Monitorización con Amazon CloudWatch - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Monitorización con Amazon CloudWatch

Puede monitorizar sus claves maestras de cliente (CMK) mediante Amazon CloudWatch, que recopila y procesa datos sin formato deAWS KMSEn métricas legibles y casi en tiempo real. Estos datos se registran durante un periodo de dos semanas para que pueda obtener acceso a información histórica y conocer mejor el uso de su CMK y sus cambios a lo largo del tiempo. Para obtener más información sobre Amazon CloudWatch, consulte la Guía del usuario de Amazon CloudWatch.

Métricas y dimensiones de AWS KMS

CuandoImportar material de claves a una CMKy configurarlo para que caduque,AWS KMSenvía métricas y dimensiones a CloudWatch. Puede ver laAWS KMSUso de las métricas mediante laAWS Management Consoley la API de Amazon CloudWatch.

Métricas de AWS KMS

El espacio de nombres de AWS/KMS incluye las siguientes métricas.

segundosSuntilKeyMaterialExpiration

Esta métrica realiza un seguimiento del número de segundos que quedan hasta que caduque el material clave importado. Esta métrica solo es válida paraAWS KMSclaves cuyo origen esEXTERNALy cuyo material clave está o se ha previsto que caduque. La estadística más útil para esta métrica esMinimum, que le indica la menor cantidad de tiempo restante para todos los puntos de datos en el período estadístico especificado. La única unidad válida para esta métrica esSeconds.

Utilice esta métrica para realizar un seguimiento del tiempo que queda hasta que venza el material de claves importado. Cuando esa cantidad de tiempo esté por debajo de un umbral que defina, puede realizar alguna acción, como volver a importar el material de claves con una nueva fecha de vencimiento. Puede crear una alarma CloudWatch para que le notifique cuando eso suceda. Para obtener más información, consulte Crear alarmas de CloudWatch para monitorizarAWS KMSMétricas de .

Dimensiones de las métricas de AWS KMS

AWS KMSUtilice las métricas de laAWS/KMSy tener solo una dimensión válida: KeyId. Puede utilizar esta dimensión para ver los datos de métrica de una clave KMS específica o un conjunto de claves KMS.

¿Cómo consulto las métricas de AWS KMS?

Puede ver laAWS KMSUso de las métricas mediante laAWS Management Consoley la API de Amazon CloudWatch.

Para ver las métricas a través de la consola de CloudWatch

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región donde residen sus recursos de AWS.

  3. En el panel de navegación, seleccione Metrics.

  4. En el panel de contenido, elija la pestaña All metrics. A continuación, en Espacio de nombres de AWS, elija KMS.

  5. Elija Per-Key Metrics para ver las métricas y las dimensiones individuales.

Para consultar métricas mediante la API de Amazon CloudWatch

Para verAWS KMSCon la API de CloudWatch, envíe unaListMetricssolicitar conNamespaceestablecido enAWS/KMS. El siguiente ejemplo muestra cómo hacerlo con la AWS Command Line Interface (AWS CLI).

$ aws cloudwatch list-metrics --namespace AWS/KMS

Crear alarmas de CloudWatch para monitorizarAWS KMSMétricas de

Puede crear una alarma CloudWatch que envíe un mensaje de Amazon SNS cuando cambie el valor de la métrica y provoca que la alarma cambie de estado. Una alarma vigila una única métrica durante el periodo especificado y realiza una o varias acciones en función del valor de la métrica relativo a un determinado umbral durante una serie de periodos de tiempo. La acción es una notificación que se envía a un tema de Amazon SNS o a una política de Auto Scaling. Las alarmas invocan acciones únicamente para los cambios de estado prolongados. Las alarmas de CloudWatch no invocan acciones tan solo por tener un estado determinado; es necesario que el estado haya cambiado y se mantenga durante un número específico de periodos.

Crear una alarma CloudWatch para monitorear el vencimiento del material de claves importado

Al importar material de claves en una CMK, también puede especificar una hora en la que vence el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y la CMK ya no se puede utilizar. Para volver a usar la CMK, debe volver a importar el material de claves. Puede crear una alarma CloudWatch para que le notifique cuando el tiempo que queda hasta que venza el material de claves importado esté por debajo de un umbral que defina (por ejemplo, 10 días). Si recibe una notificación de una alarma de este tipo, puede realizar alguna acción, como volver a importar el material de claves con una nueva fecha de vencimiento.

Para crear una alarma para monitorear el vencimiento del material de claves importado (AWS Management Console)

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región donde residen sus recursos de AWS.

