Monitor AWS KMS keys

Pemantauan adalah bagian penting untuk memahami ketersediaan, keadaan, dan penggunaan Anda AWS KMS keys di dalam AWS KMS dan menjaga keandalan, ketersediaan, dan kinerja AWS solusi Anda. Mengumpulkan data pemantauan dari semua bagian solusi AWS akan membantu Anda melakukan debug pada gagal beberapa titik jika ada yang terjadi. Namun, sebelum Anda mulai memantau KMS kunci Anda, buatlah rencana pemantauan yang mencakup jawaban atas pertanyaan-pertanyaan berikut:

Apa tujuan pemantauan Anda?
Sumber daya apa yang akan Anda pantau?
Seberapa sering Anda akan memantau sumber daya ini?
Alat pemantauan apa yang akan Anda gunakan?
Siapa yang akan melakukan tugas pemantauan?
Siapa yang harus diberi tahu ketika terjadi sesuatu?

Langkah selanjutnya adalah memantau KMS kunci Anda dari waktu ke waktu untuk menetapkan dasar untuk AWS KMS penggunaan normal dan harapan di lingkungan Anda. Saat Anda memantau KMS kunci Anda, simpan data pemantauan historis sehingga Anda dapat membandingkannya dengan data saat ini, mengidentifikasi pola dan anomali normal, dan merancang metode untuk mengatasi masalah.

Misalnya, Anda dapat memantau AWS KMS API aktivitas dan peristiwa yang memengaruhi KMS kunci Anda. Saat data berada di atas atau di bawah norma yang telah ditetapkan, Anda mungkin perlu menyelidiki atau mengambil tindakan korektif.

Untuk menetapkan baseline pola normal, pantau item berikut:

AWS KMS APIaktivitas untuk operasi pesawat data. Ini adalah operasi kriptografi yang menggunakan KMS kunci, seperti Dekripsi, Enkripsi, dan. ReEncrypt GenerateDataKey
AWS KMS APIaktivitas untuk mengendalikan operasi pesawat yang penting bagi Anda. Operasi ini mengelola KMS kunci, dan Anda mungkin ingin memantau KMS kunci yang mengubah ketersediaan kunci (seperti ScheduleKeyDeletion, CancelKeyDeletion, DisableKey, EnableKey, ImportKeyMaterial, dan DeleteImportedKeyMaterial) atau mengubah kontrol akses KMS kunci (seperti PutKeyPolicydan RevokeGrant).
AWS KMS Metrik lainnya (seperti jumlah waktu yang tersisa hingga materi kunci impor Anda kedaluwarsa) dan peristiwa (seperti kedaluwarsa materi kunci yang diimpor atau penghapusan atau rotasi kunci kunci). KMS

Alat pemantauan

AWS menyediakan berbagai alat yang dapat Anda gunakan untuk memantau KMS kunci Anda. Anda dapat mengonfigurasi beberapa alat ini untuk melakukan pemantauan untuk Anda, sementara beberapa alat memerlukan intervensi manual. Kami menyarankan agar Anda mengautomasi tugas pemantauan sebanyak mungkin.

Alat pemantauan otomatis

Anda dapat menggunakan alat pemantauan otomatis berikut untuk melihat KMS kunci Anda dan melaporkan ketika sesuatu telah berubah.

AWS CloudTrail Pemantauan Log - Bagikan file log antar akun, pantau file CloudTrail log secara real time dengan mengirimkannya ke CloudWatch Log, menulis aplikasi pemrosesan log dengan Pustaka CloudTrail Pemrosesan, dan validasi bahwa file log Anda tidak berubah setelah pengiriman oleh CloudTrail. Untuk informasi selengkapnya, lihat Bekerja dengan File CloudTrail Log di Panduan AWS CloudTrail Pengguna.
CloudWatch Alarm Amazon — Tonton satu metrik selama periode waktu yang Anda tentukan, dan lakukan satu atau beberapa tindakan berdasarkan nilai metrik relatif terhadap ambang batas tertentu selama beberapa periode waktu. Tindakannya adalah pemberitahuan yang dikirim ke topik Amazon Simple Notification Service (AmazonSNS) atau kebijakan Amazon EC2 Auto Scaling. CloudWatch alarm tidak memanggil tindakan hanya karena mereka berada dalam keadaan tertentu; negara harus telah berubah dan dipertahankan untuk sejumlah periode tertentu. Untuk informasi selengkapnya, lihat KMSTombol monitor dengan Amazon CloudWatch.
Amazon EventBridge — Cocokkan acara dan arahkan ke satu atau beberapa fungsi atau aliran target untuk menangkap informasi status dan, jika perlu, membuat perubahan atau mengambil tindakan korektif. Untuk informasi selengkapnya, lihat KMSTombol monitor dengan Amazon EventBridge dan Panduan EventBridge Pengguna Amazon.
Amazon CloudWatch Logs — Pantau, simpan, dan akses file log Anda dari AWS CloudTrail atau sumber lain. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon CloudWatch Logs.

Alat pemantauan manual

Bagian penting lainnya dari KMS kunci pemantauan melibatkan pemantauan secara manual item yang tidak CloudWatch tercakup oleh alarm dan peristiwa. AWS Dasbor AWS KMS CloudWatch AWS Trusted Advisor,,, dan lainnya memberikan at-a-glance pandangan tentang keadaan AWS lingkungan Anda.

Anda dapat menyesuaikan halaman kunci yang dikelola Pelanggan di AWS KMS konsol untuk menampilkan informasi berikut tentang setiap KMS kunci: Kunci yang dikelola AWS

ID Kunci
Status
Tanggal pembuatan
Tanggal kedaluwarsa (untuk KMS kunci dengan bahan kunci impor)
Asal
ID toko kunci kustom (untuk KMS kunci di toko kunci khusus)

Dasbor CloudWatch konsol menunjukkan hal berikut:

Alarm dan status saat ini
Grafik alarm dan sumber daya
Status kesehatan layanan

Selain itu, Anda dapat menggunakan CloudWatch untuk melakukan hal berikut:

Membuat dasbor yang disesuaikan untuk memantau layanan yang penting bagi Anda
Data metrik grafik untuk memecahkan masalah dan mengungkap tren
Cari dan telusuri semua metrik AWS sumber daya Anda
Membuat dan mengedit alarm untuk menerima notifikasi terkait masalah

AWS Trusted Advisor dapat membantu Anda memantau AWS sumber daya Anda untuk meningkatkan kinerja, keandalan, keamanan, dan efektivitas biaya. Empat Trusted Advisor cek tersedia untuk semua pengguna; lebih dari 50 cek tersedia untuk pengguna dengan paket dukungan Bisnis atau Perusahaan. Untuk informasi selengkapnya, lihat AWS Trusted Advisor.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh operasi offline

Logging dengan AWS CloudTrail