Überwachung eines externen Schlüsselspeichers

AWS KMS erfasst Metriken für jede Interaktion mit einem externen Schlüsselspeicher und veröffentlicht sie in Ihrem CloudWatch Konto. Diese Metriken werden verwendet, um die Diagramme im Überwachungsabschnitt der Detailseite für jeden externen Schlüsselspeicher zu erstellen. Im folgenden Thema wird beschrieben, wie Sie die Diagramme verwenden, um Betriebs- und Konfigurationsprobleme zu identifizieren und zu beheben, die sich auf Ihren externen Schlüsselspeicher auswirken. Wir empfehlen, die CloudWatch Metriken zu verwenden, um Alarme einzurichten, die Sie benachrichtigen, wenn Ihr externer Schlüsselspeicher nicht wie erwartet funktioniert. Weitere Informationen finden Sie unter Überwachung mit Amazon CloudWatch.

Anzeigen der Diagramme

Sie können die Diagramme auf verschiedenen Detailebenen anzeigen. Standardmäßig verwendet jedes Diagramm einen Zeitbereich von drei Stunden und einen Aggregationszeitraum von fünf Minuten. Sie können die Diagrammansicht innerhalb der Konsole anpassen, aber Ihre Änderungen werden auf die Standardeinstellungen zurückgesetzt, wenn die Detailseite des externen Schlüsselspeichers geschlossen oder der Browser aktualisiert wird. Hilfe zur Amazon- CloudWatch Terminologie finden Sie unter Amazon- CloudWatch Konzepte.

Anzeigen von Datenpunktdetails

Die Daten in jedem Diagramm werden von AWS KMS-Metriken gesammelt. Um weitere Informationen zu einem bestimmten Datenpunkt anzuzeigen, halten Sie die Maus auf den Datenpunkt im Liniendiagramm. Daraufhin wird ein Popup-Fenster mit weiteren Informationen zu der Metrik angezeigt, von der das Diagramm abgeleitet wurde. Jedes Listenelement zeigt den an diesem Datenpunkt aufgezeichneten Dimensionswert an. Das Pop-up zeigt einen Nullwert (–) an, wenn für den Dimensionswert an diesem Datenpunkt keine Metrikdaten verfügbar sind. Einige Diagramme zeichnen mehrere Dimensionen und Werte für einen einzelnen Datenpunkt auf. Andere Diagramme, wie das Zuverlässigkeitsdiagramm, verwenden die von der Metrik erfassten Daten, um einen eindeutigen Wert zu berechnen. Jedes Listenelement ist einer anderen Farbe des Liniendiagramms zugeordnet.

Ändern des Zeitbereichs

Zum Ändern des Zeitbereichs wählen Sie im Überwachungsbereich oben rechts einen der vordefinierten Zeitbereiche aus. Die vordefinierten Zeitbereiche reichen von 1 Stunde bis 1 Woche (1h, 3h, 12h, 1d, 3d oder 1w). Dadurch wird der Zeitbereich für alle Diagramme angepasst. Wenn Sie ein bestimmtes Diagramm in einem anderen Zeitraum anzeigen möchten oder wenn Sie einen benutzerdefinierten Zeitraum festlegen möchten, vergrößern Sie das Diagramm oder zeigen Sie es in der Amazon- CloudWatch Konsole an.

Vergrößern von Diagrammen

Mit der Mini-Map-Zoomfunktion können Sie sich auf Abschnitte von Liniendiagrammen und gestapelte Teile der Diagramme konzentrieren, ohne zwischen vergrößerter und verkleinerter Ansicht zu wechseln. Sie können die Mini-Map-Zoomfunktion beispielsweise verwenden, um sich auf einen Spitzenwert in einem Diagramm zu konzentrieren, sodass Sie den Spitzenwert mit anderen Diagrammen im Überwachungsabschnitt auf derselben Zeitachse vergleichen können.

1. Wählen Sie den Bereich des Diagramms aus, auf den Sie sich konzentrieren möchten, und lassen Sie die Maustaste los.

2. Um den Zoom zurückzusetzen, wählen Sie das Symbol Zoom zurücksetzen aus, das wie eine Lupe mit einem Minuszeichen (-) darin aussieht.

Vergrößern eines Diagramms

Wenn Sie ein Diagramm vergrößern möchten, wählen Sie darin das Menüsymbol oben rechts aus und wählen Sie dann Enlarge (Vergrößern). Sie können auch das Vergrößerungssymbol auswählen, das neben dem Menüsymbol angezeigt wird, wenn Sie den Mauszeiger über ein Diagramm bewegen.

Durch die Vergrößerung eines Diagramms können Sie die Ansicht eines Diagramms weiter verändern, indem Sie einen anderen Zeitraum, einen benutzerdefinierten Zeitbereich oder ein Aktualisierungsintervall angeben. Diese Änderungen werden auf die Standardeinstellungen zurückgesetzt, wenn Sie die vergrößerte Ansicht schließen.

Ändern des Zeitraums

1. Wählen Sie das Optionsmenü für den Zeitraum aus. In diesem Menü wird standardmäßig folgender Wert angezeigt: 5 Minuten.

2. Wählen Sie einen Zeitraum. Die vordefinierten Zeiträume reichen von 1 Sekunde bis 30 Tage.

   Sie können beispielsweise eine Ein-Minuten-Ansicht auswählen. Dies kann nützlich sein, wenn Sie Fehler beheben. Sie können auch eine weniger detaillierte Ein-Stunden-Ansicht auswählen. Dies kann nützlich sein, wenn Sie einen größeren Zeitraum anzeigen (z. B. 3 Tage), damit Sie Trends über die Zeit anzeigen können. Weitere Informationen finden Sie unter Zeiträume im Amazon- CloudWatch Benutzerhandbuch.

Ändern des Zeitraums oder Zeitzone

1. Wählen Sie einen der vordefinierten Zeitbereiche, die von 1 Stunde bis 1 Woche reichen (1h, 3h, 12h, 1d, 3d oder 1w). Alternativ können Sie Custom (Benutzerdefiniert) auswählen, um Ihren eigenen Zeitraum festzulegen.

2. Wählen Sie Custom (Benutzerdefiniert) aus.

   1. Zeitraum: Wählen Sie die Registerkarte Absolute (Absolut) im Feld oben links aus. Verwenden Sie die Kalenderauswahl oder die Textfelder, um einen Zeitraum festzulegen.

   2. Zeitzone: Wählen Sie das Dropdown-Menü im Feld oben rechts aus. Sie können die Zeitzone auf UTC oder Local time zone (lokale Zeitzone) ändern.

3. Wählen Sie nach dem Festlegen eines Zeitraums Apply (Anwenden) aus.

Ändern der Aktualisierungshäufigkeit der Daten in Ihrem Diagramm

1. Wählen Sie oben rechts das Menü Refresh options (Aktualisierungsoptionen) aus.

2. Wählen Sie ein Aktualisierungsintervall (Aus, 10 Sekunden, 1 Minute, 2 Minuten, 5 Minuten oder 15 Minuten).

Diagramme in der Amazon- CloudWatch Konsole anzeigen

Die Diagramme im Überwachungsabschnitt werden von vordefinierten Metriken abgeleitet, die in Amazon AWS KMS veröffentlicht CloudWatch. Sie können sie in der CloudWatch Konsole öffnen und in CloudWatch Dashboards speichern. Wenn Sie mehrere externe Schlüsselspeicher haben, können Sie die entsprechenden Diagramme in öffnen CloudWatch und sie in einem einzigen Dashboard speichern, um ihren Zustand und ihre Nutzung zu vergleichen.

Zum CloudWatch Dashboard hinzufügen

Wählen Sie Zu Dashboard hinzufügen in der oberen rechten Ecke aus, um alle Diagramme zu einem Amazon- CloudWatch Dashboard hinzuzufügen. Sie können entweder ein vorhandenes Dashboard auswählen oder ein neues erstellen. Informationen zur Verwendung dieses Dashboards zum Erstellen benutzerdefinierter Ansichten der Diagramme und Alarme finden Sie unter Verwenden von Amazon CloudWatch-Dashboards im Amazon- CloudWatch Benutzerhandbuch.

Anzeigen in - CloudWatch Metriken

Wählen Sie das Menüsymbol in der oberen rechten Ecke eines einzelnen Diagramms und wählen Sie In Metriken anzeigen, um dieses Diagramm in der Amazon CloudWatch-Konsole anzuzeigen. Von der CloudWatch Konsole aus können Sie dieses einzelne Diagramm zu einem Dashboard hinzufügen und Zeitbereiche, Zeiträume und Aktualisierungsintervalle ändern. Weitere Informationen finden Sie unter Grafisches Darstellen von Metriken im Amazon- CloudWatch Benutzerhandbuch.

