Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Monitorización de claves KMS con Amazon CloudWatch
Puede supervisar su AWS KMS keys mediante Amazon CloudWatch, un servicio de AWS que recopila y procesa los datos sin procesar de AWS KMS en métricas legibles y casi en tiempo real. Estos datos se registran durante un periodo de dos semanas para que pueda obtener acceso a información histórica y conocer mejor el uso de sus claves KMS y sus cambios a lo largo del tiempo.
Puede utilizar Amazon CloudWatch para alertar sobre eventos importantes, como los siguientes.
-
El material clave importado de una clave KMS se acerca a su fecha de vencimiento.
-
Se sigue utilizando una clave KMS pendiente de eliminación.
-
El material clave de una clave KMS se rotó automáticamente.
-
Se ha eliminado una clave KMS.
También puede crear una alarma Amazon CloudWatch que le avisa cuando su tasa de solicitudes alcanza un cierto porcentaje de un valor de cuota. Para conocer detalles, consulte Administre la tasa de solicitudes de la API de AWS KMS mediante Service Quotas y Amazon CloudWatch
Métricas y dimensiones de AWS KMS
AWS KMS predefine las métricas de Amazon CloudWatch para facilitar el monitoreo de los datos críticos y la creación de alarmas. Puede ver las métricas AWS KMS con la AWS Management Console y la API de Amazon CloudWatch.
En esta sección, se enumeran todas las métricas de AWS KMS y las dimensiones de cada métrica. Además, proporciona una guía básica para crear alarmas de CloudWatch en función de estas métricas y dimensiones.
nota
Nombre del grupo de dimensiones:
Para ver una métrica en la consola de Amazon CloudWatch, en la sección Metrics (Métricas), seleccione el nombre del grupo de dimensiones. Luego, puede filtrar por Nombre de la métrica. Este tema incluye el nombre de la métrica y el nombre del grupo de dimensiones de cada métrica de AWS KMS.
Puede ver las métricas AWS KMS con la AWS Management Console y la API de Amazon CloudWatch. Para obtener más información, consulte Visualización de las métricas disponibles en la Guía del usuario de Amazon CloudWatch.
Temas
SecondsUntilKeyMaterialExpiration
La cantidad de segundos que quedan hasta que caduque el material de clave importado de una clave de KMS. Esta métrica es válida solo para las claves de KMS con material de clave importado (un origen de material de clave de EXTERNAL
) y una fecha de caducidad.
Utilice esta métrica para realizar un seguimiento del tiempo que queda hasta que caduque el material de claves importado. Cuando ese tiempo cae por debajo de un umbral que usted define, puede volver a importar el material de clave con una nueva fecha de caducidad. La métrica SecondsUntilKeyMaterialExpiration
es específica de una clave de KMS. No puede usar esta métrica para supervisar varias claves de KMS o claves de KMS que pueda crear en el futuro. Para obtener ayuda sobre la creación de una alarma de CloudWatch para monitorear esta métrica, consulte Creación de una alarma de CloudWatch para el vencimiento del material de claves importado.
La estadística más útil para esta métrica es Minimum
, que le indica la menor cantidad de tiempo restante para todos los puntos de datos en el período estadístico especificado. La única unidad válida para esta métrica es Seconds
.
Nombre del grupo de dimensiones: Per-Key Metrics
Dimensión | Descripción; relacionada con AWS |
---|---|
KeyId | Valor para cada clave de KMS. |
Al programar una eliminación de claves de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Puede usar el periodo de espera para asegurarse de que no necesita la clave KMS ni ahora ni en el futuro. También puede configurar una alarma de CloudWatch que le avise si una persona o aplicación intenta utilizar la clave KMS en una operación criptográfica durante el periodo de espera. Si recibe una notificación de una alarma de este tipo, puede cancelar la eliminación de la clave KMS.
Para obtener instrucciones, consulte Cree una alarma que detecte el uso de una KMS clave pendiente de eliminación.
ExternalKeyStoreThrottle
La cantidad de solicitudes de operaciones criptográficas en las claves de KMS de cada almacén de claves externo que AWS KMS limita (responde con una ThrottlingException
). Esta métrica se aplica únicamente a los almacenes de claves externos.
La métrica ExternalKeyStoreThrottle
se aplica solo a las claves de KMS en un almacén de claves externo y solo a las solicitudes de operaciones criptográficas y a la operación DescribeKey. AWS KMS limita estas solicitudes cuando su tasa de solicitudes supera la cuota de solicitudes del almacén de claves personalizado para su almacén de claves externo. Esta métrica no incluye la limitación por parte del proxy del almacén de claves externo ni del administrador de claves externo.
