外部キーストアをモニタリングする - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアをモニタリングする

AWS KMS は、外部キーストアとのインタラクションごとにメトリクスを収集し、CloudWatch アカウントに公開します。これらのメトリクスは、各外部キーストアの詳細ページのモニタリングセクションで、グラフを生成するために使用されます。次のトピックでは、グラフを使用して、外部キーストアに影響する運用上および設定上の問題を特定し、トラブルシューティングする方法の詳細を説明します。CloudWatch メトリクスを使用して、外部キーストアが想定どおりに動作しない場合に通知するアラームを設定することをおすすめします。詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。

グラフを表示する

さまざまな詳細レベルでグラフを表示できます。デフォルトでは、各グラフは 3 時間の時間範囲と 5 分の集計期間を使用します。コンソール内でグラフビューを調整できますが、外部キーストアの詳細ページを閉じるかブラウザを更新すると、変更はデフォルト設定に戻ります。Amazon CloudWatch の用語のヘルプについては、「Amazon CloudWatch の概念」を参照してください。

データポイントの詳細を表示する

各グラフのデータは、AWS KMS メトリクスによって収集されます。特定のデータポイントに関する詳細を表示するには、折れ線グラフ上のデータポイントにマウスカーソルを合わせます。これにより、グラフの生成元であるメトリクスに関する詳細情報のポップアップが表示されます。各リスト項目には、そのデータポイントで記録されたディメンション値が表示されます。そのデータポイントのディメンション値に使用できるメトリクスデータがない場合、ポップアップには NULL 値 () が表示されます。一部のグラフでは、1 つのデータポイントに対して複数のディメンションと値が記録されます。信頼性グラフなどの他のグラフでは、メトリクスによって収集されたデータを使用して固有の値が計算されます。各リスト項目は、各折れ線グラフの色に関連付けられています。

時間範囲を変更する

グラフの時間範囲を変更するには、モニタリングセクションの右上隅にある事前定義済みの時間範囲の 1 つを選択します。事前定義済みの時間範囲は、1 時間から 1 週間です (1 時間3 時間12 時間1 日3 日1 週間)。これにより、すべてのグラフの時間範囲が調整されます。特定のグラフを別の時間範囲で表示したい場合、またはカスタムの時間範囲を設定したい場合は、グラフを拡大するか、Amazon CloudWatch コンソールに表示します。

グラフを拡大する

ミニマップズーム機能を使用すると、ズームインビューとズームアウトビュー間を変更することなく、折れ線グラフと積み上げ面グラフのセクションに焦点を合わせることができます。例えば、ミニマップズーム機能を使用して折れ線グラフのピークに焦点を合わせると、同じタイムラインのモニタリングセクション内の他のグラフに対してスパイクを比較できます。

  1. 焦点を合わせるグラフの領域を選択してドラッグし、マウスボタンを放します。

  2. ズームをリセットするには、[Reset zoom] (ズームのリセット) アイコンを選択します。これは、内側にマイナス (-) 記号が付いた虫眼鏡のような見た目です。

グラフを拡大する

グラフを拡大するには、個々のグラフの右上隅にあるメニューアイコンを選択してから、[Enlarge] (拡大) を選択します。グラフにカーソルを合わせるとメニューアイコンの横に表示される、拡大アイコンを選択することもできます。

グラフを拡大すると、別の期間、カスタム時間範囲、更新間隔を指定して、グラフの表示をさらに変更できます。これらの変更は、拡大表示を閉じるとデフォルト設定に戻ります。

期間を変更する
  1. [Period options] (期間オプション) メニューを選択します。デフォルトでは、このメニューには [5 minutes] (5 分) の値が表示されます。

  2. 期間を選択します。事前定義された期間は 1 秒から 30 日です。

    たとえば、1 分間の表示を選択できます。これは、トラブルシューティング時に役立ちます。または、詳細度がより低い 1 時間表示を選択します。これは、時間の経過に伴う傾向を確認できるように、より広い期間 (3 日間など) を表示するときに便利です。詳細については、『Amazon CloudWatch ユーザーガイド』の「期間」を参照してください。

時間範囲またはタイムゾーンを変更する
  1. 1 時間~1 週間の事前定義済み時間範囲 (1 時間3時間12 時間1 日3 日1 週間) から 1 つを選択します。また、[Custom] (カスタム) を選択して独自の時間範囲を設定することもできます。

  2. [Custom] (カスタム) を選択します。

    1. 時間範囲ボックスの左上隅にある [Absolute] (絶対値) タブを選択します。カレンダーのピッカーまたはテキストフィールドボックスを使用して、時間範囲を指定します。

    2. タイムゾーン: ボックスの右上隅にあるドロップダウンを選択します。タイムゾーンは [UTC] または [Local time zone] (ローカルタイムゾーン) に変更できます。

  3. 時間範囲を指定したら、[Apply] (適用) を選択します。

グラフのデータ更新頻度を変更する
  1. 右上隅にある [Refresh options] (更新オプション) メニューを選択します。

  2. 更新間隔 (オフ10 秒1 分2分5 分15 分) を選択します。

Amazon CloudWatch コンソールでグラフを表示する

モニタリングセクションのグラフは、AWS KMS が Amazon CloudWatch に公開する事前定義済みのメトリクスから生成されます。グラフを CloudWatch コンソール内で開き、CloudWatch ダッシュボードに保存できます。外部キーストアが複数ある場合は、CloudWatch でそれぞれのグラフを開いて 1 つのダッシュボードに保存し、その状態と使用状況を比較できます。

Amazon CloudWatch ダッシュボードに追加する

すべてのグラフを Amazon CloudWatch ダッシュボードに追加するには、右上隅にある [Add to dashboard] (ダッシュボードに追加) を選択します。既存のダッシュボードを選択するか、新しいロールを作成できます。このダッシュボードを使用して、グラフとアラームのカスタマイズされたビューを作成する方法については、『Amazon CloudWatch ユーザーガイド』の「Amazon CloudWatch ダッシュボードの使用」を参照してください。

CloudWatch メトリクスで表示する

個々のグラフの右上隅にあるメニューアイコンを選択し、[View in metrics] (メトリクスで表示) を選択すると、このグラフが Amazon CloudWatch コンソールに表示されます。CloudWatch コンソールからこの 1 つのグラフをダッシュボードに追加して、時間範囲、期間、更新間隔を変更できます。詳細については、『Amazon CloudWatch ユーザーガイド』の「メトリクスのグラフ化」を参照してください。

グラフの解釈

AWS KMS には、AWS KMS コンソール内の外部キーストアの状態をモニタリングするためのグラフがいくつか用意されています。これらのグラフは自動的に設定され、AWS KMS メトリクスから生成されます。

グラフデータは、外部キーストアと外部キーへの呼び出しの一部として収集されます。呼び出しを行わなかった時間範囲のデータがグラフに表示される場合があります。このデータは、外部キーストアプロキシと外部キーマネージャーのステータスを確認するために、AWS KMS がユーザーに代わって定期的な GetHealthStatus の呼び出しから取得したものです。グラフに [No data available] (利用可能なデータなし) というメッセージが表示された場合は、その時間帯に呼び出しが記録されなかったか、外部キーストアが DISCONNECTED 状態であったことを示します。ビューをより広い時間範囲に調整することで、外部キーストアが切断された時間を特定できる場合があります。

Total requests

特定の時間範囲に特定の外部キーストアで受信された AWS KMS リクエストの合計です。このグラフを使用して、スロットリングのリスクがあるかどうかを判断します。

AWS KMS は、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションリクエストを処理できるようにすることを推奨しています。5 分間で呼び出しが 54 万件近くになると、スロットリングのリスクが生じます。

AWS KMS が ExternalKeyStoreThrottle メトリクスでスロットルする外部キーストアの、KMS キーに対する暗号化オペレーションのリクエスト数をモニタリングできます。