Interpretieren der Diagramme

AWS KMS bietet mehrere Diagramme zur Überwachung des Zustands Ihres externen Schlüsselspeichers innerhalb der AWS KMS-Konsole. Diese Diagramme werden automatisch konfiguriert und von AWS KMS-Metriken abgeleitet.

Die Diagrammdaten werden als Teil der Aufrufe gesammelt, die Sie an Ihren externen Schlüsselspeicher und Ihre externen Schlüssel richten. Es kann sein, dass Sie in einem Zeitraum, in dem Sie keine Aufrufe getätigt haben, Daten in den Diagrammen sehen. Diese Daten stammen von den regelmäßigen GetHealthStatus-Aufrufen, die AWS KMS in Ihrem Namen durchführt, um den Status Ihres externen Schlüsselspeicher-Proxys und Ihres externen Schlüsselmanagers zu überprüfen. Wenn Ihre Diagramme die Meldung No data available (Keine Daten verfügbar) anzeigen, wurden in diesem Zeitraum keine Anrufe aufgezeichnet oder Ihr externer Schlüsselspeicher befindet sich im Status DISCONNECTED. Möglicherweise können Sie den Zeitpunkt der Trennung Ihres externen Schlüsselspeichers ermitteln, indem Sie Ihre Ansicht auf einen breiteren Zeitbereich einstellen.

Themen

• Anfragen insgesamt
• Zuverlässigkeit
• Latency
• 5 häufigste Ausnahmen
• Gültigkeitsdauer des Zertifikats in Tagen

Anfragen insgesamt

Die Gesamtzahl der AWS KMS-Anforderungen, die für einen bestimmten externen Schlüsselspeicher während eines bestimmten Zeitraums empfangen wurden. Anhand dieses Diagramms können Sie feststellen, ob das Risiko einer Drosselung besteht.

AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager in der Lage ist, bis zu 1 800 Anforderungen für kryptografische Vorgänge pro Sekunde zu verarbeiten. Wenn Sie innerhalb von fünf Minuten 540 000 Aufrufe erreichen, besteht das Risiko einer Drosselung.

Mit der Metrik ExternalKeyStoreThrottle können Sie die Anzahl der Anforderungen für kryptografische Vorgänge für KMS-Schlüssel in Ihrem externen Schlüsselspeicher überwachen, die AWS KMS drosselt.

Wenn Sie sehr häufig KMSInvalidStateException-Fehler mit einer Meldung erhalten, in der erklärt wird, dass die Anforderung „aufgrund einer sehr hohen Anforderungsrate“ abgelehnt wurde, könnte dies darauf hinweisen, dass Ihr externer Schlüsselmanager oder externer Schlüsselspeicher-Proxy mit der aktuellen Anforderungsrate nicht Schritt halten kann. Verringen Sie wenn möglich Ihre Anforderungsrate. Sie können auch eine Verringerung des Anforderungskontingentwerts für benutzerdefinierte Schlüsselspeicher anfordern. Eine Verringerung dieses Kontingentwerts könnte die Drosselung erhöhen, deutet aber darauf hin, dass AWS KMS übermäßige Anforderungen schnell zurückweist, bevor sie an Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager gesendet werden. Um eine Reduzierung des Kontingents zu beantragen, besuchen Sie bitte das AWS Support Center und erstellen Sie einen Fall.

Das Diagramm für die gesamten Anforderungen wird von der XksProxyErrors-Metrik abgeleitet, die Daten über die erfolgreichen und nicht erfolgreichen Antworten erfasst, die AWS KMS von Ihrem externen Schlüsselspeicher-Proxy erhält. Wenn Sie einen bestimmten Datenpunkt anzeigen, zeigt das Popup-Fenster den Wert der CustomKeyStoreId-Dimension neben der Gesamtzahl der AWS KMS-Anforderungen an, die an diesem Datenpunkt aufgezeichnet wurden. Die CustomKeyStoreId bleibt immer gleich.

Zuverlässigkeit

Der Prozentsatz der AWS KMS-Anforderungen, für die der externe Schlüsselspeicher-Proxy entweder eine erfolgreiche Antwort oder einen nicht wiederholbaren Fehler zurückgegeben hat. Bewerten Sie anhand dieses Diagramms den Betriebszustand Ihres externen Schlüsselspeicher-Proxys.

Wenn das Diagramm einen Wert von weniger als 100 % anzeigt, weist dies auf Fälle hin, in denen der Proxy entweder nicht oder mit einem wiederholbaren Fehler geantwortet hat. Dies kann auf Probleme mit dem Netzwerk, Langsamkeit des externen Schlüsselspeicher-Proxys oder des externen Schlüsselmanagers oder auf Implementierungsfehler hindeuten.

Wenn die Anforderung eine falsche Anmeldeinformation enthält und Ihr Proxy mit einer AuthenticationFailedException antwortet, zeigt das Diagramm trotzdem 100 % Zuverlässigkeit an, weil der Proxy einen falschen Wert in der API-Anforderung des externen Schlüsselspeicher-Proxys identifiziert hat und der Fehler daher erwartet wurde. Wenn der Prozentsatz Ihres Zuverlässigkeitsdiagramms 100 % beträgt, reagiert Ihr externer Schlüsselspeicher-Proxy wie erwartet. Wenn das Diagramm einen Wert von weniger als 100 % anzeigt, hat der Proxy entweder mit einem wiederholbaren Fehler geantwortet oder eine Zeitüberschreitung verursacht. Wenn der Proxy beispielsweise aufgrund einer sehr hohen Anzahl von Anforderungen mit einer ThrottlingException antwortet, wird ein niedrigerer Zuverlässigkeitsgrad angezeigt, da der Proxy nicht in der Lage war, ein spezifisches Problem in der Anforderung zu identifizieren, das zum Fehlschlagen führte. Dies liegt daran, dass es sich bei wiederholbaren Fehlern wahrscheinlich um vorübergehende Probleme handelt, die durch einen erneuten Versuch der Anforderung behoben werden können.

Die folgenden Fehlerantworten senken den Zuverlässigkeitsgrad. Mit dem Diagramm 5 häufigste Ausnahmen und der Metrik XksProxyErrors können Sie weiter überwachen, wie häufig Ihr Proxy jeden wiederholbaren Fehler zurückgibt.

• InternalException

• DependencyTimeoutException

• ThrottlingException

• XksProxyUnreachableException

Das Zuverlässigkeitsdiagramm wird von der XksProxyErrors-Metrik abgeleitet, die Daten über die erfolgreichen und nicht erfolgreichen Antworten erfasst, die AWS KMS von Ihrem externen Schlüsselspeicher-Proxy erhält. Der Zuverlässigkeitsprozentsatz sinkt nur, wenn die Antwort den ErrorType-Wert Retryable hat. Wenn Sie einen bestimmten Datenpunkt anzeigen, zeigt das Popup-Fenster den Wert der CustomKeyStoreId-Dimension neben dem Prozentsatz der Zuverlässigkeit für AWS KMS-Anforderungen an, die an diesem Datenpunkt aufgezeichnet wurden. Die CustomKeyStoreId bleibt immer gleich.

Wir empfehlen, die -XksProxyErrorsMetrik zu verwenden, um einen CloudWatch Alarm zu erstellen, der Sie über potenzielle Netzwerkprobleme benachrichtigt, indem er Sie warnt, wenn mehr als fünf wiederholbare Fehler in einem Zeitraum von einer Minute aufgezeichnet werden. Weitere Informationen finden Sie unter Erstellen eines Amazon- CloudWatch Alarms für wiederholbare Fehler.

Latency

Die Anzahl der Millisekunden, die ein externer Schlüsselspeicher-Proxy für die Antwort auf eine AWS KMS-Anforderung benötigt. Verwenden Sie dieses Diagramm, um die Leistung Ihres externen Schlüsselspeicher-Proxys und externen Schlüsselmanagers zu bewerten.

