Surveillez les magasins de clés externes - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillez les magasins de clés externes

AWS KMS collecte des statistiques pour chaque interaction avec un magasin de clés externe et les publie sur votre CloudWatch compte. Ces métriques sont utilisées pour générer les graphiques dans la section de surveillance de la page détaillée pour chaque magasin de clés externe. La rubrique suivante explique comment utiliser les graphiques pour identifier et résoudre les problèmes de fonctionnement et de configuration affectant votre magasin de clés externe. Nous vous recommandons d'utiliser les CloudWatch métriques pour définir des alarmes qui vous avertissent lorsque votre magasin de clés externe ne fonctionne pas comme prévu. Pour plus d'informations, consultez la section Surveillance avec Amazon CloudWatch.

Afficher les graphiques

Vous pouvez afficher les graphiques dans différents niveaux de détails. Par défaut, chaque graphique utilise une plage de temps de trois heures et une période d'agrégation de cinq minutes. Vous pouvez ajuster l'affichage graphique dans la console, mais vos modifications reviendront aux paramètres par défaut lorsque la page détaillée du magasin de clés externe sera fermée ou que le navigateur sera actualisé. Pour obtenir de l'aide sur CloudWatch la terminologie Amazon, consultez Amazon CloudWatch Concepts.

Afficher les détails des points de données

Les données de chaque graphique sont collectées par les métriques AWS KMS. Pour afficher plus d'informations sur un point de données spécifique, placez le pointeur de la souris sur le point de données du graphique linéaire. Cela affichera une fenêtre contextuelle contenant plus d'informations sur la métrique dont le graphique est issu. Chaque élément de la liste affiche la valeur de dimension enregistrée à ce point de données. La fenêtre contextuelle affiche une valeur nulle () si aucune donnée de métrique n'est disponible pour la valeur de dimension à ce point de données. Certains graphiques enregistrent plusieurs dimensions et valeurs pour un seul point de données. D'autres graphiques, tels que le graphique de fiabilité, utilisent les données collectées par la métrique pour calculer une valeur unique. Chaque élément de la liste est associé à une couleur de graphique linéaire différente.

Modifier la plage de temps

Pour modifier la plage de temps, sélectionnez l'une des plages de temps prédéfinies dans le coin supérieur droit de la section de surveillance. Les plages de temps prédéfinies s'étendent de 1 heure à 1 semaine (1 h, 3 h, 12 h, 1 j, 3 j, ou 1 sem). Cela permet d'ajuster la plage de temps pour tous les graphiques. Si vous souhaitez afficher un graphique spécifique dans un intervalle de temps différent, ou si vous souhaitez définir un intervalle de temps personnalisé, agrandissez-le ou affichez-le dans la CloudWatch console Amazon.

Zoom avant sur les graphiques

Vous pouvez utiliser la fonctionnalité de zoom de la mini-carte pour vous concentrer sur des sections de graphiques linéaires et des parties empilées des graphiques sans basculer entre les vues zoomée et dézoomée. Par exemple, vous pouvez utiliser la fonctionnalité de zoom de la mini-carte pour mettre l'accent sur un pic dans un graphique, de sorte que vous puissiez comparer le pic à d'autres graphiques de la section de surveillance provenant de la même chronologie.

  1. Choisissez et faites glisser la zone du graphique sur laquelle vous souhaitez mettre l'accent, puis déposez.

  2. Pour réinitialiser le zoom, choisissez l'icône Reset zoom (Réinitialiser le zoom), qui ressemble à une loupe avec un symbole moins (-) à l'intérieur.

Agrandir un graphique

Pour agrandir un graphique, sélectionnez l'icône de menu dans le coin supérieur droit d'un graphique individuel et choisissez Enlarge (Agrandir). Vous pouvez également sélectionner l'icône d'agrandissement qui apparaît à côté de l'icône de menu lorsque vous passez la souris sur un graphique.

L'agrandissement d'un graphique vous permet de modifier davantage son affichage en spécifiant une période, une plage de temps personnalisée ou un intervalle d'actualisation différents. Ces modifications reviendront aux paramètres par défaut lorsque vous fermerez la vue agrandie.

Modifier la période
  1. Choisissez le menu Period options (Options de période). Par défaut, ce menu affiche la valeur : 5 minutes.

  2. Choisissez une période, les périodes prédéfinies s'étendent de 1 seconde à 30 jours.

    Par exemple, vous pouvez choisir une vue d'une minute, ce qui peut être utile lors d'un dépannage. Vous pouvez également choisir une vue moins détaillée, d'une heure par exemple. Cela peut être utile lors de l'affichage d'une plage de temps plus large (par exemple, 3 jours), afin de voir les tendances au fil du temps. Pour plus d'informations, consultez la section Périodes dans le guide de CloudWatch l'utilisateur Amazon.

Modifier la plage de temps ou le fuseau horaire
  1. Sélectionnez l'une des plages de temps prédéfinies, qui s'étendent de 1 heure à 1 semaine (1 h, 3 h, 12 h, 1 j, 3 j, ou 1 sem). Vous pouvez également choisir Custom (Personnalisée) pour définir votre propre plage horaire.

  2. Choisissez Custom (Personnalisée).

    1. Plage de temps : sélectionnez l'onglet Absolute (Absolue) dans le coin supérieur gauche de la boîte de dialogue. Utilisez le sélecteur de calendrier ou les champs de texte pour spécifier la plage de temps.

    2. Fuseau horaire : choisissez le menu déroulant dans le coin supérieur droit de la boîte de dialogue. Vous pouvez changer le fuseau horaire en UTCou fuseau horaire local.

  3. Une fois que vous avez spécifié une plage de temps, choisissez Apply (Appliquer).

Modifier la fréquence à laquelle les données de votre graphique sont actualisées
  1. Dans le coin supérieur droit, choisissez le menu Refresh options (Options d'actualisation).

  2. Choisissez un intervalle d'actualisation (Désactivé, 10 secondes, 1 minute, 2 minutes, 5 minutes ou 15 minutes).

Afficher les graphiques dans la CloudWatch console Amazon

Les graphiques de la section de surveillance sont dérivés de mesures prédéfinies AWS KMS publiées sur Amazon CloudWatch. Vous pouvez les ouvrir dans la CloudWatch console et les enregistrer dans des CloudWatch tableaux de bord. Si vous possédez plusieurs magasins de clés externes, vous pouvez ouvrir leurs graphiques respectifs CloudWatch et les enregistrer dans un tableau de bord unique pour comparer leur état de santé et leur utilisation.

Ajouter au CloudWatch tableau de bord

Sélectionnez Ajouter au tableau de bord dans le coin supérieur droit pour ajouter tous les graphiques à un tableau de CloudWatch bord Amazon. Vous pouvez utiliser un tableau de bord existant ou en créer un. Pour plus d'informations sur l'utilisation de ce tableau de bord pour créer des vues personnalisées des graphiques et des alarmes, consultez la section Utilisation CloudWatch des tableaux de bord Amazon dans le guide de CloudWatch l'utilisateur Amazon.

Afficher dans les CloudWatch métriques

Sélectionnez l'icône du menu dans le coin supérieur droit d'un graphique individuel et choisissez Afficher dans les métriques pour afficher ce graphique dans la CloudWatch console Amazon. Depuis la CloudWatch console, vous pouvez ajouter ce graphique unique à un tableau de bord et modifier les plages de temps, les périodes et les intervalles d'actualisation. Pour plus d'informations, consultez la section Représentation graphique des métriques dans le guide de CloudWatch l'utilisateur Amazon.

Interpréter les graphiques

AWS KMS fournit plusieurs graphiques pour surveiller l'état de votre magasin de clés externe dans la AWS KMS console. Ces graphiques sont automatiquement configurés et dérivés des métriques AWS KMS.

