Monitorización con Amazon CloudWatch - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Monitorización con Amazon CloudWatch

Puede monitorizar su claves maestras de cliente (CMKs) mediante Amazon CloudWatch, que recopila y procesa los datos sin formato de AWS KMS en métricas legibles y casi en tiempo real. Estos datos se registran durante un periodo de dos semanas para que pueda obtener acceso a información histórica y comprender mejor el uso de sus CMKs y sus cambios a lo largo del tiempo. Para obtener más información sobre Amazon CloudWatch, consulte Guía del usuario de Amazon CloudWatch.

AWS KMSMétricas y dimensiones de

Al importar material de claves en un CMK y establecer su vencimiento, AWS KMS envía métricas y dimensiones a CloudWatch. Puede ver las métricas de AWS KMS mediante la Consola de administración de AWS y la API de Amazon CloudWatch.

AWS KMS Metrics

The AWS/KMS namespace includes the following metrics.

SecondsUntilKeyMaterialExpiration

This metric tracks the number of seconds remaining until imported key material expires. This metric is valid only for AWS KMS keys whose origin is EXTERNAL and whose key material is or was set to expire. The most useful statistic for this metric is Minimum, which tells you the smallest amount of time remaining for all data points in the specified statistic period. The only valid unit for this metric is Seconds.

Use this metric to track the amount of time that remains until your imported key material expires. When that amount of time falls below a threshold that you define, you might want to take action such as reimporting the key material with a new expiration date. You can create a CloudWatch alarm to notify you when that happens. For more information, see Crear alarmas de CloudWatch para monitorear las métricas de AWS KMS.

Dimensions for AWS KMS Metrics

AWS KMS metrics use the AWS/KMS namespace and have only one valid dimension: KeyId. You can use this dimension to view metric data for a specific KMS key or set of KMS keys.

¿Cómo consulto las métricas de AWS KMS?

Puede ver las métricas de AWS KMS mediante la Consola de administración de AWS y la API de Amazon CloudWatch.

Para consultar las métricas desde la consola de CloudWatch

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región donde residen sus recursos de AWS.

  3. En el panel de navegación, seleccione Metrics.

  4. En el panel de contenido, elija la pestaña All metrics. A continuación, en Espacio de nombres de AWS, elija KMS.

  5. Elija Per-Key Metrics para ver las métricas y las dimensiones individuales.

Para ver métricas mediante la API de Amazon CloudWatch

Para ver las métricas de AWS KMS mediante la API de CloudWatch, envíe una solicitud ListMetrics con Namespace configurado como AWS/KMS. El siguiente ejemplo muestra cómo hacerlo con la AWS Command Line Interface (AWS CLI).

$ aws cloudwatch list-metrics --namespace AWS/KMS

Crear alarmas de CloudWatch para monitorear las métricas de AWS KMS

Puede crear una alarma de CloudWatch que envíe un mensaje de Amazon SNS cuando cambie el valor de la métrica y provoca que la alarma cambie de estado. Una alarma vigila una única métrica durante el periodo especificado y realiza una o varias acciones en función del valor de la métrica relativo a un determinado umbral durante una serie de periodos de tiempo. La acción es una notificación que se envía a un tema de Amazon SNS o a una política de Auto Scaling. Las alarmas invocan acciones únicamente para los cambios de estado prolongados. Las alarmas de CloudWatch no invocan acciones simplemente por tener un estado determinado. Es necesario que el estado haya cambiado y se mantenga durante un número especificado de períodos.

Crear una alarma de CloudWatch para monitorear el vencimiento del material de claves importado

Al importar material de claves en un CMK , tiene la opción de especificar una hora en la que vence el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y ya no CMK se puede utilizar. Para utilizar el de CMK nuevo, debe volver a importar el material de claves. Puede crear una alarma de CloudWatch para que le notifique cuando el tiempo que queda hasta que venza el material de claves importado esté por debajo de un umbral que defina (por ejemplo, 10 días). Si recibe una notificación de una alarma de este tipo, puede realizar alguna acción, como volver a importar el material de claves con una nueva fecha de vencimiento.

Para crear una alarma para monitorear el vencimiento del material de claves importado (Consola de administración de AWS)

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región donde residen sus recursos de AWS.

  3. En el panel de navegación, elija Alarms. A continuación, elija Create Alarm.

  4. Elija Browse Metrics y, a continuación, KMS.

  5. Seleccione la casilla de verificación situada junto al ID de clave de la CMK que desea monitorizar.

  6. En el panel inferior, utilice los menús para cambiar la estadística a Minimum y el periodo de tiempo a 1 Minute. A continuación, elija Next.

  7. En la ventana Create Alarm, haga lo siguiente:

    1. En Nombre, escriba un nombre, como KeyMaterialExpiresSoon.

    2. Después de Whenever:, para is:, elija <= y, a continuación, escriba el número de segundos del valor de umbral. Por ejemplo, para recibir una notificación cuando el tiempo que queda hasta que venza el material de claves importado es de 10 días o menos, escriba 864000.

    3. Si es necesario, en for consecutive period(s) (para periodos consecutivos), escriba 1.

    4. En Send notification to:, realice una de las siguientes acciones:

      • Para utilizar un nuevo tema de Amazon SNS, elija New list (Nueva lista) y, a continuación, escriba un nuevo nombre de tema. En Email list:, escriba al menos una dirección de correo electrónico. Puede escribir varias direcciones de correo electrónico separándolas con comas.

      • Para utilizar un tema de Amazon SNS existente, elija el nombre del tema que desea usar.

    5. Elija Create Alarm.

  8. Si decide enviar notificaciones a una dirección de correo electrónico, abra el mensaje de correo electrónico que reciba de no-reply@sns.amazonaws.com con el asunto "AWS Notification - Subscription Confirmation". Confirme la dirección de correo electrónico eligiendo en el enlace Confirm subscription del mensaje de correo electrónico.

    importante

    No recibirá notificaciones por correo electrónico hasta después de haber confirmado su dirección.

Crear una CloudWatch alarma de para monitorizar el uso de CMKs que están pendientes de eliminación

Al programar la eliminación de claves para una CMK, AWS KMS aplica un periodo de espera antes de eliminar la CMK. Puede utilizar el periodo de espera para asegurarse de que no necesita la CMK ahora ni en el futuro. También puede configurar una CloudWatch alarma de que le avise si una persona o aplicación intenta utilizar CMK durante el periodo de espera. Si recibe una notificación de una alarma de este tipo, es posible que desee cancelar la eliminación del CMK.

Para obtener más información, consulte Creación de una Amazon CloudWatch alarma para detectar el uso de una clave maestra de cliente que está pendiente de eliminación.

AWS KMSEventos de

AWS KMS se integra con Amazon CloudWatch Events para informarle de determinados eventos que afectan a su CMKs. Cada evento se representa en JSON (JavaScript Object Notation, notación de objetos de JavaScript) y contiene el nombre del evento, la fecha y la hora en que se produjo el evento, el CMK afectado y mucho más. Puede utilizar Eventos de CloudWatch para recopilar estos eventos y configurar reglas que los dirijan a uno o varios destinos como AWS Lambda funciones de , Amazon SNS temas de , Amazon SQS colas de Amazon Kinesis Data Streams, flujos de o destinos integrados.

Para obtener más información acerca de cómo utilizar Eventos de CloudWatch con otros tipos de eventos, incluidos los emitidos por AWS CloudTrail cuando registra una solicitud de la API de lectura/escritura, consulte la Guía del usuario de Amazon CloudWatch Events.

Los siguientes temas describen el Eventos de CloudWatch que crea AWS KMS.

CMK Rotación de KMS

Al habilitar la rotación Rotación claves maestras de cliente automática de claves para un administrado por el CMK cliente, AWS KMS crea nuevo material de claves para CMK cada año. El material de claves para AWS administrado CMKs rota automáticamente cada tres años.

Cada vez que AWS KMS rota el material de claves, envía un evento de CMK rotación de KMS a Eventos de CloudWatch. AWS KMS genera este evento en la medida en que sea posible.

A continuación se muestra un ejemplo de este evento.

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2016-08-25T21:05:33Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

Vencimiento del material de claves importado de KMS

Al importar material de claves en una CMK , tiene la opción de especificar una hora a la que vence el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y envía el evento correspondiente a Eventos de CloudWatch. AWS KMS genera este evento en la medida de lo posible.

A continuación se muestra un ejemplo de este evento.

{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2016-08-22T20:12:19Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

Eliminación CMK de KMS

Al programar la eliminación de claves para una CMK, AWS KMS aplica un periodo de espera antes de eliminar la CMK. Una vez que finaliza el periodo de espera, AWS KMS elimina el CMK y envía el evento correspondiente a Eventos de CloudWatch. AWS KMS garantiza este CloudWatch evento. Debido a los reintentos, podría generar varios eventos en unos segundos que eliminan el mismo CMK.

A continuación se muestra un ejemplo de este evento.

{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2016-08-19T03:23:45Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }