Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitora KMS le chiavi con Amazon CloudWatch
Puoi monitorare i tuoi dati AWS KMS keys utilizzando Amazon CloudWatch, un AWS servizio che raccoglie ed elabora dati grezzi AWS KMS trasformandoli in metriche leggibili quasi in tempo reale. Questi dati vengono registrati per un periodo di due settimane in modo da poter accedere alle informazioni storiche e comprendere meglio l'utilizzo delle KMS chiavi e le loro modifiche nel tempo.
Puoi usare Amazon CloudWatch per avvisarti di eventi importanti, come i seguenti.
-
Il materiale chiave importato in una KMS chiave si sta avvicinando alla data di scadenza.
-
Una KMS chiave in attesa di eliminazione viene ancora utilizzata.
-
Il materiale chiave contenuto in una KMS chiave è stato ruotato automaticamente.
-
È stata eliminata una KMS chiave.
Puoi anche creare un CloudWatch allarme Amazon che ti avvisi quando la frequenza delle richieste raggiunge una determinata percentuale del valore di quota. Per i dettagli, consulta Gestire le tariffe delle AWS KMS API richieste utilizzando Service Quotas e Amazon CloudWatch
AWS KMS metriche e dimensioni
AWS KMS predefinisce i CloudWatch parametri di Amazon per semplificare il monitoraggio dei dati critici e la creazione di allarmi. Puoi visualizzare le AWS KMS metriche utilizzando Amazon AWS Management Console e Amazon CloudWatch API.
Questa sezione elenca ogni AWS KMS metrica e le relative dimensioni e fornisce alcune linee guida di base per la creazione di CloudWatch allarmi basati su tali metriche e dimensioni.
Nota
Nome del gruppo di dimensioni:
Per visualizzare una metrica nella CloudWatch console Amazon, nella sezione Metriche, seleziona il nome del gruppo di dimensioni. Quindi, puoi filtrare in base a Metric name (Nome parametro). Questo argomento include il nome del parametro e il nome del gruppo di dimensioni per ogni parametro AWS KMS .
Puoi visualizzare le AWS KMS metriche utilizzando Amazon AWS Management Console e Amazon CloudWatch API. Per ulteriori informazioni, consulta Visualizza i parametri disponibili nella Amazon CloudWatch User Guide.
Argomenti
SecondsUntilKeyMaterialExpiration
Il numero di secondi rimanenti alla scadenza del materiale chiave importato in una KMS chiave. Questa metrica è valida solo per KMS le chiavi con materiale chiave importato (l'origine del materiale chiave diEXTERNAL) e una data di scadenza.
Utilizza questo parametro per tenere traccia del tempo che rimane fino alla scadenza del materiale della chiave importato. Quando questo periodo di tempo scende al di sotto di una soglia definita, puoi reimportare il materiale della chiave con una nuova data di scadenza. La SecondsUntilKeyMaterialExpiration metrica è specifica per una KMS chiave. Non puoi utilizzare questa metrica per monitorare più KMS chiavi o KMS chiavi che potresti creare in futuro. Per informazioni sulla creazione di un CloudWatch allarme per monitorare questa metrica, consulta. Crea un CloudWatch allarme per la scadenza del materiale chiave importato
La statistica più utile per questo parametro è Minimum, che indica la quantità minima di tempo rimanente per tutti i punti dati nel periodo statistico specificato. L'unica unità valida per questo periodo è Seconds.
Nome del gruppo di dimensioni: Per-Key Metrics (Parametri per chiave)
| Dimensione | Descrizione; correlata a AWS |
|---|---|
| KeyId | Valore per ogni KMS chiave. |
Quando si pianifica l'eliminazione di una KMS chiave, AWS KMS impone un periodo di attesa prima di eliminare la KMS chiave. Puoi utilizzare il periodo di attesa per assicurarti di non aver bisogno della KMS chiave ora o in futuro. Puoi anche configurare un CloudWatch allarme per avvisarti se una persona o un'applicazione tenta di utilizzare la KMS chiave in un'operazione crittografica durante il periodo di attesa. Se ricevete una notifica da un allarme di questo tipo, potreste voler annullare l'eliminazione della KMS chiave.
Per istruzioni, consulta Crea un allarme che rileva l'uso di una KMS chiave in attesa di eliminazione.
ExternalKeyStoreThrottle
Il numero di richieste di operazioni crittografiche sulle KMS chiavi in ogni archivio di chiavi esterno che AWS KMS rallenta (risponde con un). ThrottlingException Questo parametro si applica solo agli archivi delle chiave esterne.
La ExternalKeyStoreThrottle metrica si applica solo alle KMS chiavi in un archivio di chiavi esterno e solo alle richieste per le operazioni crittografiche e l'operazione. DescribeKey AWS KMS limita queste richieste quando la frequenza delle richieste supera la quota di richieste dell'archivio chiavi personalizzato per l'archivio di chiavi esterno. Questo parametro non include la limitazione (della larghezza di banda della rete) da parte del proxy dell'archivio delle chiavi esterne o del gestore delle chiavi esterne.
Utilizza questo parametro per verificare e modificare il valore della quota di richiesta dell'archivio delle chiavi personalizzate. Se questa metrica indica che AWS KMS spesso le richieste per queste KMS chiavi vengono limitate, potresti prendere in considerazione la possibilità di richiedere un aumento del valore della quota di richieste di archiviazione chiavi personalizzate. Per ricevere assistenza, consulta Richiesta di un aumento di quota nella Guida per l'utente delle Service Quotas.
Se ricevi frequentemente errori KMSInvalidStateException con un messaggio che descrive il rifiuto della richiesta "a causa di un tasso di richieste molto elevato" o "perché il proxy dell'archivio delle chiavi esterne non ha risposto in tempo", ciò potrebbe indicare che il gestore delle chiavi esterne o il proxy non è in grado di sostenere la frequenza di richieste corrente. Se possibile, riduci il tasso di richiesta. Potresti anche prendere in considerazione la possibilità di richiedere una riduzione del valore della quota di richiesta dell'archivio delle chiavi personalizzate. La riduzione di questo valore di quota potrebbe aumentare la limitazione (e il valore ExternalKeyStoreThrottle metrico), ma indica che ciò significa rifiutare rapidamente le richieste in eccesso prima che AWS KMS vengano inviate al proxy dell'archivio chiavi esterno o al gestore di chiavi esterno. Per richiedere una riduzione della quota, consulta la sezione Centro AWS Support
Nome del gruppo di dimensioni: Keystore Throttle Metrics (Parametri di limitazione del keystore)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni operazione. AWS KMS API Questa metrica si applica solo alle operazioni crittografiche e alle DescribeKey operazioni sulle KMS chiavi in un archivio di chiavi esterno. |
| KeySpec | Valore per ogni tipo di chiave. KMS L'unica specifica chiave supportata per KMS le chiavi in un archivio di chiavi esterno è SYMMETRIC _DEFAULT. |
XksProxyCertificateDaysToExpire
Il numero di giorni che mancano alla scadenza del TLS certificato per l'endpoint proxy dell'archivio chiavi esterno (XksProxyUriEndpoint). Questo parametro si applica solo agli archivi delle chiave esterne.
Usa questa metrica per creare un CloudWatch allarme che ti avvisi della scadenza imminente del certificato. TLS Quando il certificato scade, AWS KMS non è possibile comunicare con il proxy dell'archivio chiavi esterno. Tutti i dati protetti da KMS chiavi nell'archivio delle chiavi esterno diventano inaccessibili fino al rinnovo del certificato.
Dal momento che la scadenza di un certificato potrebbe impedirti di accedere alle risorse crittografate, un avviso relativo al certificato potrebbe risultare utile. Configura l'allarme in modo che l'organizzazione abbia la possibilità di rinnovare il certificato prima della sua scadenza.
Nome del gruppo di dimensioni: XKSProxy Certificate Metrics
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| CertificateName | Nome del soggetto (CN) nel TLS certificato. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi degli archivi di KMS chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksProxyCredentialAge
Il numero di giorni trascorsi dell'associazione delle credenziali di autenticazione proxy (XksProxyAuthenticationCredential) all'archivio delle chiavi esterne. Questo conteggio inizia quando inserisci le credenziali di autenticazione come parte della creazione o dell'aggiornamento dell'archivio delle chiavi esterne. Questo parametro si applica solo agli archivi delle chiave esterne.
Questo valore è progettato per ricordarti l'età delle credenziali di autenticazione. Tuttavia, poiché il conteggio inizia dal momento in cui associ le credenziali all'archivio delle chiavi esterne e non dalla loro data di creazione, l'indicazione dell'età potrebbe non essere accurata.
Utilizza questa metrica per creare un CloudWatch allarme che ricordi di ruotare le credenziali di autenticazione proxy dell'archivio chiavi esterno.
Nome del gruppo di dimensioni: Per-Keystore Metrics (Parametri per keystore)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e KMS alle chiavi degli archivi di chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksProxyErrors
Il numero di eccezioni relative alle AWS KMS richieste al proxy dell'archivio chiavi esterno. Questo conteggio include le eccezioni a cui restituisce il proxy dell'archivio chiavi esterno AWS KMS e gli errori di timeout che si verificano quando il proxy dell'archivio chiavi esterno non risponde AWS KMS entro l'intervallo di timeout di 250 millisecondi. Questo parametro si applica solo agli archivi delle chiave esterne.