「リクエスト率が極めて高いため」、リクエストが拒否されたことを説明するメッセージが表示され、KMSInvalidStateException エラーが頻発する場合は、外部キーマネージャーまたは外部キーストアプロキシが現在のリクエストレートに対応できていない可能性があります。可能な場合は、リクエスト率を下げます。また、カスタムキーストアのリクエストクォータ値の引き下げをリクエストすることも検討してください。このクォータ値を減少させるとスロットリングが増える可能性がありますが、これは、超過リクエストが外部キーストアプロキシまたは外部キーマネージャーに送信される前に、AWS KMS が直ちに拒否することを意味します。クォータの削減をリクエストするには、AWS Support センターにアクセスしてケースを作成してください。

リクエストの合計のグラフは、外部キーストアプロキシから AWS KMS が受信した成功と失敗の両方のレスポンスに関するデータを収集する、XksProxyErrors メトリクスから生成されます。特定のデータポイントを表示すると、ポップアップには CustomKeyStoreId ディメンションの値と、そのデータポイントで記録された AWS KMS リクエストの合計が表示されます。CustomKeyStoreId は常に同じになります。

信頼性

外部キーストアプロキシが成功のレスポンスまたは再試行できないエラーのいずれかを返した AWS KMS リクエストの割合です。このグラフを使用して、外部キーストアプロキシのオペレーション状態を評価します。

グラフに 100% 未満の値が表示されている場合は、プロキシが応答しなかったか、再試行可能なエラーで応答したことを示します。これは、ネットワークの問題、外部キーストアプロキシまたは外部キーマネージャーの速度低下、または実装上のバグを示している可能性があります。

リクエストに不正な認証情報が含まれていてプロキシが AuthenticationFailedException で応答した場合でも、プロキシは外部キーストアプロキシ API リクエストで誤った値を識別するため、グラフには 100% の信頼性が表示され、失敗することが予想されます。信頼性グラフのパーセンテージが 100% の場合、外部キーストアプロキシは想定どおりに応答しています。グラフに 100% 未満の値が表示されている場合、プロキシは再試行可能なエラーで応答したか、タイムアウトしています。例えば、リクエスト率が極めて高いためにプロキシが「ThrottlingException」を返した場合、プロキシはリクエスト失敗の原因となった特定の問題を識別できないため、信頼性の割合が低下します。これは、再試行可能なエラーは一時的な問題である可能性が高く、リクエストを再試行することで解決できるためです。

次のエラーレスポンスは、信頼性の割合を低下させます。例外の上位 5 位 グラフと XksProxyErrors メトリクスを使用して、プロキシが再試行可能な各エラーを返す頻度をさらにモニタリングすることができます。

  • InternalException

  • DependencyTimeoutException

  • ThrottlingException

  • XksProxyUnreachableException

信頼性グラフは、AWS KMS が外部キーストアプロキシから受信する成功と失敗の両方のレスポンスに関するデータを収集する、XksProxyErrors メトリクスから生成されます。信頼性の割合は、レスポンスが RetryableErrorType 値をもつ場合にのみ低下します。特定のデータポイントを表示すると、ポップアップには CustomKeyStoreId ディメンションの値とともに、そのデータポイントで記録された AWS KMS リクエストの信頼性の割合が表示されます。CustomKeyStoreId は常に同じになります。

XksProxyErrors メトリクスを使用して、1 分間に再試行可能なエラーが 5 回以上記録された場合に警告することで、潜在的なネットワーク上の問題を通知する CloudWatch アラームを作成することをお勧めします。詳細については、「再試行可能なエラーのアラームを作成する」を参照してください。

レイテンシー

外部キーストアプロキシが AWS KMS リクエストに応答するまでにかかるミリ秒数です。このグラフを使用して、外部キーストアプロキシと外部キーマネージャーのパフォーマンスを評価します。

AWS KMS では、外部キーストアプロキシが各リクエストに 250 ミリ秒以内に応答することを想定しています。ネットワークがタイムアウトした場合、AWS KMS はリクエストを 1 回再試行します。プロキシが 2 回失敗した場合、記録されるレイテンシーは、両方のリクエスト試行のタイムアウト制限を合わせたもので、グラフには約 500 ミリ秒が表示されます。それ以外の、プロキシが 250 ミリ秒のタイムアウト制限内に応答しないすべての場合、記録されるレイテンシーは 250 ミリ秒です。プロキシが暗号化と復号オペレーションで頻繁にタイムアウトする場合は、外部プロキシ管理者に相談してください。レイテンシー問題のトラブルシューティングについては、「レイテンシーとタイムアウトエラー」を参照してください。

応答が遅い場合は、外部キーマネージャーが現在のリクエストトラフィックを処理できていない可能性もあります。AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションリクエストを処理できることを推奨しています。外部キーマネージャーが 1 秒あたり 1,800 件のリクエストを処理できない場合は、カスタムキーストアの KMS キーリクエストクォータの引き下げをリクエストすることを検討してください。外部キーストアの KMS キーを使用した暗号化オペレーションのリクエストは、外部キーストアプロキシまたは外部キーマネージャーによって処理され、後で拒否されるのではなく、スロットリング例外でフェイルファストします。

レイテンシーグラフは XksProxyLatency メトリクスから生成されます。特定のデータポイントを表示すると、ポップアップには KmsOperation および XksOperation のディメンション値とともに、そのデータポイントで記録されたオペレーションの平均レイテンシーが表示されます。リスト項目は、最大レイテンシーから最低レイテンシーの順に並べられます。

XksProxyLatency メトリクスを使用して、レイテンシーがタイムアウト制限に近づいたときに通知する CloudWatch アラームを作成することをお勧めします。詳細については、「レスポンスタイムアウトのアラームを作成する」を参照してください。

例外の上位 5 位

任意の時間範囲で暗号化オペレーションと管理オペレーションが失敗した場合の、例外の上位 5 位です。このグラフを使用して、最も頻発するエラーを追跡することで、エンジニアリング作業に優先順位を付けることができます。

この数には、AWS KMS が外部キーストアプロキシから受信した例外と、AWS KMS が外部キーストアプロキシとの通信を確立できない場合に内部で返される XksProxyUnreachableException が含まれています。

再試行可能なエラーの発生率が高い場合はネットワークエラーの可能性、再試行できないエラーの発生率が高い場合は、外部キーストアの設定に関する問題である可能性があります。例えば、AuthenticationFailedExceptions のスパイクは、AWS KMS で設定されている認証情報と外部キーストアプロキシ間に不一致があることを示します。外部キーストア設定を確認するには、「外部キーストアの表示」を参照してください。外部キーストア設定を編集するには、「外部キーストアプロパティの編集」を参照してください。

外部キーストアプロキシから AWS KMS が受け取る例外は、オペレーションが失敗したときに AWS KMS から返される例外とは異なります。AWS KMS 暗号化オペレーションでは、外部キーストアの外部設定または接続状態に関連するすべての障害に対して KMSInvalidStateException が返されます。問題を特定するには、添付のエラーメッセージテキストを使用します。

次の表は、上位 5 位の例外グラフに表示される可能性のある例外と、AWS KMS が返す対応する例外を示しています。

エラータイプ グラフに表示される例外 AWS KMS が返す例外
再試行不可 AccessDeniedException

トラブルシューティングヘルプについては、プロキシの承認に関する問題 を参照してください。

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可 AuthenticationFailedException

トラブルシューティングヘルプについては、認証情報エラー を参照してください。

CreateCustomKeyStore および UpdateCustomKeyStore オペレーションに対応する XksProxyIncorrectAuthenticationCredentialException

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

再試行可能

DependencyTimeoutException

トラブルシューティングヘルプについては、レイテンシーとタイムアウトエラー を参照してください。

CreateCustomKeyStore および UpdateCustomKeyStore オペレーションに対応する XksProxyUriUnreachableException

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

再試行可能

InternalException

外部キーマネージャーと通信できないため、外部キーストアプロキシがリクエストを拒否しました。外部キーストアプロキシ設定が正しく、外部キーマネージャーが使用可能であることを検証します。

