Supervisión de AWS KMS keys - AWS Key Management Service
Herramientas de monitoreo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervisión de AWS KMS keys

El monitoreo es una parte importante para entender la disponibilidad, el estado y el uso de su AWS KMS keys en AWS KMS y mantener la fiabilidad, la disponibilidad y el rendimiento de las soluciones de AWS. La recopilación de los datos de monitoreo de todas las partes de su solución de AWS le ayudará a depurar un error que se produce en distintas partes del código, en caso de que ocurra. No obstante, antes de comenzar a monitorizar las claves KMS, debe crear un plan de monitorización que incluya respuestas a las siguientes preguntas:

  • ¿Cuáles son los objetivos de la supervisión?

  • ¿Qué recursos va a supervisar?

  • ¿Con qué frecuencia va a supervisar estos recursos?

  • ¿Qué herramientas de monitorización va a utilizar?

  • ¿Quién se encargará de realizar las tareas de monitoreo?

  • ¿Quién debería recibir una notificación cuando suceda algo?

El siguiente paso es monitorear las claves KMS a lo largo del tiempo para establecer un punto de referencia para el uso normal de AWS KMS y las expectativas en su entorno. A medida que monitorice las claves KMS, almacene los datos de monitorización históricos para que pueda compararlos con los datos actuales, identificar los patrones normales y las anomalías, así como desarrollar métodos para la resolución de problemas.

Por ejemplo, puede monitorear la actividad de la API de AWS KMS y los eventos que afectan a su clave KMS. Cuando los datos están por encima o por debajo de las normas establecidas, es posible que efectuar una investigación o adoptar medidas correctivas.

Para establecer un punto de referencia para los patrones normales, monitorice los elementos siguientes:

Herramientas de monitoreo

AWS proporciona varias herramientas que puede utilizar para monitorear sus claves KMS. Puede configurar algunas de estas herramientas para que monitoricen por usted, pero otras herramientas requieren intervención manual. Le recomendamos que automatice las tareas de monitorización en la medida de lo posible.

Herramientas de monitoreo automatizadas

Puede utilizar las siguientes herramientas de monitorización automatizada para monitorizar sus claves KMS e informar cuando haya algún cambio.

  • AWS CloudTrailSupervisión de registros: comparta archivos de registro entre cuentas, supervise los archivos de CloudTrail registro en tiempo real enviándolos a CloudWatch Logs, cree aplicaciones de procesamiento de registros con la biblioteca de CloudTrail procesamiento y valide que los archivos de registro no hayan cambiado después de su entrega CloudTrail. Para obtener más información, consulte Trabajar con archivos de CloudTrail registro en la Guía del AWS CloudTrail usuario.

  • Amazon CloudWatch Alarms: observe una sola métrica durante un período de tiempo que especifique y realice una o más acciones en función del valor de la métrica en relación con un umbral determinado durante varios períodos de tiempo. La acción es una notificación enviada a un tema del Servicio de Notificación Simple (Amazon SNS) o a una política de Auto Scaling de Amazon EC2. CloudWatch las alarmas no invocan acciones simplemente porque se encuentran en un estado determinado; el estado debe haber cambiado y se ha mantenido durante un número específico de períodos. Para obtener más información, consulte Monitorización con Amazon CloudWatch.

  • Amazon EventBridge: haga coincidir los eventos y diríjalos a una o más funciones o transmisiones de destino para capturar información de estado y, si es necesario, realizar cambios o tomar medidas correctivas. Para obtener más información, consulta Monitorización con Amazon EventBridge la Guía del EventBridge usuario de Amazon.

  • Amazon CloudWatch Logs: supervise, almacene y acceda a sus archivos de registro desde AWS CloudTrail u otras fuentes. Para obtener más información, consulta la Guía del usuario CloudWatch de Amazon Logs.

Herramientas de monitoreo manuales

Otra parte importante de la supervisión de las claves de KMS implica la supervisión manual de los elementos que CloudWatch las alarmas y los eventos no cubren. Los AWS paneles AWS KMS CloudWatch,AWS Trusted Advisor, y otros proporcionan una at-a-glance vista del estado de su AWS entorno.

Puede personalizar las Claves administradas por AWS y las páginas Customer Managed Keys (Claves administradas por el cliente) de la consola de AWS KMS para mostrar la siguiente información sobre cada clave KMS:

El panel de la consola de CloudWatch muestra lo siguiente:

  • Alarmas y estado actual

  • Gráficos de alarmas y recursos

  • Estado de los servicios

Además, puede utilizarlos CloudWatch para hacer lo siguiente:

  • Crear paneles personalizados para monitorizar los servicios que le interesan

  • Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias

  • Buscar y examinar todas sus métricas de recursos de AWS.

  • Crear y editar las alarmas de notificación de problemas

AWS Trusted Advisor puede ayudarlo a monitorear los recursos de AWS para mejorar el rendimiento, la fiabilidad, la seguridad y la rentabilidad. Hay cuatro comprobaciones de Trusted Advisor disponibles para todos los usuarios y hay más de 50 comprobaciones disponibles para usuarios con un plan de soporte Business o Enterprise. Para obtener más información, consulte AWS Trusted Advisor.