historische Daten zugreifen und die Nutzung Ihrer KMS-Schlüssel sowie deren Änderungen besser nachvollziehen können.

Sie können Amazon verwenden CloudWatch , um Sie auf wichtige Ereignisse wie die folgenden aufmerksam zu machen.

  • Das importierte Schlüsselmaterial in einem KMS-Schlüssel befindet kurz vor dem Ablaufdatum.

  • Ein KMS-Schlüssel, dessen Löschung ansteht, wird immer noch verwendet.

  • Das Schlüsselmaterial in einem KMS-Schlüssel wurde automatisch rotiert.

  • Ein KMS-Schlüssel wurde gelöscht.

Sie können auch einen CloudWatchAmazon-Alarm einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Weitere Informationen finden Sie im AWS Sicherheitsblog unter Verwalten Sie Ihre AWS KMS API-Anforderungsraten mithilfe von Service Quotas und Amazon CloudWatch.

AWS KMS Metriken und Dimensionen

AWS KMS definiert CloudWatch Amazon-Metriken, um Ihnen die Überwachung kritischer Daten und die Erstellung von Alarmen zu erleichtern. Sie können die AWS KMS Metriken mithilfe der AWS Management Console und der CloudWatch Amazon-API anzeigen.

In diesem Abschnitt werden die einzelnen AWS KMS Metriken und die Dimensionen für jede Metrik aufgeführt und einige grundlegende Anleitungen zur Erstellung von CloudWatch Alarmen auf der Grundlage dieser Metriken und Dimensionen bereitgestellt.

Anmerkung

Name der Dimensionsgruppe:

Um eine Metrik in der CloudWatch Amazon-Konsole anzuzeigen, wählen Sie im Abschnitt Metriken den Namen der Dimensionsgruppe aus. Dann können Sie nach dem Metriknamen filtern. Dieses Thema enthält den Metriknamen und den Dimensionsgruppennamen für jede AWS KMS -Metrik.

SecondsUntilKeyMaterialExpiration

Die Anzahl der verbleibenden Sekunden, bis das importierte Schlüsselmaterial eines KMS-Schlüssels abläuft. Diese Metrik gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial (Herkunft des Schlüsselmaterials EXTERNAL) und einem Ablaufdatum.

Verwenden Sie diese Metrik, um die Zeit zu verfolgen, die bis zum Ablauf Ihres importierten Schlüsselmaterials verbleibt. Wenn diese Zeit unter einen von Ihnen definierten Schwellenwert fällt, sollten Sie das Schlüsselmaterial mit einem neuen Ablaufdatum erneut importieren. Die SecondsUntilKeyMaterialExpiration-Metrik ist spezifisch für einen KMS-Schlüssel. Sie können diese Metrik nicht verwenden, um mehrere KMS-Schlüssel oder KMS-Schlüssel, die Sie möglicherweise in Zukunft erstellen werden, zu überwachen. Hilfe zur Erstellung eines CloudWatch Alarms zur Überwachung dieser Metrik finden Sie unterEinen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen.

Die nützlichste Statistik für diese Metrik ist Minimum, die Ihnen die kleinste verbleibende Zeit für alle Datenpunkte im angegebenen Statistikzeitraum angibt. Die einzige gültige Einheit für diese Metrik ist Seconds.

Name der Dimensionsgruppe: Per-Key Metrics (Metriken pro Schlüssel)

Dimensionen für SecondsUntilKeyMaterialExpiration
Dimension Beschreibung; bezieht sich auf AWS
KeyId Wert für jeden KMS-Schlüssel.

ExternalKeyStoreThrottle

Die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in jedem externen Schlüsselspeicher, der AWS KMS gedrosselt wird (mit einem antwortet). ThrottlingException Diese Metrik gilt nur für externe Schlüsselspeicher.

Die ExternalKeyStoreThrottle Metrik gilt nur für KMS-Schlüssel in einem externen Schlüsselspeicher und nur für Anfragen für kryptografische Operationen und den Vorgang. DescribeKey AWS KMS drosselt diese Anfragen, wenn die Anforderungsrate das benutzerdefinierte Schlüsselspeicher-Anforderungskontingent für Ihren externen Schlüsselspeicher überschreitet. Diese Metrik berücksichtigt nicht die Drosselung durch Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.

Verwenden Sie diese Metrik, um den Wert des Anforderungskontingents für benutzerdefinierte Schlüsselspeicher zu überprüfen und anzupassen. Wenn diese Metrik darauf hindeutet, AWS KMS dass Ihre Anfragen für diese KMS-Schlüssel häufig gedrosselt werden, sollten Sie erwägen, eine Erhöhung des Kontingents für benutzerdefinierte Schlüsselspeicher-Anfragen zu beantragen. Hilfe finden Sie unter Anfordern einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch.

Wenn Sie sehr häufig KMSInvalidStateException-Fehler mit einer Meldung erhalten, in der erklärt wird, dass die Anforderung „aufgrund einer sehr hohen Anforderungsrate“ abgelehnt wurde oder die Anforderung abgelehnt wurde, „weil der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat“, könnte dies darauf hinweisen, dass Ihr externer Schlüsselmanager oder externer Schlüsselspeicher-Proxy mit der aktuellen Anforderungsrate nicht Schritt halten kann. Verringen Sie wenn möglich Ihre Anforderungsrate. Sie können auch eine Verringerung des Anforderungskontingentwerts für benutzerdefinierte Schlüsselspeicher anfordern. Eine Verringerung dieses Kontingentwerts kann die Drosselung (und den ExternalKeyStoreThrottle Metrikwert) erhöhen, bedeutet aber, dass AWS KMS überschüssige Anfragen schnell zurückgewiesen werden, bevor sie an Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager gesendet werden. Um eine Reduzierung des Kontingents zu beantragen, besuchen Sie bitte das AWS Support Center und erstellen Sie einen Fall.

Name der Dimensionsgruppe: Keystore Throttle Metrics (Keystore-Drossel-Metriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
KmsOperation Wert für jeden API-Vorgang AWS KMS . Diese Metrik gilt nur für kryptografische Vorgänge und den DescribeKey-Vorgang für KMS-Schlüssel in einem externen Schlüsselspeicher.
KeySpec Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT.

XksProxyCertificateDaysToExpire

Die Anzahl der Tage, bis das TLS-Zertifikat für den Proxy-Endpunkt Ihres externen Schlüsselspeichers (XksProxyUriEndpoint) abläuft. Diese Metrik gilt nur für externe Schlüsselspeicher.

Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie über den bevorstehenden Ablauf Ihres TLS-Zertifikats informiert. Wenn das Zertifikat abläuft, AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommuniziert werden. Der Zugriff auf alle durch KMS-Schlüssel geschützten Daten in Ihrem externen Schlüsselspeicher ist dann erst wieder möglich, wenn Sie das Zertifikat erneuern.

Ein Zertifikatsalarm verhindert, dass ein abgelaufenes Zertifikat den Zugriff auf Ihre verschlüsselten Ressourcen verhindert. Stellen Sie den Alarm so ein, dass Ihre Organisation Zeit hat, das Zertifikat zu erneuern, bevor es abläuft.

Name der Dimensionsgruppe: XKS Proxy Certificate Metrics (XKS-Proxy-Zertifikatsmetriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
CertificateName Subjektname (CN) im TLS-Zertifikat.

XksProxyCredentialAge

Die Anzahl der Tage, seit die aktuelle Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers (XksProxyAuthenticationCredential) mit dem externen Schlüsselspeicher verknüpft wurde. Diese Zählung beginnt, wenn Sie die Anmeldeinformation für die Authentifizierung beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eingeben. Diese Metrik gilt nur für externe Schlüsselspeicher.

Dieser Wert soll Sie daran erinnern, wie alt Ihre Anmeldeinformation für die Authentifizierung ist. Da wir jedoch mit der Zählung beginnen, wenn Sie die Anmeldeinformation mit Ihrem externen Schlüsselspeicher verknüpfen, und nicht, wenn Sie Ihre Anmeldeinformation für die Authentifizierung auf dem Proxy des externen Schlüsselspeichers erstellen, ist dies möglicherweise kein genauer Indikator für das Alter der Anmeldeinformation auf dem Proxy.

Verwenden Sie diese Metrik, um einen CloudWatch Alarm auszulösen, der Sie daran erinnert, Ihre Proxyauthentifizierungsdaten für den externen Schlüsselspeicher zu wechseln.

Name der Dimensionsgruppe: Per-Keystore Metrics (Metriken pro Keystore)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.

XksProxyErrors

Die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy. Diese Anzahl umfasst Ausnahmen, zu denen der externe Schlüsselspeicher-Proxy zurückkehrt, AWS KMS und Timeoutfehler, die auftreten, wenn der externe Schlüsselspeicher-Proxy nicht AWS KMS innerhalb des Timeout-Intervalls von 250 Millisekunden reagiert. Diese Metrik gilt nur für externe Schlüsselspeicher.

Mit dieser Metrik können Sie die Fehlerquote von KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verfolgen. Sie gibt Aufschluss über die häufigsten Fehler, sodass Sie Ihre Entwicklungsarbeit nach Prioritäten ordnen können. KMS-Schlüssel, die eine hohe Rate an nicht wiederholbaren Fehlern generieren, könnten beispielsweise auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Informationen zur Konfiguration Ihres externen Schlüsselspeichers finden Sie unter Anzeigen eines externen Schlüsselspeichers. Informationen zum Bearbeiten der Einstellungen Ihres externen Schlüsselspeichers finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers.

Name der Dimensionsgruppe: XKS Proxy Error Metrics (XKS-Proxy-Fehlermetriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
KmsOperation Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat.
XksOperation Wert für jeden Proxy-API-Vorgang des externen Schlüsselspeichers.
KeySpec Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT.
ErrorType Werte:

  • Wiederholbare Fehler: Wahrscheinlich vorübergehend, z. B. Netzwerkfehler.

  • Nicht wiederholbare Fehler: Weisen wahrscheinlich auf ein Problem mit der Konfiguration des benutzerdefinierten Schlüsselspeichers oder mit externen Komponenten hin.

  • N/V: Erfolgreiche Anforderung; keine Fehler
ExceptionName

Werte:

  • Name der Ausnahme

  • Keine: Erfolgreiche Anforderung; keine Fehler

XksExternalKeyManagerStates

Die Anzahl der Instances des externen Schlüsselmanagers in jedem der folgenden Zustände: Active, Degraded und Unavailable. Die Informationen für diese Metrik stammen von dem externen Schlüsselspeicher-Proxy, der jedem externen Schlüsselspeicher zugeordnet ist. Diese Metrik gilt nur für externe Schlüsselspeicher.

Nachfolgend sind die Zustände für die Instances des externen Schlüsselmanagers aufgeführt, die mit einem externen Schlüsselspeicher verbunden sind. Jeder Proxy für einen externen Schlüsselspeicher verwendet möglicherweise andere Indikatoren zur Messung des Zustands Ihres externen Schlüsselmanagers. Weitere Informationen finden Sie in der Dokumentation Ihres externen Schlüsselspeicher-Proxys.

  • Active: Der externe Schlüsselmanager ist fehlerfrei.

  • Degraded: Der externe Schlüsselmanager ist fehlerhaft, kann aber trotzdem Datenverkehr bereitstellen.

  • Unavailable: Der externe Schlüsselmanager kann keinen Datenverkehr bereitstellen.

Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie vor heruntergestuften und nicht verfügbaren externen Key-Manager-Instanzen warnt. Sehen Sie in den Protokollen Ihres externen Schlüsselspeicher-Proxys nach, welche Instances des externen Schlüsselmanagers sich in welchem Zustand befinden.

Name der Dimensionsgruppe: XKS External Key Manager Metrics (XKS-Metriken für externe Key Manager)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
XksExternalKeyManagerState Wert für jeden Zustand.

XksProxyLatency

Die Anzahl der Millisekunden, die ein externer Schlüsselspeicher-Proxy für die Antwort auf eine AWS KMS -Anforderung benötigt. Wenn die Anforderung eine Zeitüberschreitung aufweist, entspricht der aufgezeichnete Wert der Zeitüberschreitungsgrenze von 250 Millisekunden. Diese Metrik gilt nur für externe Schlüsselspeicher.

Verwenden Sie diese Metrik, um die Leistung Ihres externen Schlüsselspeicher-Proxys und Ihres externen Schlüsselmanagers zu bewerten. Wenn der Proxy beispielsweise bei Verschlüsselungs- und Entschlüsselungsvorgängen häufig eine Zeitüberschreitung aufweist, wenden Sie sich an Ihren externen Proxy-Administrator.

Langsame Antworten können auch darauf hindeuten, dass Ihr externer Key Manager den aktuellen Anforderungsverkehr nicht bewältigen kann. AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager bis zu 1800 Anfragen für kryptografische Operationen pro Sekunde verarbeiten kann. Wenn Ihr externer Schlüsselmanager die Rate von 1 800 Anforderungen pro Sekunde nicht bewältigen kann, sollten Sie eine Verringerung Ihrer Anforderungsquote für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher anfordern. Anforderungen für kryptografische Vorgänge, die die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, schlagen schnell mit einer Drosselungsausnahme fehl, anstatt verarbeitet und später von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager abgelehnt zu werden.

Name der Dimensionsgruppe: XKS Proxy Latency Metrics (XKS-Proxy-Latenzmetriken)

Dimension Beschreibung
CustomKeyStoreId Wert für jeden externen Schlüsselspeicher.
KmsOperation Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat.
XksOperation Wert für jeden Proxy-API-Vorgang des externen Schlüsselspeichers.
KeySpec Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT.

Metriken anzeigen AWS KMS

Sie können die AWS KMS Metriken mithilfe der AWS Management Console und der CloudWatch Amazon-API anzeigen.

Um Metriken mit der CloudWatch Konsole anzuzeigen

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, in der sich Ihre AWS -Ressourcen befinden.

  3. Wählen Sie im Navigationsbereich Metrics (Metriken) All metrics (Alle Metriken) aus.

  4. Suchen Sie auf der Registerkarte Browse (Durchsuchen) nach KMS und wählen Sie dann KMS aus.

  5. Wählen Sie den Dimensionsgruppennamen der Metrik aus, die Sie anzeigen möchten.

    Wählen Sie beispielsweise für die SecondsUntilKeyMaterialExpiration-Metrik die Option Per-Key Metrics (Metriken pro Schlüssel) aus.

  6. Für ein Diagramm des Metrikwerts müssen Sie den Metriknamen und anschließend Add to graph auswählen. Um das Liniendiagramm in einen Wert zu konvertieren, wählen Sie Line (Linie)und dann Number (Zahl) aus.

So zeigen Sie Metriken mithilfe der CloudWatch Amazon-API an

Um AWS KMS Metriken mithilfe der CloudWatch API anzuzeigen, senden Sie eine ListMetricsAnfrage mit der Namespace Einstellung aufAWS/KMS. Im folgenden Beispiel wird gezeigt, wie Sie dies mit dem AWS Command Line Interface (AWS CLI) durchführen.

$  aws cloudwatch list-metrics --namespace AWS/KMS

{
    "Metrics": [
        {
            "Namespace": "AWS/KMS",
            "MetricName": "SecondsUntilKeyMaterialExpiration",
            "Dimensions": [
                {
                    "Name": "KeyId",
                    "Value": "1234abcd-12ab-34cd-56ef-1234567890ab"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "ExternalKeyStoreThrottle",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Encrypt"
                },
                {
                    "Name": "KeySpec",
                    "Value": "SYMMETRIC_DEFAULT"
                }    
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyCertificateDaysToExpire",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "CertificateName",
                    "Value": "myproxy.xks.example.com"
                }    
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyCredentialAge",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyErrors",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Decrypt"
                },
                {
                    "Name": "XksOperation",
                    "Value": "Decrypt"
                },
                {
                     "Name": "KeySpec",
                     "Value": "SYMMETRIC_DEFAULT"
                },
                {
                    "Name": "ErrorType",
                    "Value": "Retryable errors"
                },
                {
                     "Name": "ExceptionName",
                     "Value": "KMSInvalidStateException"
                }                
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyHsmStates",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "XksProxyHsmState",
                    "Value": "Active"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyLatency",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Decrypt"
                },
                {
                    "Name": "XksOperation",
                    "Value": "Decrypt"
                },
                {
                     "Name": "KeySpec",
                     "Value": "SYMMETRIC_DEFAULT"
                }                
            ]
        }
    ]
}

CloudWatch Alarme zur Überwachung von KMS-Schlüsseln erstellen

Sie können einen CloudWatch Amazon-Alarm auf der Grundlage einer AWS KMS Metrik erstellen. Der Alarm sendet eine E-Mail-Nachricht, wenn ein Metrikwert einen in der Alarmkonfiguration angegebenen Schwellenwert überschreitet. Der Alarm kann die E-Mail-Nachricht an ein Amazon-SNS (Amazon Simple Notification Service)-Thema oder eine Amazon-EC2-Auto-Scaling-Richtlinie senden. Ausführliche Informationen zu CloudWatch Alarmen finden Sie unter Verwenden von CloudWatch Amazon-Alarmen im CloudWatch Amazon-Benutzerhandbuch

Erstellen eines Alarms für ablaufendes importiertes Schlüsselmaterial

Sie können die SecondsUntilKeyMaterialExpirationMetrik verwenden, um einen CloudWatch Alarm zu erstellen, der Sie benachrichtigt, wenn das importierte Schlüsselmaterial in einem KMS-Schlüssel bald abläuft.

Wenn Sie Schlüsselmaterial in einen KMS-Schlüssel importieren, können Sie optional festlegen, an welchem Datum und zu welcher Uhrzeit das Schlüsselmaterial abläuft. Wenn das Schlüsselmaterial abläuft, wird das Schlüsselmaterial AWS KMS gelöscht und der KMS-Schlüssel wird unbrauchbar. Wenn Sie den KMS-Schlüssel erneut nutzen möchten, müssen Sie das Schlüsselmaterial erneut importieren.

Anweisungen finden Sie unter Einen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen.

Erstellen eines Alarms für die Nutzung von KMS-Schlüsseln, die gelöscht werden sollen

Wenn Sie für einen KMS-Schlüssel das Löschen planen, erzwingt AWS KMS vor dem Löschen des KMS-Schlüssels eine Wartezeit. In der Wartezeit können Sie sicherzustellen, dass Sie den KMS-Schlüssel jetzt oder in der Zukunft nicht mehr benötigen. Sie können auch einen CloudWatch Alarm konfigurieren, der Sie warnt, wenn eine Person oder Anwendung während der Wartezeit versucht, den KMS-Schlüssel in einem kryptografischen Vorgang zu verwenden. Wenn Sie eine Benachrichtigung von einem solchen Alarm erhalten, können Sie das Löschen des KMS-Schlüssel abbrechen.

Anweisungen finden Sie unter Erstellen eines Alarms, der eine ausstehende Löschung eines KMS-Schlüssels erkennt.

Erstellen eines Alarms zur Überwachung eines externen Schlüsselspeichers

Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen.

Wir empfehlen Ihnen beispielsweise, einen CloudWatch Alarm einzurichten, der Sie benachrichtigt, wenn das TLS-Zertifikat für Ihren externen Schlüsselspeicher bald abläuft (XksProxyCertificateDaysToExpire), wenn Ihr und wenn Ihr externer Schlüsselspeicher-Proxy meldet, dass sich Ihre externen Schlüsselmanager-Instanzen in einem heruntergestuften oder nicht verfügbaren Zustand befinden (XksProxyHsmStates).

Detaillierte Anweisungen finden Sie unter Überwachung eines externen Schlüsselspeichers.