Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillance avec Amazon CloudWatch
Vous pouvez suivre votre AWS KMS keys utilisation d'Amazon CloudWatch, un AWS service qui collecte et traite les données brutes pour AWS KMS en faire des indicateurs lisibles en temps quasi réel. Ces données sont enregistrées pour une durée de deux semaines pour que vous puissiez accéder aux informations historiques, et mieux comprendre l'utilisation de vos clés KMS et leur évolution au fil du temps.
Vous pouvez utiliser Amazon CloudWatch pour vous avertir d'événements importants, tels que les suivants.
-
Les éléments de clé importés dans une clé KMS approchent de leur date d'expiration.
-
Une clé KMS en attente de suppression est toujours utilisée.
-
Les éléments de clé dans une clé KMS ont effectué automatiquement une rotation.
-
Une clé KMS a été supprimée.
Vous pouvez également créer une CloudWatch alarme Amazon qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez Gérer vos taux de demandes AWS KMS d'API à l'aide de Service Quotas et d'Amazon CloudWatch
Rubriques
Métriques et dimensions AWS KMS
AWS KMSprédéfinit CloudWatch les métriques Amazon pour vous permettre de surveiller plus facilement les données critiques et de créer des alarmes. Vous pouvez consulter les AWS KMS statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon.
Cette section répertorie chaque AWS KMS métrique et les dimensions de chaque métrique, et fournit des conseils de base pour créer des CloudWatch alarmes basées sur ces métriques et dimensions.
Note
Nom du groupe de dimensions :
Pour afficher une métrique dans la CloudWatch console Amazon, dans la section Metrics, sélectionnez le nom du groupe de dimensions. Vous pouvez ensuite filtrer en fonction du Metric name (Nom de la métrique). Cette rubrique inclut le nom de la métrique et le nom du groupe de dimensions pour chaque métrique AWS KMS.
Rubriques
SecondsUntilKeyMaterialExpiration
Le nombre de secondes restantes avant l'expiration des éléments de clé importés dans une clé KMS. Cette métrique n'est valide que pour les clés KMS avec des éléments de clé importés (dont l'origine des éléments de clé est EXTERNAL) et une date d'expiration.
Utilisez cette métrique pour effectuer le suivi du temps restant avant l'expiration de vos éléments de clé importés. Lorsque cette durée tombe en dessous d'un seuil que vous définissez, vous pouvez réimporter les éléments de clé avec une nouvelle date d'expiration. La métrique SecondsUntilKeyMaterialExpiration est spécifique à une clé KMS. Vous ne pouvez pas utiliser cette métrique pour surveiller plusieurs clés KMS ou les clés KMS que vous pourriez créer ultérieurement. Pour obtenir de l'aide sur la création CloudWatch d'une alarme pour surveiller cette métrique, consultezCréation d'une CloudWatch alarme en cas d'expiration du matériel clé importé.
Minimum est la statistique la plus utile pour cette métrique. Elle indique le plus petit temps restant pour tous les points de données de la période statistique spécifiée. La seule unité valide pour cette métrique est Seconds.
Nom du groupe de dimensions : Per-Key Metrics (Métriques par clé)
Dimensions pour SecondsUntilKeyMaterialExpiration | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Dimension | Description ; liée à AWS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| KeyId | Valeur pour chaque clé KMS. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ExternalKeyStoreThrottle
Nombre de requêtes d'opérations cryptographiques sur des clés KMS dans chaque magasin de clés externe qu'AWS KMS limite (répond avec une ThrottlingException). Cette métrique ne s'applique qu'aux magasins de clés externes.
La ExternalKeyStoreThrottle métrique s'applique uniquement aux clés KMS dans un magasin de clés externe et uniquement aux demandes d'opérations cryptographiques et à l'DescribeKeyopération. AWS KMSlimite ces demandes lorsque le taux de demandes dépasse le quota de demandes de stockage de clés personnalisé pour votre magasin de clés externe. Cette métrique n'inclut pas la limitation par votre proxy de magasin de clés externe ou votre gestionnaire de clés externe.
Utilisez cette métrique pour vérifier et ajuster la valeur du quota de demandes du magasin de clés personnalisé. Si cette métrique indique que AWS KMS limite fréquemment vos demandes pour ces clés KMS, vous pouvez envisager de demander une augmentation de la valeur de votre quota de demandes du magasin de clés personnalisé. Si vous avez besoin d'aide, consultez Requesting a quota increase (Demande d'augmentation de quota) dans le Guide de l'utilisateur Service Quotas.
