Monitoraggio di AWS KMS keys

Il monitoraggio è un aspetto importante per comprendere la disponibilità, lo stato e l'utilizzo delle AWS KMS keys in AWS KMS e per mantenere l'affidabilità, la disponibilità e le prestazioni delle tue soluzioni AWS. Raccogliere i dati sul monitoraggio da tutte le parti della soluzione AWS consente un debug più facile di eventuali guasti in più punti. Prima di iniziare il monitoraggio delle chiavi KMS è tuttavia opportuno creare un piano di monitoraggio che includa le risposte alle seguenti domande:

• Quali sono gli obiettivi del monitoraggio?

• Di quali risorse si intende eseguire il monitoraggio?

• Con quale frequenza sarà eseguito il monitoraggio di queste risorse?

• Quali strumenti di monitoraggio utilizzerai?

• Chi eseguirà i processi di monitoraggio?

• Chi deve ricevere una notifica quando si verifica un problema?

Il passaggio successivo è quello di monitorare le tue chiavi KMS nel corso del tempo per stabilire una linea di base per l'uso normale di AWS KMS e le aspettative nel proprio ambiente. Quando monitori le chiavi KMS, archivia i dati di monitoraggio storici per poterli confrontare con i dati correnti, identificare i normali modelli di prestazioni e le anomalie e ideare metodi per risolvere i problemi.

Ad esempio, puoi monitorare le attività delle API AWS KMS e degli eventi che interessano le chiavi KMS. Quando i dati sono sopra o sotto il livello stabilito, potrebbe essere necessario indagare o intraprendere azioni correttive.

Per stabilire una baseline per modelli normali, devi monitorare gli elementi seguenti:

• Le attività delle API AWS KMS per le operazioni del piano dati. Si tratta di operazioni crittografiche che utilizzano una chiave KMS, come Decrypt, Encrypt e. ReEncryptGenerateDataKey

• Attività dell'API di AWS KMS per le operazioni del piano di controllo importanti per te. Queste operazioni gestiscono una chiave KMS e potresti voler monitorare quelle che modificano la disponibilità di una chiave KMS (come ScheduleKeyDeletion,, CancelKeyDeletionDisableKeyEnableKeyImportKeyMaterial, e DeleteImportedKeyMaterial) o modificano il controllo di accesso di una chiave KMS (come and). PutKeyPolicyRevokeGrant

• Altri parametri AWS KMS (ad esempio la quantità di tempo rimanente fino alla scadenza del materiale chiave importato) e gli eventi (ad esempio la scadenza del materiale chiave importato o l'eliminazione o la rotazione di una chiave KMS).

Strumenti di monitoraggio

AWS offre vari strumenti che puoi utilizzare per monitorare le chiavi KMS. Alcuni di questi strumenti possono essere configurati in modo che eseguano automaticamente il monitoraggio, mentre altri richiedono l'intervento manuale. Si consiglia di automatizzare il più possibile i processi di monitoraggio.

Strumenti di monitoraggio automatici

Per controllare le chiavi KMS e segnalare l'eventuale presenza di problemi, puoi usare gli strumenti di monitoraggio automatici seguenti.

• AWS CloudTrailMonitoraggio dei registri: condividi i file di registro tra account, monitora i file di CloudTrail registro in tempo reale inviandoli a CloudWatch Logs, scrivi applicazioni di elaborazione dei log con la CloudTrail Processing Library e verifica che i file di registro non siano stati modificati dopo la consegna da parte di. CloudTrail Per ulteriori informazioni, consulta Lavorare con i file di CloudTrail registro nella Guida per l'AWS CloudTrailutente.

• Amazon CloudWatch Alarms: monitora una singola metrica in un periodo di tempo specificato ed esegui una o più azioni in base al valore della metrica rispetto a una determinata soglia in diversi periodi di tempo. L'azione è una notifica inviata a un argomento di Amazon Simple Notification Service (Amazon SNS) o a una policy di Amazon EC2 Auto Scaling. CloudWatch gli allarmi non richiamano azioni semplicemente perché si trovano in uno stato particolare; lo stato deve essere cambiato e mantenuto per un determinato numero di periodi. Per ulteriori informazioni, consulta Monitoraggio con Amazon CloudWatch.

• Amazon EventBridge: abbina gli eventi e li indirizza a una o più funzioni o flussi di destinazione per acquisire informazioni sullo stato e, se necessario, apportare modifiche o intraprendere azioni correttive. Per ulteriori informazioni, consulta Monitoraggio con Amazon EventBridge la Amazon EventBridge User Guide.

• Amazon CloudWatch Logs: monitora, archivia e accedi ai tuoi file di registro da AWS CloudTrail o altre fonti. Per ulteriori informazioni, consulta la Amazon CloudWatch Logs User Guide.

Strumenti di monitoraggio manuali

Un'altra parte importante del monitoraggio delle chiavi KMS consiste nel monitorare manualmente gli elementi che gli CloudWatch allarmi e gli eventi non coprono. I AWS dashboard AWS KMS CloudWatch,AWS Trusted Advisor, e altri forniscono una at-a-glance panoramica dello stato dell'ambiente. AWS

È possibile personalizzare le pagine Chiavi gestite da AWS e Chiavi gestite dal cliente della console AWS KMS per visualizzare le seguenti informazioni su ciascuna chiave KMS:

• ID chiave

• Stato

• Data di creazione

• Data di scadenza (per le chiavi KMS con materiale chiave importato)

• Origin

• ID dell'archivio delle chiavi personalizzate (per le chiavi KMS negli archivi delle chiavi personalizzate)

Il pannello di controllo della console CloudWatch mostra quanto segue:

• Stato e allarmi attuali

• Grafici degli allarmi e delle risorse

• Stato di integrità dei servizi

Inoltre, è possibile utilizzare CloudWatch per effettuare le seguenti operazioni:

• Crea pannelli di controllo personalizzati per monitorare i servizi di interesse.

• Creare grafici dei dati dei parametri per la risoluzione di problemi e il rilevamento di tendenze.

• Ricercare e analizzare tutti i parametri delle risorse AWS

• Creare e modificare gli allarmi per ricevere le notifiche dei problemi.

AWS Trusted Advisor facilita il monitoraggio delle risorse AWS per migliorare prestazioni, affidabilità, sicurezza e convenienza. Per tutti gli utenti sono disponibili quattro controlli di Trusted Advisor; per gli utenti con un piano di assistenza Business o Enterprise sono disponibili più di 50 controlli. Per ulteriori informazioni, consulta AWS Trusted Advisor.