Amazon CloudWatch을(를) 사용하여 모니터링 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon CloudWatch을(를) 사용하여 모니터링

귀하는 고객 마스터 키 (CMKs) 사용 Amazon CloudWatch에서 원시 데이터를 수집하고 처리하는 AWS KMS 실시간 메트릭에 가까운 위치에 있습니다. 이러한 데이터는 2주 동안 기록되므로 기록 정보에 액세스하고 사용에 대한 이해를 높일 수 있습니다. CMKs 시간이 지남에 따라 변화가 발생합니다. Amazon CloudWatch에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서 단원을 참조하십시오.

AWS KMS 지표 및 차원

귀하가 키 자료를 CMK 이를 바탕으로 AWS KMS 메트릭 및 치수 전송 CloudWatch. AWS Management 콘솔 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.

AWS KMS Metrics

The AWS/KMS namespace includes the following metrics.

SecondsUntilKeyMaterialExpiration

This metric tracks the number of seconds remaining until imported key material expires. This metric is valid only for CMKs whose origin is EXTERNAL and whose key material is or was set to expire. The most useful statistic for this metric is Minimum, which tells you the smallest amount of time remaining for all data points in the specified statistic period. The only valid unit for this metric is Seconds.

Use this metric to track the amount of time that remains until your imported key material expires. When that amount of time falls below a threshold that you define, you might want to take action such as reimporting the key material with a new expiration date. You can create a CloudWatch alarm to notify you when that happens. For more information, see AWS KMS 지표를 모니터링할 CloudWatch 경보 만들기.

Dimensions for AWS KMS Metrics

AWS KMS metrics use the AWS/KMS namespace and have only one valid dimension: KeyId. You can use this dimension to view metric data for a specific CMK or set of CMKs.

AWS KMS 지표는 어떻게 봅니까?

AWS Management 콘솔 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.

CloudWatch 콘솔을 사용하여 지표를 확인하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 필요한 경우 리전을 변경합니다. 탐색 모음에서 AWS 리소스가 상주하는 리전을 선택합니다.

  3. 탐색 창에서 지표를 선택합니다.

  4. 콘텐츠 창에서 [All metrics] 탭을 선택합니다. 그런 다음 AWS 네임스페이스 아래에서 KMS를 선택합니다.

  5. [Per-Key Metrics]를 선택해 개별 지표와 차원을 확인합니다.

Amazon CloudWatch API 사용을 통해 지표를 보려면

보기 AWS KMS 메트릭을 사용하여 CloudWatch API, 전송 listmetrics 요청 Namespace 설정 AWS/KMS. 다음 예제에서는 이 작업을 수행하는 방법을 보여 줍니다. AWS Command Line Interface (AWS CLI).

$ aws cloudwatch list-metrics --namespace AWS/KMS

AWS KMS 지표를 모니터링할 CloudWatch 경보 만들기

지표 값이 변화하면 Amazon SNS 메시지를 보내고 경보가 상태를 변경하도록 하는 CloudWatch 경보를 만들 수 있습니다. 경보는 지정한 기간에 단일 지표를 감시하고 여러 기간에 지정된 임계값에 대한 지표 값을 기준으로 작업을 하나 이상 수행합니다. 이 작업은 Amazon SNS 주제나 Auto Scaling 정책으로 전송되는 알림입니다. 경보는 지속적인 상태 변경에 대해서만 작업을 호출합니다. CloudWatch 경보는 특정 상태가 되었다고 해서 작업을 호출하지는 않습니다. 이러한 상태가 변경되어 지정한 기간 동안 유지되어야 합니다.

가져온 키 구성 요소의 만료 여부를 모니터링할 CloudWatch 경보 만들기

귀하가 키 자료를 CMK키 자료가 만료되는 시간을 선택적으로 지정할 수 있습니다. 주요 자료가 만료되면 AWS KMS 주요 재료 및 CMK 사용할 수 없게 됩니다. 사용 방법 CMK 키를 다시 가져와야 합니다. 가져온 키 구성 요소가 만료하기까지 남은 시간이 정의한 임곗값(예: 10일) 미만으로 떨어질 때 알려주는 CloudWatch 경보를 생성할 수 있습니다. 이러한 경보를 통해 알림을 받으면 새로운 만료 날짜로 키 구성 요소를 다시 가져오는 등의 조치를 취하고 싶을 수 있습니다.

가져온 키 구성 요소의 만료 여부를 모니터링할 경보를 만들려면(AWS Management 콘솔)

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 필요한 경우 리전을 변경합니다. 탐색 모음에서 AWS 리소스가 상주하는 리전을 선택합니다.

  3. 탐색 창에서 Alarms를 선택합니다. 그리고 경보 만들기를 선택합니다.

  4. [Browse Metrics]를 선택한 후 [KMS]를 선택합니다.

