Surveillance des AWS KMS keys

La surveillance est un élément important pour comprendre la disponibilité, l'état et l'utilisation de vos AWS KMS keys dans AWS KMS, et préserver la fiabilité, la disponibilité et les performances de vos solutions AWS. La collecte de données de surveillance à partir de toutes les parties de votre solution AWS vous aidera à résoudre des problèmes de défaillance multipoint, le cas échéant. Toutefois, avant de commencer la surveillance de cos clés KMS, créez un plan de surveillance incluant les réponses aux questions suivantes :

Quels sont les objectifs de la surveillance ?
Quelles sont les ressources à surveiller ?
À quelle fréquence les ressources doivent-elles être surveillées ?
Quels outils de surveillance utiliser ?
Qui exécute les tâches de supervision ?
Qui doit être informé en cas de problème ?

L'étape suivante consiste à contrôler vos clés KMS au fil du temps pour établir une référence d'utilisation normale de AWS KMS et une base pour les attentes dans votre environnement. Lorsque vous contrôlez vos clés KMS, conservez les données d'historique de surveillance pour les comparer aux données actuelles afin d'identifier des modèles normaux et des anomalies, et de concevoir des méthodes pour résoudre les problèmes.

Par exemple, vous pouvez contrôler l'activité d'API AWS KMS et les événements qui affectent vos clés KMS. Lorsque les données dépassent les normes supérieures ou inférieures que vous avez établies, il peut être nécessaire d'enquêter ou de prendre des mesures correctives.

Pour établir une référence pour les modèles normaux, surveillez les éléments suivants :

Activité d'API AWS KMS pour les opérations de plan de données. Il s'agit d'opérations de chiffrement qui utilisent une clé KMS, telles que Decrypt, Encrypt, ReEncrypt et GenerateDataKey.
Activité d'API AWS KMS pour les opérations de plan de contrôle qui sont importantes pour vous. Ces opérations gèrent une clé KMS et vous pouvez surveiller celles qui changent la disponibilité d'une clé KMS (telles que ScheduleKeyDeletion, CancelKeyDeletion, DisableKey, EnableKey, ImportKeyMaterial et DeleteImportedKeyMaterial) ou qui modifient le contrôle d'accès d'une clé KMS (telles que PutKeyPolicy et RevokeGrant).
D'autres métriques AWS KMS (par exemple, le temps restant jusqu'à ce que vos éléments de clé importés expirent) et les événements (tels que l'expiration des éléments de clé importés ou la suppression ou la rotation de clé d'une clé KMS).

Outils de surveillance

AWS fournit différents outils que vous pouvez utiliser pour contrôler vos clés KMS. Vous pouvez configurer certains outils pour qu'ils effectuent la supervision automatiquement, tandis que d'autres nécessitent une intervention manuelle. Nous vous recommandons d'automatiser le plus possible les tâches de supervision.

Outils de surveillance automatique

Vous pouvez utiliser les outils de surveillance automatique ci-dessous pour contrôler vos clés KMS et signaler un changement éventuel.

Surveillance de journaux AWS CloudTrail : partagez les fichiers journaux entre comptes, contrôlez les fichiers journaux CloudTrail en temps réel en les envoyant à CloudWatch Logs, écrivez des applications de traitement de journaux avec la bibliothèque de traitement CloudTrail et assurez-vous que vos fichiers journaux n'ont pas changé après leur livraison par CloudTrail. Pour en savoir plus, veuillez consulter Utilisation des fichiers journaux CloudTrail dans le Guide de l'utilisateur AWS CloudTrail.
Amazon CloudWatch Alarms : surveillez une seule métrique sur une période définie et exécutez une ou plusieurs actions en fonction de la valeur de la métrique par rapport à un seuil donné sur un certain nombre de périodes. L'action est une notification envoyée à une rubrique Amazon Simple Notification Service (Amazon SNS) ou une politique Amazon EC2 Auto Scaling. Les alarmes CloudWatch n'appellent pas d'actions simplement parce qu'elles sont dans un état particulier : l'état doit avoir changé et été maintenu pendant un certain nombre de périodes. Pour de plus amples informations, veuillez consulter Surveillance avec Amazon CloudWatch.
Amazon CloudWatch Events : mettez en correspondance les événements et transmettez-les à un ou plusieurs flux ou fonctions cible pour capturer des informations d'état et, si nécessaire, apporter des modifications ou prendre des mesures correctives. Pour plus d'informations, veuillez consulter Événements AWS KMS et le Guide de l'utilisateur Amazon CloudWatch Events.
Amazon CloudWatch Logs – Surveillez, stockez et accédez à vos fichiers journaux à partir de AWS CloudTrail ou d'autres sources. Pour plus d'informations, consultez le Guide de l'utilisateur Amazon CloudWatch Logs.

Outils de surveillance manuelle

La surveillance des clés KMS implique également de contrôler manuellement les éléments que les alarmes et les événéments CloudWatch ne couvrent pas. Les tableaux de bord AWS KMS, CloudWatch, AWS Trusted Advisor et AWS fournissent un aperçu de l'état de votre environnement AWS.

Vous pouvez personnaliser les pages Clés gérées par AWS et les clés gérées par le client de la console AWS KMS pour afficher les informations suivantes sur chaque clé KMS :

ID de clé
État
Date de création
Date d'expiration (pour les clés KMS avec des éléments de clé importés)
Origin
ID de magasin de clés personnalisé (pour les clés KMS dans des magasins de clés personnalisés)

Le tableau de bord de la console CloudWatch présente les éléments suivants :

Alarmes et statuts en cours
Graphiques des alarmes et des ressources
Statut d'intégrité du service

De plus, vous pouvez utiliser CloudWatch pour effectuer les tâches suivantes :

Créer des tableaux de bord personnalisés pour surveiller les services de votre choix
Représenter graphiquement les données de métriques pour résoudre les problèmes et découvrir les tendances
Rechercher et parcourir toutes vos métriques de ressources AWS
Créer et modifier des alarmes pour être informé des problèmes

AWS Trusted Advisor peut vous aider à surveiller vos ressources AWS pour améliorer les performances, la fiabilité, la sécurité et la rentabilité. Quatre contrôles Trusted Advisor sont disponibles pour tous les utilisateurs. Plus de 50 contrôles sont disponibles pour les utilisateurs avec un plan de support Business ou Enterprise. Pour de plus amples informations, veuillez consulter AWS Trusted Advisor.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Rotation des clés

Journalisation avec AWS CloudTrail