Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Monitorización con Amazon CloudWatch
Puedes monitorizar tu AWS KMS keys uso de Amazon CloudWatch, un AWS servicio que recopila y procesa datos sin procesar para AWS KMS convertirlos en métricas legibles y prácticamente en tiempo real. Estos datos se registran durante un periodo de dos semanas para que pueda obtener acceso a información histórica y conocer mejor el uso de sus claves KMS y sus cambios a lo largo del tiempo.
Puedes usar Amazon CloudWatch para avisarte de eventos importantes, como los siguientes.
-
El material clave importado de una clave KMS se acerca a su fecha de vencimiento.
-
Se sigue utilizando una clave KMS pendiente de eliminación.
-
El material clave de una clave KMS se rotó automáticamente.
-
Se ha eliminado una clave KMS.
También puedes crear una CloudWatch alarma de Amazon que te avise cuando tu porcentaje de solicitudes alcance un porcentaje determinado del valor de la cuota. Para obtener más información, consulta Gestiona tus tasas de solicitudes de AWS KMS API mediante Service Quotas y Amazon CloudWatch
Temas
Métricas y dimensiones de AWS KMS
AWS KMSpredefine CloudWatch las métricas de Amazon para que le resulte más fácil monitorear los datos críticos y crear alarmas. Puedes ver las AWS KMS métricas mediante la API de Amazon AWS Management Console y la CloudWatch API.
En esta sección, se enumeran todas AWS KMS las métricas y las dimensiones de cada una de ellas, y se proporciona una guía básica para crear CloudWatch alarmas en función de estas métricas y dimensiones.
nota
Nombre del grupo de dimensiones:
Para ver una métrica en la CloudWatch consola de Amazon, en la sección Métricas, selecciona el nombre del grupo de dimensiones. Luego, puede filtrar por Nombre de la métrica. Este tema incluye el nombre de la métrica y el nombre del grupo de dimensiones de cada métrica de AWS KMS.
Temas
SecondsUntilKeyMaterialExpiration
La cantidad de segundos que quedan hasta que caduque el material de clave importado de una clave de KMS. Esta métrica es válida solo para las claves de KMS con material de clave importado (un origen de material de clave de EXTERNAL) y una fecha de caducidad.
Utilice esta métrica para realizar un seguimiento del tiempo que queda hasta que caduque el material de claves importado. Cuando ese tiempo cae por debajo de un umbral que usted define, puede volver a importar el material de clave con una nueva fecha de caducidad. La métrica SecondsUntilKeyMaterialExpiration es específica de una clave de KMS. No puede usar esta métrica para supervisar varias claves de KMS o claves de KMS que pueda crear en el futuro. Si necesitas ayuda para crear una CloudWatch alarma para monitorear esta métrica, consultaCrear una CloudWatch alarma por la caducidad del material clave importado.
La estadística más útil para esta métrica es Minimum, que le indica la menor cantidad de tiempo restante para todos los puntos de datos en el período estadístico especificado. La única unidad válida para esta métrica es Seconds.
Nombre del grupo de dimensiones: Per-Key Metrics
Dimensiones para SecondsUntilKeyMaterialExpiration | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Dimensión | Descripción; relacionada con AWS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| KeyId | Valor para cada clave de KMS. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ExternalKeyStoreThrottle
La cantidad de solicitudes de operaciones criptográficas en las claves de KMS de cada almacén de claves externo que AWS KMS limita (responde con una ThrottlingException). Esta métrica se aplica únicamente a los almacenes de claves externos.
La ExternalKeyStoreThrottle métrica se aplica solo a las claves de KMS de un almacén de claves externo y solo a las solicitudes de operaciones criptográficas y a la DescribeKeyoperación. AWS KMSlimita estas solicitudes cuando la tasa de solicitudes supera la cuota de solicitudes del almacén de claves personalizado del almacén de claves externo. Esta métrica no incluye la limitación por parte del proxy del almacén de claves externo ni del administrador de claves externo.
Usa esta métrica para revisar y ajustar el valor de la cuota de solicitudes de su almacén de claves personalizado. Si esta métrica indica que AWS KMS limita sus solicitudes para estas claves de KMS con frecuencia, podría considerar solicitar un aumento en el valor de su cuota de solicitudes del almacén de claves personalizado. Para conocer más detalles, consulte Solicitud de un aumento de cuota en la Guía del usuario de Service Quotas.
Si con frecuencia recibe errores KMSInvalidStateException con un mensaje que explica que la solicitud fue rechazada “debido a una tasa de solicitudes muy alta” o “debido a que el proxy del almacén de claves externo no respondió a tiempo”, podría indicar que su administrador de claves externo o el proxy de almacén de claves externo no puede seguir el ritmo de la tasa de solicitudes actual. Si es posible, reduzca el porcentaje de solicitudes. También podría considerar solicitar una disminución en el valor de la cuota de solicitudes del almacén de claves personalizado. Reducir este valor de cuota puede aumentar la limitación (y el valor de la métrica ExternalKeyStoreThrottle), pero indica que AWS KMS está rechazando rápidamente el exceso de solicitudes antes de enviarlas a su proxy del almacén de claves externo o a un administrador de claves externo. Para solicitar una reducción de la cuota, visite el Centro de AWS Support
Nombre del grupo de dimensiones: Keystore Throttle Metrics
| Dimensión | Descripción |
|---|---|
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de API de AWS KMS Esta métrica se aplica solo a las operaciones criptográficas y a la operación DescribeKey en las claves de KMS en un almacén de claves externo. |
| KeySpec | Valor para cada tipo de clave de KMS. La única especificación de clave admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC_DEFAULT. |
XksProxyCertificateDaysToExpire
El número de días que faltan para que venza el certificado TLS del punto de conexión del proxy del almacén de claves externo (XksProxyUriEndpoint). Esta métrica se aplica únicamente a los almacenes de claves externos.
Usa esta métrica para crear una CloudWatch alarma que te notifique la próxima caducidad de tu certificado TLS. Cuando el certificado vence, AWS KMS no se puede comunicar con el proxy del almacén de claves externo. No se podrá acceder a todos los datos protegidos por las claves de KMS en su almacén de claves externo hasta que renueve el certificado.
Una alarma previene que caduque la certificación que le puede impedir a usted acceder a sus recursos encriptados. Configure la alarma para que su organización tenga tiempo de renovar el certificado antes de que venza.
Nombre del grupo de dimensiones: XKS Proxy Certificate Metrics
| Dimensión | Descripción |
|---|---|
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| CertificateName | Nombre del sujeto (CN) en el certificado TLS. |
XksProxyCredentialAge
La cantidad de días que transcurrieron desde que la credencial de autenticación del proxy del almacén de claves externo actual (XksProxyAuthenticationCredential) se asoció con el almacén de claves externo. Este recuento comienza cuando introduce la credencial de autenticación como parte para crear o actualizar su almacén de claves externo. Esta métrica se aplica únicamente a los almacenes de claves externos.
Este valor está diseñado para recordarle la antigüedad de su credencial de autenticación. Sin embargo, dado que empezamos el recuento cuando asocia la credencial a su almacén de claves externo, no cuando crea su credencial de autenticación en el proxy del almacén de claves externo, es posible que este no sea un indicador preciso de la antigüedad de las credenciales en el proxy.
Utilice esta métrica para crear una CloudWatch alarma que le recuerde que debe cambiar la credencial de autenticación del proxy del almacén de claves externo.
Nombre del grupo de dimensiones: Per-Keystore Metrics
| Dimensión | Descripción |
|---|---|
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
XksProxyErrors
La cantidad de excepciones relacionadas con las solicitudes de AWS KMS a su proxy del almacén de claves externo. Este recuento incluye las excepciones que el proxy del almacén de claves externo devuelve a AWS KMS y los errores de tiempo de espera que se producen cuando el proxy del almacén de claves externo no responde a AWS KMS dentro del intervalo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los almacenes de claves externos.
Puede utilizar esta métrica para realizar un seguimiento del porcentaje de errores de claves de KMS en su almacén de claves externo. Revela los errores más frecuentes, para que pueda priorizar sus esfuerzos de ingeniería. Por ejemplo, las claves de KMS que generan altas tasas de errores no reintentables pueden indicar un problema con la configuración de su almacén de claves externo. Para ver la configuración de su almacén de claves externo, consulte Visualización de un almacén de claves externo. Para editar la configuración de su almacén de claves externo, consulte Edición de propiedades del almacén de claves externo.
Nombre del grupo de dimensiones: XKS Proxy Error Metrics
| Dimensión | Descripción |
|---|---|
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de la API de AWS KMS que generó una solicitud al proxy XKS. |
| XksOperation | Valor para cada operación de la API del proxy del almacén de claves externo. |
| KeySpec | Valor para cada tipo de clave de KMS. La única especificación de clave admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC_DEFAULT. |
| ErrorType | Valores:
|
| ExceptionName |
Valores:
|
XksExternalKeyManagerStates
Un recuento de la cantidad de instancias de un administrador de claves externo en cada uno de los siguientes estados de condición: Active, Degraded y Unavailable. La información de esta métrica proviene del proxy del almacén de claves externo asociado a cada almacén de claves externo. Esta métrica se aplica únicamente a los almacenes de claves externos.
Los siguientes son los estados de condición para las instancias del administrador de claves externo asociadas a un almacén de claves externo. Cada proxy de almacén de claves externo puede utilizar diferentes indicadores para medir el estado de su administrador de claves externo. Para obtener más información, consulte la documentación del proxy del almacén de claves externo.
-
Active: el administrador de claves externo está en buen estado. -
Degraded: el administrador de claves externo no está en buen estado, pero aún puede atender el tráfico. -
Unavailable: el administrador de claves externo no puede atender el tráfico.
Utilice esta métrica para crear una CloudWatch alarma que le avise de las instancias del administrador de claves externo degradadas y no disponibles. Para determinar en qué estado se encuentra cada instancia del administrador de claves externo, consulte sus registros de proxy del almacén de claves externo.
Nombre del grupo de dimensiones: XKS External Key Manager Metrics
| Dimensión | Descripción |
|---|---|
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| XksExternalKeyManagerState | Valor para cada estado de condición. |
XksProxyLatency
La cantidad de milisegundos que tarda un proxy del almacén de claves externo en responder a una solicitud de AWS KMS. Si se agotó el tiempo de espera de la solicitud, el valor registrado es un límite de tiempo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los almacenes de claves externos.
Utilice esta métrica para evaluar el rendimiento de su proxy de almacén de claves externo y de su administrador de claves externo. Por ejemplo, si el tiempo del proxy se agota con frecuencia en las operaciones de cifrado y descifrado, consulte a su administrador de proxy externo.
Las respuestas lentas también pueden indicar que el administrador de claves externo no puede gestionar el tráfico de solicitudes actual. AWS KMS recomienda que su administrador de claves externo pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si su administrador de claves externo no puede gestionar la tasa de 1800 solicitudes por segundo, considere solicitar una reducción de su cuota de solicitudes de claves de KMS en un almacén de claves personalizado. Las solicitudes de operaciones criptográficas que utilizan las claves de KMS en su almacén de claves externo van a responder rápido a los errores con una excepción de limitación, en lugar de ser procesadas y luego rechazadas por su proxy del almacén de claves externo o administrador de claves externo.
Nombre del grupo de dimensiones: XKS Proxy Latency Metrics
| Dimensión | Descripción |
|---|---|
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de la API de AWS KMS que generó una solicitud al proxy XKS. |
| XksOperation | Valor para cada operación de la API del proxy del almacén de claves externo. |
| KeySpec | Valor para cada tipo de clave de KMS. La única especificación de clave admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC_DEFAULT. |
Visualización de métricas de AWS KMS
Puedes ver las AWS KMS métricas mediante la API de Amazon AWS Management Console y la CloudWatch API.