  5. 의 키 ID 옆에 있는 확인란을 선택합니다. CMK 을(를) 모니터링합니다.

  6. 아래쪽 창에서 메뉴를 이용해 [Statistic]을 [Minimum]으로, [Time period]를 [1 Minute]으로 변경합니다. 다음을 선택합니다.

  7. [Create Alarm] 창에서 다음과 같이 실행합니다.

    1. 이름에서 KeyMaterialExpiresSoon 같은 사용자 이름을 입력합니다.

    2. Whenever:에 이어 is:에서 <= 선택 후 임곗값으로 적용할 초를 입력합니다. 예를 들어 가져온 키 구성 요소가 만료될 때까지 남은 시간이 10일 이하일 때 알림을 받으려면 864000 입력을 하면 됩니다.

    3. for consecutive period(s)의 경우 필요에 따라 1 입력을 하면 됩니다.

    4. [Send notification to:]에서 다음 중 하나를 실시합니다.

      • 새로운 Amazon SNS 주제를 사용하려면 새 목록을 선택한 후 새 주제 이름을 입력합니다. [Email list:]에 이메일 주소를 하나 이상 입력합니다. 쉼표로 구분하여 두 개 이상의 이메일 주소를 입력할 수 있습니다.

      • 기존 Amazon SNS 주제를 사용하려면 사용할 주제의 이름을 선택합니다.

    5. [Create Alarm]을 선택합니다.

  8. 한 이메일 주소로 알림을 보내기로 선택한 경우 no-reply@sns.amazonaws.com에서 "AWS Notification - Subscription Confirmation"이라는 제목으로 수신한 이메일 메시지를 엽니다. 이메일 메시지의 [Confirm subscription] 링크를 선택해 이메일 주소를 확인합니다.

    중요

    이메일 주소를 확인한 후부터 이메일 알림을 받게 됩니다.

생성 CloudWatch 알람 사용을 모니터링하기 위한 CMKs 삭제 대기 중

귀하가 스케줄 키 삭제 for a CMK, AWS KMS 대기 기간을 확대하기 전에 CMK. 대기 기간을 사용하여 CMK 현재 또는 미래에. 또한 CloudWatch 경보 메시지를 경고하는 경보 CMK 대기 기간 동안. 이러한 알람으로부터 알림을 받는 경우, CMK.

자세한 정보는 생성 Amazon CloudWatch 알람의 사용을 고객 마스터 키 삭제 대기 중 단원을 참조하십시오.

AWS KMS 이벤트

AWS KMS 통합 Amazon CloudWatch Events 귀하에게 영향을 미치는 특정 이벤트에 대해 CMKs. 각 이벤트는 JSON(javascript Object Notation) 이벤트 이름, 이벤트가 발생한 날짜 및 시간, CMK 영향을 받음. CloudWatch 이벤트 이용을 통해 이러한 이벤트를 수집하고 Amazon Kinesis Data Streams의 AWS Lambda 함수, Amazon SNS 주제, Amazon SQS 대기열, 스트림 등 하나 이상의 대상 또는 기본 제공 대상으로 라우팅하는 규칙을 설정할 수 있습니다.

AWS CloudTrail가 읽기/쓰기 API 요청을 기록할 때 내보내는 것을 포함해 다른 종류의 이벤트와 함께 CloudWatch 이벤트를 사용하는 방법에 대한 추가 정보는 Amazon CloudWatch Events 사용 설명서를 참조하십시오.

다음 주제에서는 AWS KMS에서 만드는 CloudWatch 이벤트에 대해 설명합니다.

KMS CMK 회전

사용 시 자동 키 회전 for a 고객 관리 CMK, AWS KMS 새로운 핵심 자료를 CMK 매년. 핵심 재료 AWS 관리 CMKs 3년마다 자동으로 회전됩니다.

언제 AWS KMS 키 재료 회전, KMS 전송 CMK 회전 이벤트 CloudWatch 이벤트. 다음은 이 이벤트의 예입니다.

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2016-08-25T21:05:33Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

KMS가 가져온 키 구성 요소 만료

귀하가 키 자료를 CMK키 자료가 만료되는 시간을 선택적으로 지정할 수 있습니다. 키 구성 요소가 만료되면, AWS KMS가 키 구성 요소를 삭제하고 CloudWatch 이벤트로 해당 이벤트를 보냅니다. 다음은 이 이벤트의 예입니다.

{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2016-08-22T20:12:19Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

KMS CMK 삭제

귀하가 스케줄 키 삭제 for a CMK, AWS KMS 대기 기간을 확대하기 전에 CMK. 대기 기간 종료 후 AWS KMS 삭제 CMK 해당 이벤트를 CloudWatch 이벤트. 다음은 이 이벤트의 예입니다.

{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2016-08-19T03:23:45Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }