Überwachung von AWS KMS keys - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung von AWS KMS keys

Die Überwachung ist ein wichtiger Teil zum Verständnis der Verfügbarkeit, des Zustands und der Nutzung Ihrer AWS KMS keys in AWS KMS und die Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS-Lösungen. Durch das Sammeln von Überwachungsdaten aus allen Teilen Ihrer AWS-Lösung können Sie einen Multipoint-Fehler debuggen, falls ein solcher auftritt. Bevor Sie mit der Überwachung Ihrer KMS-Schlüssel beginnen, erstellen Sie einen Überwachungsplan, der Antworten auf folgende Fragen enthält:

  • Was sind Ihre Ziele bei der Überwachung?

  • Welche Ressourcen werden überwacht?

  • Wie oft werden diese Ressourcen überwacht?

  • Welche Überwachungswerkzeugte verwenden Sie?

  • Wer soll die Überwachungsaufgaben ausführen?

  • Wer sollte benachrichtigt werden, wenn etwas passiert?

Als nächsten Schritt überwachen Sie Ihre KMS-Schlüssel, um eine Basis für die normale AWS KMS-Nutzung und Erwartungen in Ihrer Umgebung zu erstellen. Während Sie Ihre KMS-Schlüssel überwachen, speichern Sie historische Überwachungsdaten, damit Sie sie mit aktuellen Daten vergleichen können, identifizieren Sie normale Muster und Anomalien und erarbeiten Sie Methoden, um Probleme zu lösen.

Zum Beispiel können Sie AWS KMS-API-Aktivitäten und -Ereignisse überwachen, die Ihre KMS-Schlüssel beeinflussen. Wenn Daten Grenzwerte über- oder unterschreiten, müssen Sie möglicherweise untersuchen oder Korrekturmaßnahmen ergreifen.

Um eine Grundlinie für normale Muster zu erstellen, überwachen Sie folgende Punkte:

Überwachungstools

AWS bietet verschiedene Werkzeuge, mit denen Sie Ihre KMS-Schlüssel überwachen können. Sie können einige dieser Tools so konfigurieren, dass diese die Überwachung für Sie übernehmen, während bei anderen Tools ein manuelles Eingreifen nötig ist. Wir empfehlen, dass Sie die Überwachungsaufgaben möglichst automatisieren.

Automatisierte Überwachungstools

Sie können die folgenden automatisierten Überwachungstools verwenden, um Ihre KMS-Schlüssel zu verfolgen und zu berichten, wenn sich etwas geändert hat.

  • AWS CloudTrail Protokollüberwachung – Teilen Sie Protokolldateien zwischen Konten, überwachen Sie CloudTrail Protokolldateien in Echtzeit, indem Sie sie an - CloudWatch Protokolle senden, schreiben Sie Anwendungen zur Protokollverarbeitung mit der CloudTrail Processing Library und überprüfen Sie, ob sich Ihre Protokolldateien nach der Bereitstellung durch nicht geändert haben CloudTrail. Weitere Informationen finden Sie unter Arbeiten mit CloudTrail Protokolldateien im AWS CloudTrail -Benutzerhandbuch.

  • Amazon CloudWatch -Alarme – Überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum und führen Sie eine oder mehrere Aktionen aus, die auf dem Wert der Metrik im Verhältnis zu einem bestimmten Schwellenwert über eine Reihe von Zeiträumen basieren. Die Aktion ist eine Benachrichtigung, die an ein Amazon Simple Notification Service (Amazon SNS)-Thema oder eine Amazon EC2 Auto Scaling-Richtlinie gesendet wird. - CloudWatch Alarme rufen keine Aktionen auf, nur weil sie sich in einem bestimmten Status befinden. Der Status muss geändert und für eine bestimmte Anzahl von Zeiträumen beibehalten worden sein. Weitere Informationen finden Sie unter Überwachung mit Amazon CloudWatch.

  • Amazon EventBridge – Ordnen Sie Ereignisse zu und leiten Sie sie an eine oder mehrere Zielfunktionen oder Streams weiter, um Statusinformationen zu erfassen und bei Bedarf Änderungen vorzunehmen oder Korrekturmaßnahmen zu ergreifen. Weitere Informationen finden Sie unter Überwachung mit Amazon EventBridge und im Amazon- EventBridge Benutzerhandbuch.

  • Amazon CloudWatch Logs – Überwachen, Speichern und Zugriff auf Ihre Protokolldateien von AWS CloudTrail oder anderen Quellen. Weitere Informationen finden Sie im Amazon- CloudWatch Logs-Benutzerhandbuch.

Manuelle Überwachungstools

Ein weiterer wichtiger Bestandteil der Überwachung von KMS-Schlüsseln ist die manuelle Überwachung derjenigen Elemente, die die CloudWatch Alarme und Ereignisse nicht abdecken. Die AWS Dashboards AWS KMS, CloudWatchAWS Trusted Advisor, und andere bieten einen at-a-glance Überblick über den Zustand Ihrer AWS Umgebung.

Sie können die Seiten Von AWS verwaltete Schlüssel und Customer managed keys (kundenverwaltete Schlüssel) der AWS KMS-Konsole anpassen, um folgende Informationen zu jedem KMS-Schlüssel anzuzeigen:

Das CloudWatch -Konsolen-Dashboard zeigt Folgendes an:

  • Aktuelle Alarme und Status

  • Diagramme mit Alarmen und Ressourcen

  • Servicestatus

Darüber hinaus können Sie mit Folgendes CloudWatch tun:

  • Erstellen angepasster Dashboards zur Überwachung der gewünschten Services.

  • Aufzeichnen von Metrikdaten, um Probleme zu beheben und Trends zu erkennen

  • Durchsuchen und Suchen aller AWS-Ressourcenmetriken

  • Erstellen und Bearbeiten von Alarmen, um über Probleme benachrichtigt zu werden

AWS Trusted Advisor kann Ihnen helfen, Ihre AWS Ressourcen zu überwachen, um Leistung, Zuverlässigkeit, Sicherheit und Kosteneffektivität zu verbessern. Vier Trusted Advisor-Prüfungen stehen allen Benutzern zur Verfügung; mehr als 50 Überprüfungen stehen Benutzern mit einem Business- oder Enterprise-Supportplan zur Verfügung. Weitere Informationen finden Sie unter AWS Trusted Advisor.