Usa esta métrica para revisar y ajustar el valor de la cuota de solicitudes de su almacén de claves personalizado. Si esta métrica indica que AWS KMS limita sus solicitudes para estas claves de KMS con frecuencia, podría considerar solicitar un aumento en el valor de su cuota de solicitudes del almacén de claves personalizado. Para conocer más detalles, consulte Solicitud de un aumento de cuota en la Guía del usuario de Service Quotas.
Si con frecuencia recibe errores KMSInvalidStateException
con un mensaje que explica que la solicitud fue rechazada “debido a una tasa de solicitudes muy alta” o “debido a que el proxy del almacén de claves externo no respondió a tiempo”, podría indicar que su administrador de claves externo o el proxy de almacén de claves externo no puede seguir el ritmo de la tasa de solicitudes actual. Si es posible, reduzca el porcentaje de solicitudes. También podría considerar solicitar una disminución en el valor de la cuota de solicitudes del almacén de claves personalizado. Reducir este valor de cuota puede aumentar la limitación (y el valor de la métrica ExternalKeyStoreThrottle
), pero indica que AWS KMS está rechazando rápidamente el exceso de solicitudes antes de enviarlas a su proxy del almacén de claves externo o a un administrador de claves externo. Para solicitar una reducción de la cuota, visite el Centro de AWS Support
Nombre del grupo de dimensiones: Keystore Throttle Metrics
Dimensión | Descripción |
---|---|
CustomKeyStoreId | Valor para cada almacén de claves externo. |
KmsOperation | Valor para cada operación de API de AWS KMS Esta métrica se aplica solo a las operaciones criptográficas y a la operación DescribeKey en las claves de KMS en un almacén de claves externo. |
KeySpec | Valor para cada tipo de clave de KMS. La única especificación de clave admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC_DEFAULT. |
XksProxyCertificateDaysToExpire
El número de días que faltan para que venza el certificado TLS del punto de conexión del proxy del almacén de claves externo (XksProxyUriEndpoint
). Esta métrica se aplica únicamente a los almacenes de claves externos.
Puede utilizar esta métrica para crear una alarma de CloudWatch que lo notifique sobre la próxima fecha de caducidad de su certificado TLS. Cuando el certificado vence, AWS KMS no se puede comunicar con el proxy del almacén de claves externo. No se podrá acceder a todos los datos protegidos por las claves de KMS en su almacén de claves externo hasta que renueve el certificado.
Una alarma previene que caduque la certificación que le puede impedir a usted acceder a sus recursos encriptados. Configure la alarma para que su organización tenga tiempo de renovar el certificado antes de que venza.
Nombre del grupo de dimensiones: XKS Proxy Certificate Metrics
Dimensión | Descripción |
---|---|
CustomKeyStoreId | Valor para cada almacén de claves externo. |
CertificateName | Nombre del sujeto (CN) en el certificado TLS. |
Puede crear alarmas de CloudWatch en función de las métricas para los almacenes de claves externos y para las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte Monitoreo de almacenes de claves externos.
XksProxyCredentialAge
La cantidad de días que transcurrieron desde que la credencial de autenticación del proxy del almacén de claves externo actual (XksProxyAuthenticationCredential
) se asoció con el almacén de claves externo. Este recuento comienza cuando introduce la credencial de autenticación como parte para crear o actualizar su almacén de claves externo. Esta métrica se aplica únicamente a los almacenes de claves externos.
Este valor está diseñado para recordarle la antigüedad de su credencial de autenticación. Sin embargo, dado que empezamos el recuento cuando asocia la credencial a su almacén de claves externo, no cuando crea su credencial de autenticación en el proxy del almacén de claves externo, es posible que este no sea un indicador preciso de la antigüedad de las credenciales en el proxy.
Utilice esta métrica para crear una alarma de CloudWatch que le recuerde que debe rotar su credencial de autenticación del proxy del almacén de claves externo.
Nombre del grupo de dimensiones: Per-Keystore Metrics
Dimensión | Descripción |
---|---|
CustomKeyStoreId | Valor para cada almacén de claves externo. |
Puede crear alarmas de CloudWatch en función de las métricas para los almacenes de claves externos y para las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte Monitoreo de almacenes de claves externos.
XksProxyErrors
La cantidad de excepciones relacionadas con las solicitudes de AWS KMS a su proxy del almacén de claves externo. Este recuento incluye las excepciones que el proxy del almacén de claves externo devuelve a AWS KMS y los errores de tiempo de espera que se producen cuando el proxy del almacén de claves externo no responde a AWS KMS dentro del intervalo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los almacenes de claves externos.
Puede utilizar esta métrica para realizar un seguimiento del porcentaje de errores de claves de KMS en su almacén de claves externo. Revela los errores más frecuentes, para que pueda priorizar sus esfuerzos de ingeniería. Por ejemplo, las claves de KMS que generan altas tasas de errores no reintentables pueden indicar un problema con la configuración de su almacén de claves externo. Para ver la configuración de su almacén de claves externo, consulte Visualización de almacenes de claves externos. Para editar la configuración de su almacén de claves externo, consulte Edición de las propiedades del almacén de claves externo.
Nombre del grupo de dimensiones: XKS Proxy Error Metrics
Dimensión | Descripción |
---|---|
CustomKeyStoreId | Valor para cada almacén de claves externo. |
KmsOperation | Valor para cada operación de la API de AWS KMS que generó una solicitud al proxy XKS. |
XksOperation | Valor para cada operación de la API del proxy del almacén de claves externo. |
KeySpec | Valor para cada tipo de clave de KMS. La única especificación de clave admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC_DEFAULT. |
ErrorType | Valores:
|
ExceptionName |
Valores:
|
Puede crear alarmas de CloudWatch en función de las métricas para los almacenes de claves externos y para las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte Monitoreo de almacenes de claves externos.
XksExternalKeyManagerStates
Un recuento de la cantidad de instancias de un administrador de claves externo en cada uno de los siguientes estados de condición: Active
, Degraded
y Unavailable
. La información de esta métrica proviene del proxy del almacén de claves externo asociado a cada almacén de claves externo. Esta métrica se aplica únicamente a los almacenes de claves externos.
Los siguientes son los estados de condición para las instancias del administrador de claves externo asociadas a un almacén de claves externo. Cada proxy de almacén de claves externo puede utilizar diferentes indicadores para medir el estado de su administrador de claves externo. Para obtener más información, consulte la documentación del proxy del almacén de claves externo.
-
Active
: el administrador de claves externo está en buen estado. -
Degraded
: el administrador de claves externo no está en buen estado, pero aún puede atender el tráfico. -
Unavailable
: el administrador de claves externo no puede atender el tráfico.
Utilice esta métrica para crear una alarma de CloudWatch que le avise sobre las instancias del administrador de claves externo que no funcionan correctamente y no disponibles. Para determinar en qué estado se encuentra cada instancia del administrador de claves externo, consulte sus registros de proxy del almacén de claves externo.
Nombre del grupo de dimensiones: XKS External Key Manager Metrics
Dimensión | Descripción |
---|---|
CustomKeyStoreId | Valor para cada almacén de claves externo. |
XksExternalKeyManagerState | Valor para cada estado de condición. |
Puede crear alarmas de CloudWatch en función de las métricas para los almacenes de claves externos y para las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte Monitoreo de almacenes de claves externos.
XksProxyLatency
La cantidad de milisegundos que tarda un proxy del almacén de claves externo en responder a una solicitud de AWS KMS. Si se agotó el tiempo de espera de la solicitud, el valor registrado es un límite de tiempo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los almacenes de claves externos.
Utilice esta métrica para evaluar el rendimiento de su proxy de almacén de claves externo y de su administrador de claves externo. Por ejemplo, si el tiempo del proxy se agota con frecuencia en las operaciones de cifrado y descifrado, consulte a su administrador de proxy externo.
Las respuestas lentas también pueden indicar que el administrador de claves externo no puede gestionar el tráfico de solicitudes actual. AWS KMS recomienda que su administrador de claves externo pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si su administrador de claves externo no puede gestionar la tasa de 1800 solicitudes por segundo, considere solicitar una reducción de su cuota de solicitudes de claves de KMS en un almacén de claves personalizado. Las solicitudes de operaciones criptográficas que utilizan las claves de KMS en su almacén de claves externo van a responder rápido a los errores con una excepción de limitación, en lugar de ser procesadas y luego rechazadas por su proxy del almacén de claves externo o administrador de claves externo.
Nombre del grupo de dimensiones: XKS Proxy Latency Metrics
Dimensión | Descripción |
---|---|
CustomKeyStoreId | Valor para cada almacén de claves externo. |
KmsOperation | Valor para cada operación de la API de AWS KMS que generó una solicitud al proxy XKS. |
XksOperation | Valor para cada operación de la API del proxy del almacén de claves externo. |
KeySpec | Valor para cada tipo de clave de KMS. La única especificación de clave admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC_DEFAULT. |
Puede crear alarmas de CloudWatch en función de las métricas para los almacenes de claves externos y para las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte Monitoreo de almacenes de claves externos.