AWS KMS erwartet, dass der externe Schlüsselspeicher-Proxy auf jede Anforderung innerhalb von 250 Millisekunden antwortet. Im Falle von Netzwerk-Timeouts wiederholt AWS KMS die Anforderung einmal. Wenn der Proxy ein zweites Mal fehlschlägt, entspricht die aufgezeichnete Latenz der kombinierten Timeout-Grenze für beide Anforderungen und das Diagramm zeigt etwa 500 Millisekunden an. In allen anderen Fällen, in denen der Proxy nicht innerhalb der Timeout-Grenze von 250 Millisekunden antwortet, beträgt die aufgezeichnete Latenzzeit 250 Millisekunden. Wenn der Proxy bei Verschlüsselungs- und Entschlüsselungsvorgängen häufig eine Zeitüberschreitung aufweist, wenden Sie sich an Ihren externen Proxy-Administrator. Hilfe zur Behebung von Latenzproblemen finden Sie unter Latenz- und Zeitüberschreitungsfehler.

Langsame Antworten können auch darauf hinweisen, dass Ihr externer Schlüsselmanager den aktuellen Datenverkehr nicht bewältigen kann. AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager in der Lage ist, bis zu 1 800 Anforderungen für kryptografische Vorgänge pro Sekunde zu verarbeiten. Wenn Ihr externer Schlüsselmanager die Rate von 1 800 Anforderungen pro Sekunde nicht bewältigen kann, sollten Sie eine Verringerung Ihrer Anforderungsquote für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher anfordern. Anforderungen für kryptografische Vorgänge, die die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, schlagen schnell mit einer Drosselungsausnahme fehl, anstatt verarbeitet und später von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager abgelehnt zu werden.

Das Latenzdiagramm wird von der XksProxyLatency-Metrik abgeleitet. Wenn Sie einen bestimmten Datenpunkt anzeigen, zeigt das Popup-Fenster die entsprechenden Werte der Dimensionen KmsOperation und XksOperation sowie die durchschnittliche Latenz an, die für die Vorgänge an diesem Datenpunkt aufgezeichnet wurde. Die Listenelemente sind von der höchsten zur niedrigsten Latenz sortiert.

Wir empfehlen, die -XksProxyLatencyMetrik zu verwenden, um einen CloudWatch Alarm zu erstellen, der Sie benachrichtigt, wenn sich Ihre Latenz dem Timeout-Limit nähert. Weitere Informationen finden Sie unter Erstellen eines Amazon- CloudWatch Alarms für ein Reaktions-Timeout.

5 häufigste Ausnahmen

Die fünf häufigsten Ausnahmen für fehlgeschlagene kryptografische und verwaltungstechnische Vorgänge innerhalb eines bestimmten Zeitraums. Verwenden Sie dieses Diagramm, um die häufigsten Fehler zu verfolgen, sodass Sie Ihre Entwicklungsarbeit nach Prioritäten ordnen können.

Diese Zahl umfasst Ausnahmen, die AWS KMS vom externen Schlüsselspeicher-Proxy erhalten hat, und die XksProxyUnreachableException, die AWS KMS intern zurückgibt, wenn keine Kommunikation mit dem externen Schlüsselspeicher-Proxy hergestellt werden kann.

Hohe Raten wiederholbarer Fehler können auf Netzwerkfehler hinweisen, während hohe Raten nicht wiederholbarer Fehler auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen können. Eine hohe Anzahl von AuthenticationFailedExceptions weist beispielsweise auf eine Diskrepanz zwischen den in AWS KMS konfigurierten Authentifizierungsanmeldeinformationen und dem Proxy des externen Schlüsselspeichers hin. Informationen zur Konfiguration Ihres externen Schlüsselspeichers finden Sie unter Anzeigen eines externen Schlüsselspeichers. Informationen zum Bearbeiten der Einstellungen Ihres externen Schlüsselspeichers finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers.

Die Ausnahmen, die AWS KMS vom externen Schlüsselspeicher-Proxy empfängt, unterscheiden sich von den Ausnahmen, die von AWS KMS zurückgegeben werden, wenn ein Vorgang fehlschlägt. Kryptografische AWS KMS-Operationen geben eine KMSInvalidStateException für alle Fehler im Zusammenhang mit der externen Konfiguration oder dem Verbindungsstatus des externen Schlüsselspeichers zurück. Identifizieren Sie das Problem anhand des zugehörigen Fehlermeldungstexts.

Die folgende Tabelle enthält die Ausnahmen, die im Diagramm der 5 häufigsten Ausnahmen erscheinen können, und die entsprechenden Ausnahmen, die AWS KMS an Sie zurückgibt.

Fehlertyp	Im Diagramm angezeigte Ausnahme	Ausnahme, die AWS KMS an Sie zurückgibt
Nicht wiederholbar	AccessDeniedException Hilfe zur Problembehebung finden Sie unter Probleme mit der Proxy-Autorisierung.	CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	AuthenticationFailedException Hilfe zur Problembehebung finden Sie unter Fehler mit der Anmeldeinformation für die Authentifizierung.	XksProxyIncorrectAuthenticationCredentialException als Antwort auf CreateCustomKeyStore- und UpdateCustomKeyStore-Vorgänge. CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Wiederholbar	DependencyTimeoutException Hilfe zur Problembehebung finden Sie unter Latenz- und Zeitüberschreitungsfehler.	XksProxyUriUnreachableException als Antwort auf CreateCustomKeyStore- und UpdateCustomKeyStore-Vorgänge. CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Wiederholbar	InternalException Der Proxy des externen Schlüsselspeichers hat die Anforderung abgelehnt, weil er nicht mit dem externen Schlüsselmanager kommunizieren kann. Stellen Sie sicher, dass die Proxykonfiguration für den externen Schlüsselspeicher korrekt ist und dass der externe Schlüsselmanager verfügbar ist.	XksProxyInvalidResponseException als Antwort auf CreateCustomKeyStore- und UpdateCustomKeyStore-Vorgänge. CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	InvalidCiphertextException Hilfe zur Problembehebung finden Sie unter Entschlüsselungsfehler.	KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	InvalidKeyUsageException Hilfe zur Problembehebung finden Sie unter Kryptografische Operationsfehler für den externen Schlüssel.	XksKeyInvalidConfigurationException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	InvalidStateException Hilfe zur Problembehebung finden Sie unter Kryptografische Operationsfehler für den externen Schlüssel.	XksKeyInvalidConfigurationException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	InvalidUriPathException Hilfe zur Problembehebung finden Sie unter Allgemeine Konfigurationsfehler.	XksProxyInvalidConfigurationException als Antwort auf CreateCustomKeyStore- und UpdateCustomKeyStore-Vorgänge. CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	KeyNotFoundException Hilfe zur Problembehebung finden Sie unter Fehler mit externen Schlüsseln.	XksKeyNotFoundException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Wiederholbar	ThrottlingException Der Proxy des externen Schlüsselspeichers hat die Anforderung aufgrund einer sehr hohen Anzahl von Anforderungen abgelehnt. Verringern Sie die Häufigkeit Ihrer Aufrufe mit KMS-Schlüsseln in diesem externen Schlüsselspeicher.	XksProxyUriUnreachableException als Antwort auf CreateCustomKeyStore- und UpdateCustomKeyStore-Vorgänge. CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	UnsupportedOperationException Hilfe zur Problembehebung finden Sie unter Kryptografische Operationsfehler für den externen Schlüssel.	XksKeyInvalidResponseException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Nicht wiederholbar	ValidationException Hilfe zur Problembehebung finden Sie unter Proxy-Probleme.	XksProxyInvalidResponseException als Antwort auf CreateCustomKeyStore- und UpdateCustomKeyStore-Vorgänge. CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.
Wiederholbar	XksProxyUnreachableException Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein URI-Pfad und Endpunkt-URI oder der Name des VPC-Service in Ihrem externen Schlüsselspeicher korrekt sind.	XksProxyUriUnreachableException als Antwort auf CreateCustomKeyStore- und UpdateCustomKeyStore-Vorgänge. CustomKeyStoreInvalidStateException als Antwort auf CreateKey-Vorgänge. KMSInvalidStateException als Antwort auf kryptografische Vorgänge.

Das Diagramm mit den fünf wichtigsten Ausnahmen wird von der XksProxyErrors-Metrik abgeleitet. Wenn Sie einen bestimmten Datenpunkt anzeigen, zeigt das Popup-Fenster den Wert der Dimension ExceptionName zusammen mit der Anzahl, wie oft die Ausnahme an diesem Datenpunkt aufgezeichnet wurde. Die fünf Elemente der Liste sind in der Reihenfolge der häufigsten Ausnahme bis zur geringsten geordnet.

Wir empfehlen, die -XksProxyErrorsMetrik zu verwenden, um einen CloudWatch Alarm zu erstellen, der Sie über potenzielle Konfigurationsprobleme benachrichtigt, indem er Sie benachrichtigt, wenn mehr als fünf nicht wiederholbare Fehler in einem Zeitraum von einer Minute aufgezeichnet werden. Weitere Informationen finden Sie unter Erstellen eines Amazon- CloudWatch Alarms für nicht wiederholbare Fehler.

Gültigkeitsdauer des Zertifikats in Tagen

Die Anzahl der Tage, bis das TLS-Zertifikat für den Proxy-Endpunkt Ihres externen Schlüsselspeichers (XksProxyUriEndpoint) abläuft. Verwenden Sie dieses Diagramm zur Überwachung des bevorstehenden Ablaufs Ihres TLS-Zertifikats.

Wenn das Zertifikat abläuft, kann AWS KMS nicht mit dem Proxy des externen Schlüsselspeichers kommunizieren. Der Zugriff auf alle durch KMS-Schlüssel geschützten Daten in Ihrem externen Schlüsselspeicher ist dann erst wieder möglich, wenn Sie das Zertifikat erneuern.

Das Diagramm mit der Gültigkeitsdauer des Zertifikats in Tagen wird von der XksProxyCertificateDaysToExpire-Metrik abgeleitet. Wir empfehlen dringend, diese Metrik zu verwenden, um einen CloudWatch Alarm zu erstellen, der Sie über den bevorstehenden Ablauf benachrichtigt. Der Ablauf des Zertifikats kann den Zugriff auf Ihre verschlüsselten Ressourcen verhindern. Stellen Sie den Alarm so ein, dass Ihre Organisation Zeit hat, das Zertifikat zu erneuern, bevor es abläuft. Weitere Informationen finden Sie unter Erstellen eines Amazon- CloudWatch Alarms für den Ablauf von Zertifikaten.

Festlegen von Alarmen

Die Diagramme im Überwachungsabschnitt geben einen Überblick über den Zustand Ihrer externen Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern für einen bestimmten Zeitraum. Sie können jedoch Amazon- CloudWatch Alarme basierend auf Metriken für externe Schlüsselspeicher erstellen, um Sie zu benachrichtigen, wenn ein Metrikwert einen von Ihnen angegebenen Schwellenwert überschreitet. Der Alarm kann die E-Mail-Nachricht an ein Amazon Simple Notification Service (Amazon SNS)-Thema oder eine Richtlinie von Amazon EC2 Auto Scaling senden. Ausführliche Informationen zu CloudWatch Alarmen finden Sie unter Verwenden von Amazon- CloudWatch Alarmen im Amazon- CloudWatch Benutzerhandbuch.

Bevor Sie einen Amazon- CloudWatch Alarm erstellen, benötigen Sie ein Amazon SNS-Thema. Weitere Informationen finden Sie unter Erstellen eines Amazon SNS-Themas im Amazon- CloudWatch Benutzerhandbuch.

Themen

• Erstellen eines Amazon- CloudWatch Alarms für den Ablauf von Zertifikaten
• Erstellen eines Amazon- CloudWatch Alarms für ein Reaktions-Timeout
• Erstellen eines Amazon- CloudWatch Alarms für wiederholbare Fehler
• Erstellen eines Amazon- CloudWatch Alarms für nicht wiederholbare Fehler

Erstellen eines Amazon- CloudWatch Alarms für den Ablauf von Zertifikaten

Dieser Alarm verwendet die XksProxyCertificateDaysToExpire Metrik, die in AWS KMS veröffentlicht, CloudWatch um den voraussichtlichen Ablauf des TLS-Zertifikats aufzuzeichnen, das Ihrem externen Schlüsselspeicher-Proxy-Endpunkt zugeordnet ist. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.

Wir empfehlen, den Alarm so einzustellen, dass Sie 10 Tage vor Ablauf Ihres Zertifikats gewarnt werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.

Den Alarm erstellen

Folgen Sie den Anweisungen unter Erstellen eines CloudWatch Alarms basierend auf einem statischen Schwellenwert mit den folgenden erforderlichen Werten. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.

Feld	Value (Wert)
Metrik auswählen	Wählen Sie KMS und dann XKS Proxy Certificate Metrics (XKS-Proxy-Zertifikatsmetriken). Aktivieren Sie das Kontrollkästchen neben dem XksProxyCertificateName, den Sie überwachen möchten. Wählen Sie dann Select Metric (Metrik auswählen) aus.
Statistik	Minimum
Intervall	5 Minuten
Threshold-Typ	Statisch
Immer, wenn ...	Immer wenn Lower als XksProxyCertificateDaysToExpire ist10.