Les données de graphique sont collectées dans le cadre des appels que vous effectuez vers votre magasin de clés externe et vos clés externes. Vous pouvez voir des données remplir des graphiques pendant une période pendant laquelle vous n'avez passé aucun appel. Ces données proviennent des GetHealthStatus appels périodiques effectués en votre nom AWS KMS pour vérifier l'état de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Si vos graphiques affichent le message No data available (Aucune donnée disponible), cela signifie qu'aucun appel n'a été enregistré au cours de cette période ou que votre magasin de clés externe est à l'état DISCONNECTED. Vous pouvez peut-être identifier l'heure à laquelle votre magasin de clés externe s'est déconnecté en ajustant votre affichage sur une plage de temps plus étendue.

Total requests (Nombre total de requêtes)

Nombre total de AWS KMS demandes reçues pour une banque de clés externe spécifique au cours d'une période donnée. Utilisez ce graphique pour déterminer si vous êtes exposé à un risque de limitation.

AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si vous approchez les 540 000 appels par période de cinq minutes, vous risquez d'être limité.

Vous pouvez surveiller le nombre de demandes d'opérations cryptographiques sur KMS les clés de votre magasin de clés externe qui est AWS KMS limité par la métrique. ExternalKeyStoreThrottle

Si vous recevez des erreurs KMSInvalidStateException très fréquentes avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peuvent pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. La diminution de cette valeur de quota peut augmenter la régulation, mais cela indique que les demandes excédentaires AWS KMS sont rejetées rapidement avant qu'elles ne soient envoyées à votre proxy de stockage de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au Centre AWS Support et créez une demande.

Le graphique du nombre total de requêtes est dérivé de la métrique XksProxyErrors, qui collecte des données sur les réponses fructueuses et infructueuses qu' AWS KMS reçoit de votre proxy de magasin de clés externe. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche la valeur de la CustomKeyStoreId dimension ainsi que le nombre total de AWS KMS demandes enregistrées à ce point de données. Le CustomKeyStoreId sera toujours identique.

Fiabilité

Pourcentage de AWS KMS demandes pour lesquelles le proxy de stockage de clés externe a renvoyé une réponse réussie ou une erreur ne pouvant pas être réessayée. Utilisez ce graphique pour évaluer l'état opérationnel de votre proxy de magasin de clés externe.

Lorsque le graphique affiche une valeur inférieure à 100 %, il indique les cas où le proxy n'a pas répondu ou a répondu par une erreur récupérable. Cela peut indiquer des problèmes liés au réseau, une lenteur du proxy de magasin de clés externe ou du gestionnaire de clés externe, ou des bogues d'implémentation.

Si la demande contient des informations d'identification erronées et que votre proxy répond par unAuthenticationFailedException, le graphique indiquera toujours une fiabilité de 100 %, car le proxy a identifié une valeur incorrecte dans la APIdemande de proxy de stockage de clés externe et, par conséquent, l'échec est attendu. Si le pourcentage de votre graphique de fiabilité est de 100 %, cela signifie que le proxy de votre magasin de clés externe répond comme prévu. Si le graphique affiche une valeur inférieure à 100 %, le proxy a répondu par une erreur récupérable ou a expiré. Par exemple, si le proxy répond par une exception ThrottlingException en raison d'un taux de requêtes très élevé, il affichera un pourcentage de fiabilité inférieur, car le proxy n'a pas été en mesure d'identifier un problème spécifique dans la requête qui a provoqué son échec. En effet, les erreurs récupérables sont probablement des problèmes transitoires qui peuvent être résolus en répétant la requête.

Les réponses d'erreur suivantes réduiront le pourcentage de fiabilité. Vous pouvez utiliser le graphique Les cinq principales exceptions et la métrique XksProxyErrors pour surveiller davantage la fréquence à laquelle votre proxy renvoie chaque erreur récupérable.

  • InternalException

  • DependencyTimeoutException

  • ThrottlingException

  • XksProxyUnreachableException

Le graphique de fiabilité est dérivé de la XksProxyErrors métrique, qui collecte des données sur les réponses positives et infructueuses AWS KMS reçues de votre proxy de stockage de clés externe. Le pourcentage de fiabilité ne diminue que si la réponse a une valeur ErrorType égale à Retryable. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche la valeur de la CustomKeyStoreId dimension ainsi que le pourcentage de fiabilité pour les AWS KMS demandes enregistrées à ce point de données. Le CustomKeyStoreId sera toujours identique.

Nous vous recommandons d'utiliser cette XksProxyErrors métrique pour créer une CloudWatch alarme qui vous avertit des problèmes potentiels liés au réseau en vous alertant lorsque plus de cinq erreurs réessayables sont enregistrées en une minute. Pour de plus amples informations, veuillez consulter Création d'une alarme pour les erreurs réessayables.

Latence

Le nombre de millisecondes nécessaires à un proxy de stockage de clés externe pour répondre à une demande. AWS KMS Utilisez ce graphique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe.

AWS KMS attend du proxy de stockage de clés externe qu'il réponde à chaque demande dans un délai de 250 millisecondes. En cas d'expiration du délai d'attente du réseau, la demande AWS KMS sera réessayée une fois. Si le proxy échoue une seconde fois, la latence enregistrée est le délai d'expiration combiné pour les deux tentatives de requête et le graphique affichera environ 500 millisecondes. Dans tous les autres cas où le proxy ne répond pas dans la limite du délai d'expiration de 250 millisecondes, la latence enregistrée est de 250 millisecondes. Si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur proxy externe. Pour obtenir de l'aide afin de résoudre les problèmes de latence, veuillez consulter la rubrique Erreurs de latence et de délai d'expiration.

Les réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de demandes actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 demandes par seconde, envisagez de demander une diminution de votre quota de demandes de KMS clés dans un magasin de clés personnalisé. Les demandes d'opérations cryptographiques utilisant les KMS clés de votre magasin de clés externe échoueront rapidement avec une exception de limitation, au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou votre gestionnaire de clés externe.

Le graphique de latence est dérivé de la métrique XksProxyLatency. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche les valeurs des dimensions KmsOperation et XksOperation correspondantes, ainsi que la latence moyenne enregistrée pour les opérations sur ce point de données. Les éléments de la liste sont classés de la latence la plus élevée à la plus faible.

Nous vous recommandons d'utiliser cette XksProxyLatency métrique pour créer une CloudWatch alarme qui vous avertira lorsque votre latence approche de la limite de temporisation. Pour de plus amples informations, veuillez consulter Création d'une alarme pour l'expiration du délai de réponse.

Les cinq principales exceptions

Les cinq principales exceptions en cas d'échec des opérations cryptographiques et de gestion au cours d'une période donnée. Utilisez ce graphique pour suivre les erreurs les plus fréquentes, afin de prioriser votre effort d'ingénierie.

Ce décompte inclut les exceptions AWS KMS reçues du proxy de stockage de clés externe et celles renvoyées XksProxyUnreachableException en interne lorsqu'il ne peut pas établir de communication avec le proxy de stockage de clés externe. AWS KMS

Des taux élevés d'erreurs récupérables peuvent indiquer des erreurs réseau, tandis que des taux élevés d'erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Par exemple, un pic AuthenticationFailedExceptions indique un écart entre les informations d'authentification configurées dans le proxy de stockage de clés externe AWS KMS et celles configurées dans le proxy de stockage de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique Afficher les magasins de clés externes. Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique Modifier les propriétés du magasin de clés externe.

Les exceptions AWS KMS reçues du proxy de stockage de clés externe sont différentes de celles qui AWS KMS sont renvoyées en cas d'échec d'une opération. AWS KMS les opérations cryptographiques renvoient un KMSInvalidStateException pour toutes les défaillances liées à la configuration externe ou à l'état de connexion du magasin de clés externe. Pour identifier le problème, utilisez le texte du message d'erreur qui l'accompagne.