Utilizza questa metrica per tenere traccia del tasso di errore delle chiavi nel tuo archivio di chiavi esterno. KMS Rivela gli errori più frequenti, in modo da consentirti di assegnare priorità diverse agli interventi tecnici. Ad esempio, KMS le chiavi che generano tassi elevati di errori non ripetibili potrebbero indicare un problema con la configurazione dell'archivio chiavi esterno. Per visualizzare la configurazione dell'archivio delle chiavi esterne, consulta Visualizza gli archivi di chiavi esterni. Per modificare le impostazioni dell'archivio delle chiavi esterne, consulta Modifica delle proprietà dell'archivio chiavi esterno.
Nome del gruppo di dimensioni: XKS Proxy Error Metrics
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni AWS KMS API operazione che ha generato una richiesta al XKS proxy. |
| XksOperation | Valore per ogni APIoperazione proxy di archiviazione delle chiavi esterne. |
| KeySpec | Valore per ogni tipo di KMS chiave. L'unica specifica chiave supportata per KMS le chiavi in un archivio di chiavi esterno è SYMMETRIC _DEFAULT. |
| ErrorType | Valori:
|
| ExceptionName |
Valori:
|
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi degli archivi di KMS chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksExternalKeyManagerStates
Conteggio del numero di istanze del gestore delle chiavi esterne in ciascuno dei seguenti stati di integrità: Active, Degraded e Unavailable. Le informazioni per questo parametro provengono dal proxy associato a ogni archivio delle chiavi esterne. Questo parametro si applica solo agli archivi delle chiave esterne.
Di seguito sono riportati gli stati di integrità delle istanze del gestore delle chiavi esterne associate a un archivio delle chiavi esterne. Ogni proxy dell'archivio delle chiavi esterne potrebbe utilizzare indicatori diversi per misurare gli stati di integrità del gestore delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del proxy dell'archivio delle chiavi esterne.
-
Active: il gestore delle chiavi esterne è integro. -
Degraded: il gestore delle chiavi esterne non è integro, ma può comunque servire il traffico -
Unavailable: il gestore delle chiavi esterne non è in grado di servire il traffico.
Utilizza questa metrica per creare un CloudWatch allarme che ti avvisi in caso di istanze di gestore di chiavi esterne danneggiate e non disponibili. Per determinare lo stato di ogni istanza, consulta i log del proxy dell'archivio delle chiavi esterne.
Nome del gruppo di dimensioni: External Key Manager Metrics XKS
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| XksExternalKeyManagerState | Valore per ogni stato di integrità. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi degli archivi di KMS chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksProxyLatency
Il numero di millisecondi necessari a un proxy dell'archivio delle chiavi esterne per rispondere a una richiesta AWS KMS . Se la richiesta è scaduta, il valore registrato è il limite di timeout di 250 millisecondi. Questo parametro si applica solo agli archivi delle chiave esterne.
Utilizza questo parametro per valutare le prestazioni del proxy dell'archivio delle chiavi esterne e del gestore delle chiavi esterne. Ad esempio, se il proxy è spesso prossimo al timeout per le operazioni di crittografia e decrittografia, rivolgiti all'amministratore del proxy.
Le risposte lente potrebbero anche indicare che il gestore delle chiavi esterno non è in grado di gestire il traffico di richieste corrente. AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se il tuo gestore di chiavi esterno non è in grado di gestire la frequenza di 1800 richieste al secondo, prendi in considerazione la possibilità di richiedere una riduzione della quota di richieste di KMS chiavi in un archivio di chiavi personalizzato. Le richieste di operazioni crittografiche che utilizzano le KMS chiavi dell'archivio di chiavi esterno falliranno rapidamente con un'eccezione di limitazione, anziché essere elaborate e successivamente rifiutate dal proxy dell'archivio chiavi esterno o dal gestore di chiavi esterno.
Nome del gruppo di dimensioni: XKS Proxy Latency Metrics
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni AWS KMS API operazione che ha generato una richiesta al XKS proxy. |
| XksOperation | Valore per ogni APIoperazione proxy di archiviazione delle chiavi esterne. |
| KeySpec | Valore per ogni tipo di KMS chiave. L'unica specifica chiave supportata per KMS le chiavi in un archivio di chiavi esterno è SYMMETRIC _DEFAULT. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi degli archivi di KMS chiavi esterni. Per istruzioni, consultare Monitora gli archivi di chiavi esterni.