Si vous obtenez très fréquemment des erreurs KMSInvalidStateException avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé » ou que la requête a été rejetée « car le proxy de magasin de clés externe n'a pas répondu à temps », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peut pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. La diminution de cette valeur de quota peut augmenter la limitation (et la valeur de la métrique ExternalKeyStoreThrottle), mais cela indique qu'AWS KMS rejette rapidement les requêtes excédentaires avant qu'elles ne soient envoyées à votre proxy de magasin de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au Centre AWS Support
Nom du groupe de dimensions : Keystore Throttle Metrics (Métriques de limitation du magasin de clés)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération d'API AWS KMS. Cette métrique s'applique uniquement aux opérations cryptographiques et à l'opération DescribeKey sur les clés KMS dans un magasin de clés externe. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule spécification de clé prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC_DEFAULT. |
XksProxyCertificateDaysToExpire
Nombre de jours avant l'expiration du certificat TLS de votre point de terminaison du proxy de magasin de clés externe (XksProxyUriEndpoint). Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit de l'expiration prochaine de votre certificat TLS. Lorsque le certificat expire, AWS KMS ne peut plus communiquer avec le proxy de magasin de clés externe. Toutes les données protégées par des clés KMS dans votre magasin de clés externe deviennent inaccessibles jusqu'à ce que vous renouveliez le certificat.
Une alerte de certificat informe de l'expiration d'un certificat qui pourrait vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire.
Nom du groupe de dimensions : XKS Proxy Certificate Metrics (Métriques du certificat du proxy XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| CertificateName | Nom du sujet (CN) dans le certificat TLS. |
XksProxyCredentialAge
Nombre de jours écoulés depuis que les informations d'identification pour l'authentification de proxy (XksProxyAuthenticationCredential) du magasin de clés externe actuel ont été associées au magasin de clés externe. Ce décompte commence lorsque vous saisissez les informations d'identification pour l'authentification dans le cadre de la création ou de la mise à jour de votre magasin de clés externe. Cette métrique ne s'applique qu'aux magasins de clés externes.
Cette valeur est conçue pour vous rappeler l'âge de vos informations d'identification pour l'authentification. Toutefois, étant donné que nous commençons le décompte lorsque vous associez les informations d'identification à votre magasin de clés externe, et non lorsque vous créez vos informations d'identification pour l'authentification sur le proxy de votre magasin de clés externe, cela peut ne pas être un indicateur précis de l'âge des informations d'identification sur le proxy.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous rappelle de changer vos informations d'identification d'authentification du proxy de stockage de clés externe.
Nom du groupe de dimensions : Per-Keystore Metrics (Métriques par magasin de clés)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
XksProxyErrors
Nombre d'exceptions liées à des requêtes AWS KMS adressées à votre proxy de magasin de clés externe. Ce décompte comprend les exceptions que le proxy du magasin de clés externe renvoie à AWS KMS et les erreurs de délai d'expiration qui se produisent lorsque le proxy du magasin de clés externe ne répond pas à AWS KMS dans l'intervalle de délai d'expiration de 250 millisecondes. Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour effectuer le suivi du taux d'erreurs des clés KMS dans votre magasin de clés externe. Elle révèle les erreurs les plus fréquentes, ce qui vous permet de hiérarchiser vos efforts d'ingénierie. Par exemple, les clés KMS qui génèrent des taux élevés d'erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique Afficher un magasin de clés externe. Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique Modifier les propriétés du magasin de clés externe.
Nom du groupe de dimensions : XKS Proxy Error Metrics (Métriques d'erreurs du proxy XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération d'API AWS KMS qui a généré une requête au proxy XKS. |
| XksOperation | Valeur pour chaque opération de l'API du proxy de magasin de clés externe. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule spécification de clé prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC_DEFAULT. |
| ErrorType | Valeurs :
|
| ExceptionName |
Valeurs :
|
XksExternalKeyManagerStates
Décompte du nombre d'instances de gestionnaire de clés externe dans chacun des états suivants : Active, Degraded et Unavailable. Les informations relatives à cette métrique proviennent du proxy de magasin de clés externe associé à chaque magasin de clés externe. Cette métrique ne s'applique qu'aux magasins de clés externes.
Les états des instances de gestionnaire de clés externe associées à un magasin de clés externe sont les suivants. Chaque proxy de magasin de clés externe peut utiliser des indicateurs différents pour mesurer l'état de votre gestionnaire de clés externe. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe.
-
Active: le gestionnaire de clés externe est sain. -
Degraded: le gestionnaire de clés externe est défectueux, mais il peut toujours traiter le trafic. -
Unavailable: le gestionnaire de clés externe ne peut pas traiter le trafic.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit en cas de dégradation ou d'indisponibilité d'instances de gestionnaire de clés externes. Pour déterminer quelles instances de gestionnaire de clés externe se trouvent dans chaque état, consultez les journaux du proxy de votre magasin de clés externe.
Nom du groupe de dimensions : XKS External Key Manager Metrics (Métriques du gestionnaire de clés externe XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| XksExternalKeyManagerState | Valeur pour chaque état. |
XksProxyLatency
Nombre de millisecondes nécessaires à un proxy de magasin de clés externe pour répondre à une requête AWS KMS. Si le délai de la requête a expiré, la valeur enregistrée est la limite de délai d'expiration de 250 millisecondes. Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Par exemple, si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur de proxy externe.