Le tableau suivant indique les exceptions qui peuvent apparaître dans le graphique des 5 principales exceptions et les exceptions correspondantes qui vous sont AWS KMS renvoyées.

Error type (Type d'erreur) Exception affichée dans le graphique Exception qui vous AWS KMS est revenue
Non récupérable AccessDeniedException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Problèmes d'autorisation du proxy.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable AuthenticationFailedException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs liées aux informations d'identification pour l'authentification.

XksProxyIncorrectAuthenticationCredentialException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Récupérable

DependencyTimeoutException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs de latence et de délai d'expiration.

XksProxyUriUnreachableException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Récupérable

InternalException

Le proxy de magasin de clés externe a rejeté la requête, car il ne peut pas communiquer avec le gestionnaire de clés externe. Vérifiez que la configuration du proxy de magasin de clés externe est correcte et que le gestionnaire de clés externe est disponible.

XksProxyInvalidResponseException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable

InvalidCiphertextException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs de déchiffrement.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable

InvalidKeyUsageException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs d'opérations cryptographiques pour la clé externe.

XksKeyInvalidConfigurationException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable

InvalidStateException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs d'opérations cryptographiques pour la clé externe.

XksKeyInvalidConfigurationException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable

InvalidUriPathException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs de configuration générale.

XksProxyInvalidConfigurationException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable

KeyNotFoundException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs liées aux clés externes.

XksKeyNotFoundException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Récupérable

ThrottlingException

Le proxy de magasin de clés externe a rejeté la requête en raison d'un taux de requêtes très élevé. Réduisez la fréquence de vos appels à l'aide KMS des clés de ce magasin de clés externe.

XksProxyUriUnreachableException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable

UnsupportedOperationException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs d'opérations cryptographiques pour la clé externe.

XksKeyInvalidResponseException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Non récupérable

ValidationException

Pour bénéficier d'une aide à la résolution des problèmes, consultez Problèmes liés aux proxys.

XksProxyInvalidResponseException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Récupérable

XksProxyUnreachableException

Si cette erreur s'affiche à plusieurs reprises, vérifiez que votre proxy de banque de clés externe est actif et connecté au réseau, et que son URI chemin et son nom de point de terminaison URI ou de VPC service sont corrects dans votre banque de clés externe.

XksProxyUriUnreachableException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore.

CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey.

KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Le graphique des cinq principales exceptions est dérivé de la métrique XksProxyErrors. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche la valeur de la dimension ExceptionName ainsi que le nombre de fois que l'exception a été enregistrée à ce point de données. Les cinq éléments de la liste sont classés de l'exception la plus fréquente à la moins fréquente.

Nous vous recommandons d'utiliser cette XksProxyErrors métrique pour créer une CloudWatch alarme qui vous avertit des problèmes de configuration potentiels en vous alertant lorsque plus de cinq erreurs non réessayables sont enregistrées en une minute. Pour de plus amples informations, veuillez consulter Créez une alarme pour les erreurs non réessayables.

Nombre de jours avant l'expiration du certificat

Nombre de jours avant l'expiration du TLS certificat de votre point de terminaison proxy de stockage de clés externe (XksProxyUriEndpoint). Utilisez ce graphique pour surveiller l'expiration prochaine de votre TLS certificat.

Lorsque le certificat expire, AWS KMS impossible de communiquer avec le proxy de stockage de clés externe. Toutes les données protégées par des KMS clés dans votre magasin de clés externe deviennent inaccessibles tant que vous n'avez pas renouvelé le certificat.

Le graphique du nombre de jours avant l'expiration du certificat est dérivé de la métrique XksProxyCertificateDaysToExpire. Nous vous recommandons vivement d'utiliser cette métrique pour créer une CloudWatch alarme qui vous avertira de l'expiration prochaine. L'expiration du certificat peut vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire. Pour de plus amples informations, veuillez consulter Création d'une alarme pour l'expiration du certificat.