Pencatatan dan pemantauan di AWS Key Management Service

Pemantauan adalah bagian penting untuk memahami ketersediaan, keadaan, dan penggunaan situs Anda AWS KMS keysAWS KMS. Pemantauan membantu menjaga keamanan, keandalan, ketersediaan, dan kinerja AWS solusi Anda. AWSmenyediakan beberapa alat untuk memantau kunci KMS Anda.

Log AWS CloudTrail

Setiap panggilan ke operasi AWS KMS API ditangkap sebagai peristiwa dalam AWS CloudTrail log. Log ini merekam semua panggilan API dari konsol AWS KMS, dan panggilan yang dibuat oleh AWS KMS dan llayanan AWS lain. Panggilan API lintas akun, seperti panggilan untuk menggunakan kunci KMS secara berbedaAkun AWS, dicatat dalam CloudTrail log kedua akun.

Saat memecahkan masalah atau mengaudit, Anda dapat menggunakan log untuk merekonstruksi siklus hidup kunci KMS. Anda juga dapat melihat manajemen dan penggunaan kunci KMS dalam operasi kriptografi. Untuk informasi selengkapnya, lihat Logging panggilan AWS KMS API dengan AWS CloudTrail.

CloudWatch Log Amazon

Memantau, menyimpan, dan mengakses berkas log Anda dari AWS CloudTrail dan sumber lain. Untuk informasi selengkapnya, lihat Panduan CloudWatch Pengguna Amazon.

UntukAWS KMS, CloudWatch menyimpan informasi berguna yang membantu Anda mencegah masalah dengan kunci KMS Anda dan sumber daya yang mereka lindungi. Untuk informasi selengkapnya, lihat Pemantauan CloudWatch dengan Amazon.

Amazon EventBridge

AWS KMSmenghasilkan EventBridge peristiwa ketika kunci KMS Anda diputar atau dihapus atau materi kunci yang diimpor dalam kunci KMS Anda kedaluwarsa. Cari peristiwa AWS KMS (operasi API) dan arahkan mereka ke satu atau lebih fungsi atau stream target untuk menangkap informasi status. Untuk informasi selengkapnya, lihat Pemantauan EventBridge dengan Amazon dan Panduan EventBridge Pengguna Amazon.

CloudWatch Metrik Amazon

Anda dapat memantau kunci KMS menggunakan CloudWatch metrik, yang mengumpulkan dan memproses data mentah dari AWS KMS metrik kinerja. Data dicatat dalam interval dua minggu sehingga Anda dapat melihat tren informasi terkini dan historis. Ini membantu Anda memahami bagaimana kunci KMS Anda digunakan dan bagaimana penggunaannya berubah dari waktu ke waktu. Untuk informasi tentang penggunaan CloudWatch metrik untuk memantau kunci KMS, lihat. AWS KMS metrik dan dimensi

CloudWatch Alarm Amazon

Lihat satu metrik berubah selama suatu periode waktu yang Anda tentukan. Lalu lakukan tindakan berdasarkan nilai metrik relatif terhadap ambang batas selama sejumlah periode waktu. Misalnya, Anda dapat membuat CloudWatch alarm yang dipicu ketika seseorang mencoba menggunakan kunci KMS yang dijadwalkan akan dihapus dalam operasi kriptografi. Ini menunjukkan bahwa kunci KMS masih digunakan dan mungkin tidak boleh dihapus. Untuk informasi selengkapnya, lihat Membuat alarm yang mendeteksi penggunaan kunci KMS tertunda penghapusan.

AWS Security Hub

Anda dapat memantau AWS KMS penggunaan Anda untuk standar industri keamanan dan praktik terbaik kepatuhan menggunakanAWS Security Hub. Hub Keamanan menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan guna membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya, lihat AWS Key Management Servicekontrol di Panduan AWS Security Hub Pengguna.