Erstellen eines Amazon- CloudWatch Alarms für ein Reaktions-Timeout

Dieser Alarm verwendet die XksProxyLatency Metrik, die in AWS KMS CloudWatch veröffentlicht, um die Anzahl der Millisekunden aufzuzeichnen, die ein externer Schlüsselspeicher-Proxy benötigt, um auf eine -AWS KMSAnforderung zu antworten. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.

AWS KMS erwartet, dass der externe Schlüsselspeicher-Proxy auf jede Anforderung innerhalb von 250 Millisekunden antwortet. Wir empfehlen, einen Alarm einzustellen, der Sie benachrichtigt, wenn Ihr externer Schlüsselspeicher-Proxy länger als 200 Millisekunden braucht, um zu antworten, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.

Den Alarm erstellen

Folgen Sie den Anweisungen unter Erstellen eines CloudWatch Alarms basierend auf einem statischen Schwellenwert mit den folgenden erforderlichen Werten. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.

Feld	Value (Wert)
Metrik auswählen	Wählen Sie KMS und dann XKS Proxy Latency Metrics (XKS-Proxy-Latenzmetriken). Aktivieren Sie das Kontrollkästchen neben dem KmsOperation, den Sie überwachen möchten. Wählen Sie dann Select Metric (Metrik auswählen) aus.
Statistik	Durchschnitt
Intervall	5 Minuten
Threshold-Typ	Statisch
Immer, wenn ...	Immer wenn Greater als XksProxyLatency ist200.

Erstellen eines Amazon- CloudWatch Alarms für wiederholbare Fehler

Dieser Alarm verwendet die XksProxyErrors Metrik, die in AWS KMS veröffentlicht, CloudWatch um die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy aufzuzeichnen. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.

Wiederholbare Fehler verringern Ihren Zuverlässigkeitsgrad und können auf Netzwerkfehler hinweisen. Wir empfehlen, einen Alarm einzustellen, der Sie warnt, wenn mehr als fünf wiederholbare Fehler innerhalb einer Minute aufgezeichnet werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.

Folgen Sie den Anweisungen unter Erstellen eines CloudWatch Alarms basierend auf einem statischen Schwellenwert mit den folgenden erforderlichen Werten. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.

Feld	Value (Wert)
Metrik auswählen	Wählen Sie die Registerkarte Queries (Abfragen) aus. Wählen Sie AWS/KMS als Namespace aus. Geben Sie SUM(XksProxyErrors) als Metriknamen ein. Geben Sie ErrorType = Retryable bei Filter by (Filtern nach) ein. Wählen Sie Ausführen aus. Wählen Sie dann Select Metric (Metrik auswählen) aus.
Label (Bezeichnung)	Wiederholbare Fehler
Intervall	1 Minute
Threshold-Typ	Statisch
Immer, wenn ...	Immer wenn q1 Greater als 5 ist.

Erstellen eines Amazon- CloudWatch Alarms für nicht wiederholbare Fehler

Dieser Alarm verwendet die XksProxyErrors Metrik, die in AWS KMS veröffentlicht, CloudWatch um die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy aufzuzeichnen. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.

Nicht wiederholbare Fehler können auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Wir empfehlen, einen Alarm einzustellen, der Sie warnt, wenn mehr als fünf nicht wiederholbare Fehler innerhalb einer Minute aufgezeichnet werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.

Folgen Sie den Anweisungen unter Erstellen eines CloudWatch Alarms basierend auf einem statischen Schwellenwert mit den folgenden erforderlichen Werten. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.

Feld	Value (Wert)
Metrik auswählen	Wählen Sie die Registerkarte Queries (Abfragen) aus. Wählen Sie AWS/KMS als Namespace aus. Geben Sie SUM(XksProxyErrors) als Metriknamen ein. Geben Sie ErrorType = Non-retryable bei Filter by (Filtern nach) ein. Wählen Sie Ausführen aus. Wählen Sie dann Select Metric (Metrik auswählen) aus.
Label (Bezeichnung)	Nicht wiederholbare Fehler
Intervall	1 Minute
Threshold-Typ	Statisch
Immer, wenn ...	Immer wenn q1 Greater als 5 ist.