  3. En el panel de navegación, elija Alarms. A continuación, elija Create Alarm.

  4. Elija Browse Metrics y, a continuación, KMS.

  5. Marque la casilla de verificación situada junto al ID de clave de la CMK que desea monitorizar.

  6. En el panel inferior, utilice los menús para cambiar la estadística a Minimum y el periodo de tiempo a 1 Minute. A continuación, elija Next.

  7. En la ventana Create Alarm, haga lo siguiente:

    1. En Nombre, escriba un nombre, como KeyMaterialExpiresSoon.

    2. Después de Whenever:, para is:, elija <= y, a continuación, escriba el número de segundos del valor de umbral. Por ejemplo, para recibir una notificación cuando el tiempo que queda hasta que venza el material de claves importado es de 10 días o menos, escriba 864000.

    3. Si es necesario, en for consecutive period(s) (para periodos consecutivos), escriba 1.

    4. En Send notification to:, realice una de las siguientes acciones:

      • Para utilizar un nuevo tema de Amazon SNS, seleccioneNueva listay, a continuación, escriba un nuevo nombre de tema. En Email list:, escriba al menos una dirección de correo electrónico. Puede escribir varias direcciones de correo electrónico separándolas con comas.

      • Para utilizar un tema de Amazon SNS existente, elija el nombre del tema que desea usar.

    5. Elija Create Alarm.

  8. Si ha elegido enviar notificaciones a una dirección de correo electrónico, abra el mensaje de correo electrónico que reciba de no-reply@sns.amazonaws.com con el asunto»AWSNotificación - Confirmación de suscripción». Confirme la dirección de correo electrónico eligiendo en el enlace Confirm subscription del mensaje de correo electrónico.

    importante

    No recibirá notificaciones por correo electrónico hasta después de haber confirmado su dirección.

Crear una alarma CloudWatch para monitorear el uso de las CMK que están pendientes de eliminación

Al programar una eliminación de claves de una CMK, AWS KMS aplica un periodo de espera antes de eliminar la CMK. Puede usar el periodo de espera para asegurarse de que no necesita la CMK ahora ni en el futuro. También puede configurar una alarma CloudWatch para avisar si una persona o aplicación intenta utilizar la CMK durante el periodo de espera. Si recibe una notificación de una alarma de este tipo, puede cancelar la eliminación de la CMK.

Para obtener más información, consulte Creación de una alarma de Amazon CloudWatch para detectar el uso de una clave maestra de cliente que está pendiente de eliminación .

Eventos de AWS KMS

AWS KMSse integra con Amazon CloudWatch Events para informarle de determinados eventos que afectan a sus CMK. Cada evento está representado en JSON (JavaScript Object Notation, notación de objetos de JavaScript) y contiene el nombre del evento, la fecha y la hora en que se produjo el evento, la CMK afectada y mucho más. Puede utilizar CloudWatch Events para recopilar estos eventos y configurar reglas que los dirijan a uno o másdestinostales comoAWS Lambda, temas de Amazon SNS, colas de Amazon SQS, transmisiones en Amazon Kinesis Data Streams o destinos integrados.

Para obtener más información acerca de cómo utilizar CloudWatch Events con otros tipos de eventos, incluidos los emitidos porAWS CloudTrailCuando registra una solicitud de la API de lectura/escritura, consulte laGuía del usuario de Amazon CloudWatch Events.

En las secciones siguientes se describen los eventos de CloudWatch queAWS KMScrea.

Rotación automática del material clave

Cuando habilita la rotación automática de claves para una CMK administrada por el cliente, AWS KMS crea nuevo material de claves para la CMK cada año. El material de claves para las CMK administradas por AWS se rota cada tres años de forma automática.

Siempre que seaAWS KMSrota el material de claves, envía unaKMS CMK Rotationa Eventos de CloudWatch.AWS KMSgenera este evento en la medida de lo posible.

A continuación se muestra un ejemplo de este evento.

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2016-08-25T21:05:33Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

Caducidad del material de claves importado

Al importar material de claves en una CMK, también puede especificar una hora en la que vence el material de claves. Cuando caduque el material clave,AWS KMSelimina el material de claves y envía el evento correspondiente a CloudWatch Events.AWS KMSgenera este evento en la medida de lo posible.

A continuación se muestra un ejemplo de este evento.

{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2016-08-22T20:12:19Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

Eliminación de un CMK

Al programar una eliminación de claves de una CMK, AWS KMS aplica un periodo de espera antes de eliminar la CMK. Una vez finalizado el período de espera,AWS KMSelimina la CMK y envía el evento correspondiente a CloudWatch Events.AWS KMSgarantiza este evento CloudWatch. Debido a los reintentos, puede generar varios eventos en unos segundos que eliminan el mismo CMK.

A continuación se muestra un ejemplo de este evento.

{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2016-08-19T03:23:45Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }