Surveiller un magasin de clés externe

AWS KMScollecte des statistiques pour chaque interaction avec un magasin de clés externe et les publie sur votre CloudWatch compte. Ces métriques sont utilisées pour générer les graphiques dans la section de surveillance de la page détaillée pour chaque magasin de clés externe. La rubrique suivante explique comment utiliser les graphiques pour identifier et résoudre les problèmes de fonctionnement et de configuration affectant votre magasin de clés externe. Nous vous recommandons d'utiliser les CloudWatch métriques pour définir des alarmes qui vous avertissent lorsque votre magasin de clés externe ne fonctionne pas comme prévu. Pour plus d'informations, consultez la section Surveillance avec Amazon CloudWatch.

Afficher les graphiques

Vous pouvez afficher les graphiques dans différents niveaux de détails. Par défaut, chaque graphique utilise une plage de temps de trois heures et une période d'agrégation de cinq minutes. Vous pouvez ajuster l'affichage graphique dans la console, mais vos modifications reviendront aux paramètres par défaut lorsque la page détaillée du magasin de clés externe sera fermée ou que le navigateur sera actualisé. Pour obtenir de l'aide sur CloudWatch la terminologie Amazon, consultez Amazon CloudWatch Concepts.

Afficher les détails des points de données

Les données de chaque graphique sont collectées par les métriques AWS KMS. Pour afficher plus d'informations sur un point de données spécifique, placez le pointeur de la souris sur le point de données du graphique linéaire. Cela affichera une fenêtre contextuelle contenant plus d'informations sur la métrique dont le graphique est issu. Chaque élément de la liste affiche la valeur de dimension enregistrée à ce point de données. La fenêtre contextuelle affiche une valeur nulle (–) si aucune donnée de métrique n'est disponible pour la valeur de dimension à ce point de données. Certains graphiques enregistrent plusieurs dimensions et valeurs pour un seul point de données. D'autres graphiques, tels que le graphique de fiabilité, utilisent les données collectées par la métrique pour calculer une valeur unique. Chaque élément de la liste est associé à une couleur de graphique linéaire différente.

Modifier la plage de temps

Pour modifier la plage de temps, sélectionnez l'une des plages de temps prédéfinies dans le coin supérieur droit de la section de surveillance. Les plages de temps prédéfinies s'étendent de 1 heure à 1 semaine (1 h, 3 h, 12 h, 1 j, 3 j, ou 1 sem). Cela permet d'ajuster la plage de temps pour tous les graphiques. Si vous souhaitez afficher un graphique spécifique dans un intervalle de temps différent, ou si vous souhaitez définir un intervalle de temps personnalisé, agrandissez-le ou affichez-le dans la CloudWatch console Amazon.

Zoom avant sur les graphiques

Vous pouvez utiliser la fonctionnalité de zoom de la mini-carte pour vous concentrer sur des sections de graphiques linéaires et des parties empilées des graphiques sans basculer entre les vues zoomée et dézoomée. Par exemple, vous pouvez utiliser la fonctionnalité de zoom de la mini-carte pour mettre l'accent sur un pic dans un graphique, de sorte que vous puissiez comparer le pic à d'autres graphiques de la section de surveillance provenant de la même chronologie.

1. Choisissez et faites glisser la zone du graphique sur laquelle vous souhaitez mettre l'accent, puis déposez.

2. Pour réinitialiser le zoom, choisissez l'icône Reset zoom (Réinitialiser le zoom), qui ressemble à une loupe avec un symbole moins (-) à l'intérieur.

Agrandir un graphique

Pour agrandir un graphique, sélectionnez l'icône de menu dans le coin supérieur droit d'un graphique individuel et choisissez Enlarge (Agrandir). Vous pouvez également sélectionner l'icône d'agrandissement qui apparaît à côté de l'icône de menu lorsque vous passez la souris sur un graphique.

L'agrandissement d'un graphique vous permet de modifier davantage son affichage en spécifiant une période, une plage de temps personnalisée ou un intervalle d'actualisation différents. Ces modifications reviendront aux paramètres par défaut lorsque vous fermerez la vue agrandie.

Modifier la période

1. Choisissez le menu Period options (Options de période). Par défaut, ce menu affiche la valeur : 5 minutes.

2. Choisissez une période, les périodes prédéfinies s'étendent de 1 seconde à 30 jours.

   Par exemple, vous pouvez choisir une vue d'une minute, ce qui peut être utile lors d'un dépannage. Vous pouvez également choisir une vue moins détaillée, d'une heure par exemple. Cela peut être utile lors de l'affichage d'une plage de temps plus large (par exemple, 3 jours), afin de voir les tendances au fil du temps. Pour plus d'informations, consultez la section Périodes dans le guide de CloudWatch l'utilisateur Amazon.

Modifier la plage de temps ou le fuseau horaire

1. Sélectionnez l'une des plages de temps prédéfinies, qui s'étendent de 1 heure à 1 semaine (1 h, 3 h, 12 h, 1 j, 3 j, ou 1 sem). Vous pouvez également choisir Custom (Personnalisée) pour définir votre propre plage horaire.

2. Choisissez Custom (Personnalisée).

   1. Plage de temps : sélectionnez l'onglet Absolute (Absolue) dans le coin supérieur gauche de la boîte de dialogue. Utilisez le sélecteur de calendrier ou les champs de texte pour spécifier la plage de temps.

   2. Fuseau horaire : choisissez le menu déroulant dans le coin supérieur droit de la boîte de dialogue. Vous pouvez changer le fuseau horaire sur UTC ou Local time zone (Fuseau horaire local).

3. Une fois que vous avez spécifié une plage de temps, choisissez Apply (Appliquer).

Modifier la fréquence à laquelle les données de votre graphique sont actualisées

1. Dans le coin supérieur droit, choisissez le menu Refresh options (Options d'actualisation).

2. Choisissez un intervalle d'actualisation (Désactivé, 10 secondes, 1 minute, 2 minutes, 5 minutes ou 15 minutes).

Afficher les graphiques dans la CloudWatch console Amazon

Les graphiques de la section de surveillance sont dérivés de mesures prédéfinies AWS KMS publiées sur Amazon CloudWatch. Vous pouvez les ouvrir dans la CloudWatch console et les enregistrer dans des CloudWatch tableaux de bord. Si vous possédez plusieurs magasins de clés externes, vous pouvez ouvrir leurs graphiques respectifs CloudWatch et les enregistrer dans un tableau de bord unique pour comparer leur état de santé et leur utilisation.

Ajouter au CloudWatch tableau de bord

Sélectionnez Ajouter au tableau de bord dans le coin supérieur droit pour ajouter tous les graphiques à un tableau de CloudWatch bord Amazon. Vous pouvez utiliser un tableau de bord existant ou en créer un. Pour plus d'informations sur l'utilisation de ce tableau de bord pour créer des vues personnalisées des graphiques et des alarmes, consultez la section Utilisation CloudWatch des tableaux de bord Amazon dans le guide de CloudWatch l'utilisateur Amazon.

Afficher dans les CloudWatch métriques

Sélectionnez l'icône du menu dans le coin supérieur droit d'un graphique individuel et choisissez Afficher dans les métriques pour afficher ce graphique dans la CloudWatch console Amazon. Depuis la CloudWatch console, vous pouvez ajouter ce graphique unique à un tableau de bord et modifier les plages de temps, les périodes et les intervalles d'actualisation. Pour plus d'informations, consultez la section Représentation graphique des métriques dans le guide de CloudWatch l'utilisateur Amazon.

Interpréter les graphiques

AWS KMS fournit plusieurs graphiques pour surveiller l'état de votre magasin de clés externe au sein de la console AWS KMS. Ces graphiques sont automatiquement configurés et dérivés des métriques AWS KMS.

Les données de graphique sont collectées dans le cadre des appels que vous effectuez vers votre magasin de clés externe et vos clés externes. Il se peut que des données apparaissent dans les graphiques pour une période pendant laquelle vous n'avez effectué aucun appel. Ces données proviennent des appels GetHealthStatus périodiques qu'AWS KMS effectue en votre nom pour vérifier l'état de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Si vos graphiques affichent le message No data available (Aucune donnée disponible), cela signifie qu'aucun appel n'a été enregistré au cours de cette période ou que votre magasin de clés externe est à l'état DISCONNECTED. Vous pouvez peut-être identifier l'heure à laquelle votre magasin de clés externe s'est déconnecté en ajustant votre affichage sur une plage de temps plus étendue.

Rubriques

• Total requests (Nombre total de requêtes)
• Fiabilité
• Latence
• Les cinq principales exceptions
• Nombre de jours avant l'expiration du certificat

Total requests (Nombre total de requêtes)

Nombre total de requêtes AWS KMS reçues pour un magasin de clés externe spécifique au cours d'une plage de temps donnée. Utilisez ce graphique pour déterminer si vous êtes exposé à un risque de limitation.

AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 requêtes d'opérations cryptographiques par seconde. Si vous approchez les 540 000 appels par période de cinq minutes, vous risquez d'être limité.

Vous pouvez contrôler le nombre de requêtes d'opérations cryptographiques sur des clés KMS dans votre magasin de clés externe qu'AWS KMS limite à l'aide de la métrique ExternalKeyStoreThrottle.

Si vous recevez des erreurs KMSInvalidStateException très fréquentes avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peuvent pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. Diminuer cette valeur de quota pourrait augmenter la limitation, mais cela indique qu'AWS KMS rejette rapidement les requêtes excédentaires avant qu'elles ne soient envoyées à votre proxy de magasin de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au Centre AWS Support et créez une demande.

Le graphique du nombre total de requêtes est dérivé de la métrique XksProxyErrors, qui collecte des données sur les réponses fructueuses et infructueuses qu'AWS KMS reçoit de votre proxy de magasin de clés externe. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche la valeur de la dimension CustomKeyStoreId ainsi que le nombre total de requêtes AWS KMS enregistrées à ce point de données. Le CustomKeyStoreId sera toujours identique.

Fiabilité

Pourcentage de requêtes AWS KMS pour lesquelles le proxy de magasin de clés externe a renvoyé soit une réponse positive, soit une erreur non récupérable. Utilisez ce graphique pour évaluer l'état opérationnel de votre proxy de magasin de clés externe.

Lorsque le graphique affiche une valeur inférieure à 100 %, il indique les cas où le proxy n'a pas répondu ou a répondu par une erreur récupérable. Cela peut indiquer des problèmes liés au réseau, une lenteur du proxy de magasin de clés externe ou du gestionnaire de clés externe, ou des bogues d'implémentation.

Si la requête inclut des informations d'identification erronées et que votre proxy répond par une exception AuthenticationFailedException, le graphique indiquera toujours une fiabilité de 100 %, car le proxy a identifié une valeur incorrecte dans la requête d'API de proxy de magasin de clés externe. Par conséquent, l'échec est prévisible. Si le pourcentage de votre graphique de fiabilité est de 100 %, cela signifie que le proxy de votre magasin de clés externe répond comme prévu. Si le graphique affiche une valeur inférieure à 100 %, le proxy a répondu par une erreur récupérable ou a expiré. Par exemple, si le proxy répond par une exception ThrottlingException en raison d'un taux de requêtes très élevé, il affichera un pourcentage de fiabilité inférieur, car le proxy n'a pas été en mesure d'identifier un problème spécifique dans la requête qui a provoqué son échec. En effet, les erreurs récupérables sont probablement des problèmes transitoires qui peuvent être résolus en répétant la requête.

Les réponses d'erreur suivantes réduiront le pourcentage de fiabilité. Vous pouvez utiliser le graphique Les cinq principales exceptions et la métrique XksProxyErrors pour surveiller davantage la fréquence à laquelle votre proxy renvoie chaque erreur récupérable.

• InternalException

• DependencyTimeoutException

• ThrottlingException

• XksProxyUnreachableException

Le graphique de fiabilité est dérivé de la métrique XksProxyErrors, qui collecte des données sur les réponses fructueuses et infructueuses qu'AWS KMS reçoit de votre proxy de magasin de clés externe. Le pourcentage de fiabilité ne diminue que si la réponse a une valeur ErrorType égale à Retryable. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche la valeur de la dimension CustomKeyStoreId ainsi que le pourcentage de fiabilité des requêtes AWS KMS enregistrées à ce point de données. Le CustomKeyStoreId sera toujours identique.

Nous vous recommandons d'utiliser cette XksProxyErrors métrique pour créer une CloudWatch alarme qui vous avertit des problèmes potentiels liés au réseau en vous alertant lorsque plus de cinq erreurs réessayables sont enregistrées en une minute. Pour plus d’informations, consultez Création d'une CloudWatch alarme Amazon pour les erreurs réessayables.

Latence

Nombre de millisecondes nécessaires à un proxy de magasin de clés externe pour répondre à une requête AWS KMS. Utilisez ce graphique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe.

AWS KMS s'attend à ce que le proxy de magasin de clés externe réponde à chaque requête dans un délai de 250 millisecondes. En cas de délai d'expiration du réseau, AWS KMS relancera la requête une seule fois. Si le proxy échoue une seconde fois, la latence enregistrée est le délai d'expiration combiné pour les deux tentatives de requête et le graphique affichera environ 500 millisecondes. Dans tous les autres cas où le proxy ne répond pas dans la limite du délai d'expiration de 250 millisecondes, la latence enregistrée est de 250 millisecondes. Si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur proxy externe. Pour obtenir de l'aide afin de résoudre les problèmes de latence, veuillez consulter la rubrique Erreurs de latence et de délai d'expiration.

Des réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de requête actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 requêtes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 requêtes par seconde, pensez à demander une diminution de votre quota de requêtes de clés KMS dans un magasin de clés personnalisé. Les requêtes d'opérations cryptographiques utilisant les clés KMS de votre magasin de clés externe échoueront rapidement, avec une exception de limitation, au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou le gestionnaire de clés externe.

Le graphique de latence est dérivé de la métrique XksProxyLatency. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche les valeurs des dimensions KmsOperation et XksOperation correspondantes, ainsi que la latence moyenne enregistrée pour les opérations sur ce point de données. Les éléments de la liste sont classés de la latence la plus élevée à la plus faible.

Nous vous recommandons d'utiliser cette XksProxyLatency métrique pour créer une CloudWatch alarme qui vous avertira lorsque votre latence approche de la limite de temporisation. Pour plus d’informations, consultez Création d'une CloudWatch alarme Amazon pour l'expiration du délai de réponse.

Les cinq principales exceptions

Les cinq principales exceptions en cas d'échec des opérations cryptographiques et de gestion au cours d'une période donnée. Utilisez ce graphique pour suivre les erreurs les plus fréquentes, afin de prioriser votre effort d'ingénierie.

Ce nombre inclut les exceptions qu'AWS KMS reçoit du proxy de magasin de clés externe et les XksProxyUnreachableException qu'AWS KMS renvoie en interne lorsqu'il ne peut pas établir de communication avec le proxy de magasin de clés externe.

Des taux élevés d'erreurs récupérables peuvent indiquer des erreurs réseau, tandis que des taux élevés d'erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Par exemple, un pic d'exceptions AuthenticationFailedExceptions indique une différence entre les informations d'identification pour l'authentification configurées dans AWS KMS et le proxy de magasin de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique Afficher un magasin de clés externe. Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique Modifier les propriétés du magasin de clés externe.

Les exceptions que AWS KMS reçoit du proxy du magasin de clés externes sont différentes des exceptions que AWS KMS renvoie lorsqu'une opération échoue. Les opérations de chiffrement AWS KMS renvoient une exception KMSInvalidStateException pour tous les échecs liés à la configuration externe ou à l'état de connexion du magasin de clés externes. Pour identifier le problème, utilisez le texte du message d'erreur qui l'accompagne.

Le tableau suivant montre les exceptions qui peuvent apparaître dans le graphique des cinq principales exceptions et les exceptions correspondantes qu'AWS KMS vous renvoie.