CreateCustomKeyStore および UpdateCustomKeyStore オペレーションに対応する XksProxyInvalidResponseException

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可

InvalidCiphertextException

トラブルシューティングヘルプについては、復号エラー を参照してください。

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可

InvalidKeyUsageException

トラブルシューティングヘルプについては、外部キーの暗号化オペレーションエラー を参照してください。

CreateKey オペレーションに対応する XksKeyInvalidConfigurationException

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可

InvalidStateException

トラブルシューティングヘルプについては、外部キーの暗号化オペレーションエラー を参照してください。

CreateKey オペレーションに対応する XksKeyInvalidConfigurationException

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可

InvalidUriPathException

トラブルシューティングヘルプについては、一般的な設定エラー を参照してください。

CreateCustomKeyStore および UpdateCustomKeyStore オペレーションに対応する XksProxyInvalidConfigurationException

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可

KeyNotFoundException

トラブルシューティングヘルプについては、外部キーエラー を参照してください。

CreateKey オペレーションに対応する XksKeyNotFoundException

暗号化オペレーションに対応する KMSInvalidStateException

再試行可能

ThrottlingException

リクエスト率が極めて高いため、外部キーストアプロキシがリクエストを拒否しました。この外部キーストアの KMS キーを使用して、呼び出しの頻度を減らします。

CreateCustomKeyStore および UpdateCustomKeyStore オペレーションに対応する XksProxyUriUnreachableException

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可

UnsupportedOperationException

トラブルシューティングヘルプについては、外部キーの暗号化オペレーションエラー を参照してください。

CreateKey オペレーションに対応する XksKeyInvalidResponseException

暗号化オペレーションに対応する KMSInvalidStateException

再試行不可

ValidationException

トラブルシューティングヘルプについては、プロキシの問題 を参照してください。

CreateCustomKeyStore および UpdateCustomKeyStore オペレーションに対応する XksProxyInvalidResponseException

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

再試行可能

XksProxyUnreachableException

このエラーが繰り返し表示される場合は、外部キーストアプロキシがアクティブでネットワークに接続されていること、および外部キーストアの URI パスとエンドポイント URI または VPC サービス名が正しいことを確認します。

CreateCustomKeyStore および UpdateCustomKeyStore オペレーションに対応する XksProxyUriUnreachableException

CreateKey オペレーションに対応する CustomKeyStoreInvalidStateException

暗号化オペレーションに対応する KMSInvalidStateException

上位 5 位の例外グラフは、XksProxyErrors メトリクスから生成されます。任意のデータポイントを表示すると、ポップアップに ExceptionName ディメンションの値と、そのデータポイントで例外が記録された回数が表示されます。5 つのリスト項目は、最高頻度から最低頻度の例外の順に並べられます。

XksProxyErrors メトリクスを使用して、1 分間に再試行不可能なエラーが 5 回以上記録された場合に警告することで、潜在的な設定問題を通知する CloudWatch アラームを作成することをお勧めします。詳細については、「再試行不可能なエラーのアラームを作成する」を参照してください。

証明書の有効期限日数

外部キーストアプロキシエンドポイント (XksProxyUriEndpoint) の TLS 証明書の有効期限が切れるまでの日数です。このグラフを使用して、TLS 証明書の有効期限をモニタリングします。

証明書の有効期限が切れると、AWS KMS は外部キーストアプロキシと通信できなくなります。証明書が更新されるまで、外部キーストアの KMS キーで保護されているすべてのデータにアクセスできなくなります。

証明書の有効期限までの日数のグラフは、XksProxyCertificateDaysToExpire メトリクスから生成されます。このメトリクスを使用して、有効期限切れの接近を通知する CloudWatch アラームを作成することを強くお勧めします。証明書の有効期限が切れると、暗号化されたリソースにアクセスできなくなる可能性があります。アラームを設定することで、組織は有効期限が切れる前に証明書を更新する時間をもつことができます。詳細については、「証明書の有効期限切れアラームを作成する」を参照してください。