Des réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de requête actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 requêtes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 requêtes par seconde, pensez à demander une diminution de votre quota de requêtes de clés KMS dans un magasin de clés personnalisé. Les requêtes d'opérations cryptographiques utilisant les clés KMS de votre magasin de clés externe échoueront rapidement, avec une exception de limitation, au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou le gestionnaire de clés externe.
Nom du groupe de dimensions : XKS Proxy Latency Metrics (Métriques de latence de proxy XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération d'API AWS KMS qui a généré une requête au proxy XKS. |
| XksOperation | Valeur pour chaque opération de l'API du proxy de magasin de clés externe. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule spécification de clé prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC_DEFAULT. |
Affichage des métriques AWS KMS
Vous pouvez consulter les AWS KMS statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon.
Pour afficher les métriques à l'aide de la CloudWatch console
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Si nécessaire, changez la région. Dans la barre de navigation, sélectionnez la région où résident vos ressources AWS.
-
Dans le panneau de navigation, sélectionnez Métriques, Toutes les métriques.
-
Sous l'onglet Parcourir, recherchez
KMSet choisissez KMS. -
Choisissez le nom du groupe de dimensions de la métrique que vous souhaitez consulter.
Par exemple, pour la métrique
SecondsUntilKeyMaterialExpiration, choisissez Per-Key Metrics (Métriques par clé). -
Pour un graphique de la valeur de métrique, choisissez le nom de la métrique, puis choisissez
Add to graph. Pour convertir le graphique linéaire en valeur, choisissez Ligne, puis choisissez Numéro.
Pour consulter les statistiques à l'aide de l' CloudWatch API Amazon
Pour consulter AWS KMS les métriques à l'aide de l' CloudWatch API, envoyez une ListMetricsdemande avec Namespace set toAWS/KMS. L'exemple suivant montre comment procéder avec l'AWS Command Line Interface (AWS CLI)
$aws cloudwatch list-metrics --namespace AWS/KMS{ "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] }, { "Namespace": "AWS/KMS", "MetricName": "ExtenalKeyStoreThrottle", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Encrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCertificateDaysToExpire", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "CertificateName", "Value": "myproxy.xks.example.com" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCredentialAge", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyErrors", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" }, { "Name": "ErrorType", "Value": "Retryable errors" }, { "Name": "ExceptionName", "Value": "KMSInvalidStateException" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyHsmStates", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "XksProxyHsmState", "Value": "Active" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyLatency", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] } ] }
Création d' CloudWatch alarmes pour surveiller les clés KMS
Vous pouvez créer une CloudWatch alarme Amazon en fonction d'une AWS KMS métrique. L'alarme envoie un message électronique lorsqu'une valeur de métrique dépasse un seuil spécifié dans la configuration de l'alarme. L'alarme peut envoyer le message électronique à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une stratégie Amazon EC2 Auto Scaling. Pour obtenir des informations détaillées sur les CloudWatch alarmes, consultez la section Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon
Création d'une alarme en cas d'expiration des éléments de clé importés
Vous pouvez utiliser la SecondsUntilKeyMaterialExpirationmétrique pour créer une CloudWatch alarme qui vous avertit lorsque le contenu clé importé d'une clé KMS est sur le point d'expirer.
Lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez éventuellement spécifier une date et heure à laquelle les éléments de clé doivent expirer. Lorsque les éléments de clé expirent, AWS KMS supprime les éléments de clé et la clé KMS devient inutilisable. Pour utiliser la clé KMS à nouveau, vous devez réimporter les éléments de clé.
Pour obtenir des instructions, veuillez consulter Création d'une CloudWatch alarme en cas d'expiration du matériel clé importé.
Création d'une alarme pour les clés KMS en attente de suppression
Lorsque vous planifiez la suppression d'une clé KMS, AWS KMS applique une période d'attente avant de supprimer la clé KMS. Vous pouvez utiliser la période d'attente pour vous assurer de ne pas avoir besoin de la clé KMS maintenant ni par la suite. Vous pouvez également configurer une CloudWatch alarme pour vous avertir si une personne ou une application tente d'utiliser la clé KMS lors d'une opération cryptographique pendant la période d'attente. Si vous recevez une notification de ce type d'alarme, vous pouvez annuler la suppression de la clé KMS.
Pour obtenir des instructions, veuillez consulter Création d'une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression.
Créer une alerte pour surveiller un magasin de clés externe
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes.
Par exemple, nous vous recommandons de définir une CloudWatch alarme pour vous avertir lorsque le certificat TLS de votre banque de clés externe est sur le point d'expirer (XksProxyCertificateDaysToExpire), lorsque votre proxy de magasin de clés externe signale que vos instances de gestionnaire de clés externe sont dégradées ou indisponibles (XksProxyHsmStates).
Pour obtenir des instructions, consultez Surveiller un magasin de clés externe.