Error type (Type d'erreur)	Exception affichée dans le graphique	Exception qu'AWS KMS vous a renvoyée
Non récupérable	AccessDeniedException Pour bénéficier d'une aide à la résolution des problèmes, consultez Problèmes d'autorisation du proxy.	CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	AuthenticationFailedException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs liées aux informations d'identification pour l'authentification.	XksProxyIncorrectAuthenticationCredentialException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore. CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Récupérable	DependencyTimeoutException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs de latence et de délai d'expiration.	XksProxyUriUnreachableException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore. CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Récupérable	InternalException Le proxy de magasin de clés externe a rejeté la requête, car il ne peut pas communiquer avec le gestionnaire de clés externe. Vérifiez que la configuration du proxy de magasin de clés externe est correcte et que le gestionnaire de clés externe est disponible.	XksProxyInvalidResponseException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore. CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	InvalidCiphertextException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs de déchiffrement.	KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	InvalidKeyUsageException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs d'opérations cryptographiques pour la clé externe.	XksKeyInvalidConfigurationException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	InvalidStateException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs d'opérations cryptographiques pour la clé externe.	XksKeyInvalidConfigurationException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	InvalidUriPathException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs de configuration générale.	XksProxyInvalidConfigurationException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore. CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	KeyNotFoundException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs liées aux clés externes.	XksKeyNotFoundException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Récupérable	ThrottlingException Le proxy de magasin de clés externe a rejeté la requête en raison d'un taux de requêtes très élevé. Réduisez la fréquence de vos appels utilisant des clés KMS dans ce magasin de clés externe.	XksProxyUriUnreachableException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore. CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	UnsupportedOperationException Pour bénéficier d'une aide à la résolution des problèmes, consultez Erreurs d'opérations cryptographiques pour la clé externe.	XksKeyInvalidResponseException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Non récupérable	ValidationException Pour bénéficier d'une aide à la résolution des problèmes, consultez Problèmes liés aux proxys.	XksProxyInvalidResponseException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore. CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.
Récupérable	XksProxyUnreachableException Si cette erreur s'affiche à plusieurs reprises, vérifiez que le proxy de votre magasin de clés externe est actif et connecté au réseau, et que son chemin d'URI et son URI de point de terminaison ou le nom de service VPC sont corrects dans votre magasin de clés externe.	XksProxyUriUnreachableException dans la réponse aux opérations CreateCustomKeyStore et UpdateCustomKeyStore. CustomKeyStoreInvalidStateException dans la réponse aux opérations CreateKey. KMSInvalidStateException dans la réponse aux opérations cryptographiques.

Le graphique des cinq principales exceptions est dérivé de la métrique XksProxyErrors. Lorsque vous consultez un point de données spécifique, la fenêtre contextuelle affiche la valeur de la dimension ExceptionName ainsi que le nombre de fois que l'exception a été enregistrée à ce point de données. Les cinq éléments de la liste sont classés de l'exception la plus fréquente à la moins fréquente.

Nous vous recommandons d'utiliser cette XksProxyErrors métrique pour créer une CloudWatch alarme qui vous avertit des problèmes de configuration potentiels en vous alertant lorsque plus de cinq erreurs non réessayables sont enregistrées en une minute. Pour plus d’informations, consultez Création d'une CloudWatch alarme Amazon pour les erreurs non réessayables.

Nombre de jours avant l'expiration du certificat

Nombre de jours avant l'expiration du certificat TLS de votre point de terminaison du proxy de magasin de clés externe (XksProxyUriEndpoint). Utilisez ce graphique pour surveiller l'expiration imminente de votre certificat TLS.

Lorsque le certificat expire, AWS KMS ne peut plus communiquer avec le proxy de magasin de clés externe. Toutes les données protégées par des clés KMS dans votre magasin de clés externe deviennent inaccessibles jusqu'à ce que vous renouveliez le certificat.

Le graphique du nombre de jours avant l'expiration du certificat est dérivé de la métrique XksProxyCertificateDaysToExpire. Nous vous recommandons vivement d'utiliser cette métrique pour créer une CloudWatch alarme qui vous avertira de l'expiration prochaine. L'expiration du certificat peut vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire. Pour plus d’informations, consultez Création d'une CloudWatch alarme Amazon pour l'expiration du certificat.

Définition d'alarmes

Les graphiques de la section de surveillance fournissent une vue d'ensemble de l'état de vos magasins de clés externes et de vos clés KMS dans des magasins de clés externes pendant une période donnée. Cependant, vous pouvez créer des CloudWatch alarmes Amazon en fonction des statistiques externes du magasin clé afin de vous avertir lorsqu'une valeur de métrique dépasse le seuil que vous avez spécifié. L'alerte peut envoyer le message à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une politique Amazon EC2 Auto Scaling. Pour obtenir des informations détaillées sur les CloudWatch alarmes, consultez la section Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.

