Protokollieren und Überwachen in AWS Key Management Service

Überwachung ist wichtig, um die Verfügbarkeit, den Status und die Nutzung Ihrer AWS KMS keys in AWS KMS zu verstehen. Überwachung hilft, die Sicherheit, Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer AWS-Lösungen aufrecht zu erhalten. AWS stellt verschiedene Tools für die Überwachung Ihrer KMS-Schlüssel bereit.

AWS CloudTrail-Protokolle

Jeder Aufruf an einen AWS KMS-API-Vorgang wird als Ereignis in einem AWS CloudTrail-Protokoll erfasst. Diese Protokolle zeichnen alle API-Aufrufe von der AWS KMS-Konsole und Aufrufe von AWS KMS und anderen AWS-Services auf. Kontoübergreifende API-Aufrufe, z. B. ein Aufruf zur Verwendung eines KMS-Schlüssels in einem anderen AWS-Konto, werden in den CloudTrail Protokollen beider Konten aufgezeichnet.

Bei der Fehlerbehebung oder Überwachung können Sie mithilfe des Protokolls den Lebenszyklus eines KMS-Schlüssels rekonstruieren. Sie können auch die Verwaltung und Verwendung des KMS-Schlüssels in kryptografischen Operationen anzeigen. Weitere Informationen finden Sie unter AWS KMS APIAnrufe protokollieren mit AWS CloudTrail.

Amazon CloudWatch -Protokolle

Überwachen und speichern Sie Ihre Protokolldateien von AWS CloudTrail oder anderen Quellen, und greifen Sie darauf zu. Weitere Informationen finden Sie im Amazon- CloudWatch Benutzerhandbuch.

Für CloudWatch speichert nützliche InformationenAWS KMS, die Ihnen helfen, Probleme mit Ihren KMS-Schlüsseln und den Ressourcen zu vermeiden, die sie schützen. Weitere Informationen finden Sie unter KMSTasten mit Amazon überwachen CloudWatch.

Amazon EventBridge

AWS KMS generiert EventBridge Ereignisse, wenn Ihr KMS-Schlüssel gedreht oder gelöscht wird oder das importierte Schlüsselmaterial in Ihrem KMS-Schlüssel abläuft. Suchen Sie nach AWS KMS-Ereignissen (API-Operationen) und leiten sie zum Erfassen von Statusinformationen an eine oder mehrere Zielfunktionen oder Streams um. Weitere Informationen finden Sie unter KMSTasten mit Amazon überwachen EventBridge und im Amazon- EventBridge Benutzerhandbuch.

Amazon- CloudWatch Metriken

Sie können Ihre KMS-Schlüssel mithilfe von - CloudWatch Metriken überwachen, die Rohdaten von sammeln und AWS KMS in Leistungsmetriken verarbeiten. Die Daten werden in zweiwöchigen Intervallen aufgezeichnet, sodass Sie Trends aktueller und historischer Informationen anzeigen können. Auf diese Weise können Sie verstehen, wie Ihre KMS-Schlüssel verwendet werden und wie sich ihre Verwendung im Laufe der Zeit ändert. Informationen zur Verwendung von CloudWatch Metriken zur Überwachung von KMS-Schlüsseln finden Sie unter AWS KMS Metriken und Dimensionen.

Amazon- CloudWatch Alarme

Überwachen Sie eine Metrik über einen bestimmten, von Ihnen definierten Zeitraum. Der Alarm führt eine oder mehrere Aktionen durch, basierend auf dem Wert der Metrik im Vergleich zu einem bestimmten Schwellenwert in einer Reihe von Zeiträumen. Sie können beispielsweise einen CloudWatch Alarm erstellen, der ausgelöst wird, wenn jemand versucht, einen KMS-Schlüssel zu verwenden, dessen Löschung in einer kryptografischen Operation geplant ist. Dies zeigt an, dass der KMS-Schlüssel noch verwendet wird und wahrscheinlich nicht gelöscht werden sollte. Weitere Informationen finden Sie unter Erstellen Sie einen Alarm, der die Verwendung eines KMS Schlüssels erkennt, dessen Löschung noch aussteht.

AWS Security Hub

Sie können die Verwendung von AWS KMS auf die Einhaltung von Sicherheitsstandards und bewährten Praktiken mit AWS Security Hub. Security Hub verwendet Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen finden Sie unter AWS Key Management Service-Steuerungen im AWS Security Hub-Benutzerhandbuch.