Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überwachung von AWS KMS keys
Die Überwachung ist ein wichtiger Teil zum Verständnis der Verfügbarkeit, des Zustands und der Nutzung Ihrer AWS KMS keys in AWS KMS und die Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS-Lösungen. Durch das Sammeln von Überwachungsdaten aus allen Teilen Ihrer AWS-Lösung können Sie einen Multipoint-Fehler debuggen, falls ein solcher auftritt. Bevor Sie mit der Überwachung Ihrer KMS-Schlüssel beginnen, erstellen Sie einen Überwachungsplan, der Antworten auf folgende Fragen enthält:
-
Was sind Ihre Ziele bei der Überwachung?
-
Welche Ressourcen werden überwacht?
-
Wie oft werden diese Ressourcen überwacht?
-
Welche Überwachungswerkzeugte verwenden Sie?
-
Wer soll die Überwachungsaufgaben ausführen?
-
Wer sollte benachrichtigt werden, wenn etwas passiert?
Als nächsten Schritt überwachen Sie Ihre KMS-Schlüssel, um eine Basis für die normale AWS KMS-Nutzung und Erwartungen in Ihrer Umgebung zu erstellen. Während Sie Ihre KMS-Schlüssel überwachen, speichern Sie historische Überwachungsdaten, damit Sie sie mit aktuellen Daten vergleichen können, identifizieren Sie normale Muster und Anomalien und erarbeiten Sie Methoden, um Probleme zu lösen.
Zum Beispiel können Sie AWS KMS-API-Aktivitäten und -Ereignisse überwachen, die Ihre KMS-Schlüssel beeinflussen. Wenn Daten Grenzwerte über- oder unterschreiten, müssen Sie möglicherweise untersuchen oder Korrekturmaßnahmen ergreifen.
Um eine Grundlinie für normale Muster zu erstellen, überwachen Sie folgende Punkte:
-
AWS KMS-API-Aktivitäten für Datenebenen-Operationen. Dabei handelt es sich um kryptografische Operationen, die einen KMS-Schlüssel verwenden, z. B. Decrypt , EncryptReEncrypt , und GenerateDataKey.
-
AWS KMS-API-Aktivitäten für Steuerebenen-Operationen, die für Sie wichtig sind. Diese Operationen verwalten einen KMS-Schlüssel, und Sie möchten möglicherweise diejenigen überwachen, die die Verfügbarkeit eines KMS-Schlüssels ändern (z. B. ScheduleKeyDeletion, CancelKeyDeletion, DisableKeyEnableKeyImportKeyMaterial, und DeleteImportedKeyMaterial) oder die Zugriffskontrolle eines KMS-Schlüssels ändern (z. B. PutKeyPolicy und RevokeGrant).
-
Andere AWS KMS-Metriken (wie die noch verbleibende Zeit, bis Ihr importiertes Schlüsselmaterial abläuft, und Ereignisse (z. B. das Ablaufen des importierten Schlüsselmaterials oder das Löschen oder eine Schlüsseldrehung eines KMS-Schlüssels).
Überwachungstools
AWS bietet verschiedene Werkzeuge, mit denen Sie Ihre KMS-Schlüssel überwachen können. Sie können einige dieser Tools so konfigurieren, dass diese die Überwachung für Sie übernehmen, während bei anderen Tools ein manuelles Eingreifen nötig ist. Wir empfehlen, dass Sie die Überwachungsaufgaben möglichst automatisieren.
Automatisierte Überwachungstools
Sie können die folgenden automatisierten Überwachungstools verwenden, um Ihre KMS-Schlüssel zu verfolgen und zu berichten, wenn sich etwas geändert hat.
-
AWS CloudTrail Protokollüberwachung – Teilen Sie Protokolldateien zwischen Konten, überwachen Sie CloudTrail Protokolldateien in Echtzeit, indem Sie sie an - CloudWatch Protokolle senden, schreiben Sie Anwendungen zur Protokollverarbeitung mit der CloudTrail Processing Library und überprüfen Sie, ob sich Ihre Protokolldateien nach der Bereitstellung durch nicht geändert haben CloudTrail. Weitere Informationen finden Sie unter Arbeiten mit CloudTrail Protokolldateien im AWS CloudTrail -Benutzerhandbuch.
-
Amazon CloudWatch -Alarme – Überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum und führen Sie eine oder mehrere Aktionen aus, die auf dem Wert der Metrik im Verhältnis zu einem bestimmten Schwellenwert über eine Reihe von Zeiträumen basieren. Die Aktion ist eine Benachrichtigung, die an ein Amazon Simple Notification Service (Amazon SNS)-Thema oder eine Amazon EC2 Auto Scaling-Richtlinie gesendet wird. - CloudWatch Alarme rufen keine Aktionen auf, nur weil sie sich in einem bestimmten Status befinden. Der Status muss geändert und für eine bestimmte Anzahl von Zeiträumen beibehalten worden sein. Weitere Informationen finden Sie unter Überwachung mit Amazon CloudWatch.
-
Amazon EventBridge – Ordnen Sie Ereignisse zu und leiten Sie sie an eine oder mehrere Zielfunktionen oder Streams weiter, um Statusinformationen zu erfassen und bei Bedarf Änderungen vorzunehmen oder Korrekturmaßnahmen zu ergreifen. Weitere Informationen finden Sie unter Überwachung mit Amazon EventBridge und im Amazon- EventBridge Benutzerhandbuch.
-
Amazon CloudWatch Logs – Überwachen, Speichern und Zugriff auf Ihre Protokolldateien von AWS CloudTrail oder anderen Quellen. Weitere Informationen finden Sie im Amazon- CloudWatch Logs-Benutzerhandbuch.
Manuelle Überwachungstools
Ein weiterer wichtiger Bestandteil der Überwachung von KMS-Schlüsseln ist die manuelle Überwachung derjenigen Elemente, die die CloudWatch Alarme und Ereignisse nicht abdecken. Die AWS Dashboards AWS KMS, CloudWatchAWS Trusted Advisor, und andere bieten einen at-a-glance Überblick über den Zustand Ihrer AWS Umgebung.
Sie können die Seiten Von AWS verwaltete Schlüssel und Customer managed keys (kundenverwaltete Schlüssel) der AWS KMS-Konsole
-
Schlüssel-ID
-
Status
-
Erstellungsdatum
-
Ablaufdatum (für KMS-Schlüssel mit importiertem Schlüsselmaterial)
-
Urspung
-
Benutzerdefinierte Schlüsselspeicher-ID (für KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern)
Das CloudWatch -Konsolen-Dashboard
-
Aktuelle Alarme und Status
-
Diagramme mit Alarmen und Ressourcen
-
Servicestatus
Darüber hinaus können Sie mit Folgendes CloudWatch tun:
-
Erstellen angepasster Dashboards zur Überwachung der gewünschten Services.
-
Aufzeichnen von Metrikdaten, um Probleme zu beheben und Trends zu erkennen
-
Durchsuchen und Suchen aller AWS-Ressourcenmetriken
-
Erstellen und Bearbeiten von Alarmen, um über Probleme benachrichtigt zu werden
AWS Trusted Advisor kann Ihnen helfen, Ihre AWS Ressourcen zu überwachen, um Leistung, Zuverlässigkeit, Sicherheit und Kosteneffektivität zu verbessern. Vier Trusted Advisor-Prüfungen stehen allen Benutzern zur Verfügung; mehr als 50 Überprüfungen stehen Benutzern mit einem Business- oder Enterprise-Supportplan zur Verfügung. Weitere Informationen finden Sie unter AWS Trusted Advisor