Avant de créer une CloudWatch alarme Amazon, vous avez besoin d'une rubrique Amazon SNS. Pour plus de détails, consultez la rubrique Création d'un Amazon SNS dans le guide de CloudWatch l'utilisateur Amazon.

Rubriques

• Création d'une CloudWatch alarme Amazon pour l'expiration du certificat
• Création d'une CloudWatch alarme Amazon pour l'expiration du délai de réponse
• Création d'une CloudWatch alarme Amazon pour les erreurs réessayables
• Création d'une CloudWatch alarme Amazon pour les erreurs non réessayables

Création d'une CloudWatch alarme Amazon pour l'expiration du certificat

Cette alarme utilise la XksProxyCertificateDaysToExpire métrique AWS KMS publiée sur CloudWatch pour enregistrer l'expiration prévue du certificat TLS associé à votre point de terminaison proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Nous vous recommandons de régler l'alerte pour qu'elle vous avertisse 10 jours avant l'expiration de votre certificat, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Créez l'alarme

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ	Valeur
Sélectionner une métrique	Choisissez KMS, puis choisissez XKS Proxy Certificate Metrics (Métriques de certificat de proxy XKS). Cochez la case à côté du XksProxyCertificateName que vous souhaitez surveiller. Ensuite, choisissez Select metric (Sélectionner une métrique).
Statistique	Minimum
Période	5 minutes
Type de seuil	Statique
Chaque fois que …	À chaque fois Lower que XksProxyCertificateDaysToExpirec'est le cas10.

Création d'une CloudWatch alarme Amazon pour l'expiration du délai de réponse

Cette alarme utilise la XksProxyLatency métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre de millisecondes nécessaires à un proxy de stockage de clés externe pour répondre à une demande. AWS KMS Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

AWS KMS s'attend à ce que le proxy de magasin de clés externe réponde à chaque requête dans un délai de 250 millisecondes. Nous vous recommandons de configurer une alerte pour vous avertir lorsque le proxy de votre magasin de clés externe met plus de 200 millisecondes à répondre, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Créez l'alarme

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ	Valeur
Sélectionner une métrique	Choisissez KMS, puis choisissez XKS Proxy Latency Metrics (Métriques de latence de proxy XKS). Cochez la case à côté du KmsOperation que vous souhaitez surveiller. Ensuite, choisissez Select metric (Sélectionner une métrique).
Statistique	Moyenne
Période	5 minutes
Type de seuil	Statique
Chaque fois que …	À chaque fois Greater que XksProxyLatencyc'est le cas200.

Création d'une CloudWatch alarme Amazon pour les erreurs réessayables

Cette alarme utilise la XksProxyErrors métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Les erreurs récupérables réduisent votre pourcentage de fiabilité et peuvent indiquer des erreurs réseau. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ	Valeur
Sélectionner une métrique	Choisissez l'onglet Query (Requête). Choisissez AWS/KMS comme Namespace (Espace de noms). Saisissez SUM(XksProxyErrors) comme Metric name (Nom de la métrique). Saisissez ErrorType = Retryable pour Filter by (Filtrer par). Cliquez sur Exécuter. Ensuite, choisissez Select metric (Sélectionner une métrique).
Étiquette	Erreurs récupérables
Période	1 minute
Type de seuil	Statique
Chaque fois que …	Chaque fois que q1 est Greater que 5.

Création d'une CloudWatch alarme Amazon pour les erreurs non réessayables

Cette alarme utilise la XksProxyErrors métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Les erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs non récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ	Valeur
Sélectionner une métrique	Choisissez l'onglet Query (Requête). Choisissez AWS/KMS comme Namespace (Espace de noms). Saisissez SUM(XksProxyErrors) comme Metric name (Nom de la métrique). Saisissez ErrorType = Non-retryable pour Filter by (Filtrer par). Cliquez sur Exécuter. Ensuite, choisissez Select metric (Sélectionner une métrique).
Étiquette	Erreurs non récupérables
Période	1 minute
Type de seuil	Statique
Chaque fois que …	Chaque fois que q1 est Greater que 5.