Para ver las métricas mediante la CloudWatch consola
Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/
. -
Si es necesario, cambie la región. En la barra de navegación, seleccione la región donde residen sus recursos de AWS.
-
En el panel de navegación, seleccione Métricas y, a continuación, Todas las métricas.
-
En la pestaña Browse (Examinar), busque
KMSy, a continuación, seleccione KMS. -
Elija el nombre del grupo de dimensiones de la métrica que desea ver.
Por ejemplo, para la métrica
SecondsUntilKeyMaterialExpiration, elija Per-Key Metrics. -
Para obtener una gráfica del valor de la métrica, elija el nombre de la métrica y, a continuación, elija
Add to graph. Para convertir el gráfico de líneas en un valor, elija Line (Línea) y, a continuación, elija Number (Número).
Para ver las métricas mediante la CloudWatch API de Amazon
Para ver AWS KMS las métricas mediante la CloudWatch API, envía una ListMetricssolicitud con el Namespace valor establecido enAWS/KMS. El siguiente ejemplo muestra cómo hacerlo con la AWS Command Line Interface (AWS CLI)
$aws cloudwatch list-metrics --namespace AWS/KMS{ "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] }, { "Namespace": "AWS/KMS", "MetricName": "ExtenalKeyStoreThrottle", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Encrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCertificateDaysToExpire", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "CertificateName", "Value": "myproxy.xks.example.com" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCredentialAge", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyErrors", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" }, { "Name": "ErrorType", "Value": "Retryable errors" }, { "Name": "ExceptionName", "Value": "KMSInvalidStateException" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyHsmStates", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "XksProxyHsmState", "Value": "Active" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyLatency", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] } ] }
Crear CloudWatch alarmas para monitorear las claves de KMS
Puedes crear una CloudWatch alarma de Amazon en función de una AWS KMS métrica. La alarma envía un mensaje de correo electrónico cuando un valor de la métrica supera un umbral especificado en la configuración de la alarma. La alarma puede enviar el mensaje de correo electrónico a un tema de Amazon Simple Notification Service (Amazon SNS) o a una política de Amazon EC2 Auto Scaling. Para obtener información detallada sobre CloudWatch las alarmas, consulta Uso de CloudWatch las alarmas de Amazon en la Guía del CloudWatch usuario de Amazon
Crear una alarma para el caducidad del material de claves importado
Puede usar la SecondsUntilKeyMaterialExpirationmétrica para crear una CloudWatch alarma que le notifique cuando el material clave importado en una clave de KMS esté a punto de caducar.
Al importar material de claves en una clave KMS, también puede especificar de manera opcional una fecha y una hora en la que vence el material de claves. Cuando vence el material de claves, AWS KMS lo elimina y ya no se puede utilizar la clave KMS. Para volver a usar la clave KMS, debe volver a importar el material de claves.
Para obtener instrucciones, consulte Crear una CloudWatch alarma por la caducidad del material clave importado.
Crear una alarma para el uso de las claves KMS pendientes de eliminación
Al programar una eliminación de claves de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Puede usar el periodo de espera para asegurarse de que no necesita la clave KMS ni ahora ni en el futuro. También puede configurar una CloudWatch alarma para que le avise si una persona o aplicación intenta utilizar la clave KMS en una operación criptográfica durante el período de espera. Si recibe una notificación de una alarma de este tipo, puede cancelar la eliminación de la clave KMS.
Para obtener instrucciones, consulte Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS.
Cree una alarma para monitorear un almacén de claves externo
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves KMS de los almacenes de claves externos.
Por ejemplo, le recomendamos que configure una CloudWatch alarma para avisarle cuando el certificado TLS de su almacén de claves externo esté a punto de caducar (XksProxyCertificateDaysToExpire), cuando usted y su proxy del almacén de claves externo informen de que las instancias de su administrador de claves externo están degradadas o no están disponibles (XksProxyHsmStates).
Para obtener instrucciones, consulte Monitoreo de un almacén de claves externo.
