Amazon CloudWatch를 사용한 모니터링 - AWS Key Management Service

Amazon CloudWatch를 사용한 모니터링

AWS KMS에서 원시 데이터를 수집하여 읽기 가능하며 실시간에 가까운 지표로 처리하는 AWS 서비스인 Amazon CloudWatch를 통해 AWS KMS keys를 모니터링할 수 있습니다. 이러한 데이터는 2주간 기록되므로 기록 정보를 보고 KMS 키의 사용 상황과 시간에 따른 변화를 더 잘 이해할 수 있습니다.

Amazon CloudWatch를 사용하여 다음과 같은 중요한 이벤트를 알릴 수 있습니다.

  • KMS 키의 가져온 키 구성 요소의 만료 날짜가 가까워졌습니다.

  • 삭제 보류 중인 KMS 키가 계속 사용되고 있습니다.

  • KMS 키의 키 구성 요소가 자동으로 교체되었습니다.

  • KMS 키가 삭제되었습니다.

요청 비율이 할당량 값의 일정 비율에 도달하면 경고하는 Amazon CloudWatch 경보를 생성할 수도 있습니다. 자세한 내용은 AWS 보안 블로그Service Quotas 및 Amazon CloudWatch를 사용하여 AWS KMS API 요청 비율 관리를 참조하세요.

AWS KMS 지표 및 차원

KMS 키로 키 구성 요소를 가져오고 만료되도록 설정하면 AWS KMS가 CloudWatch로 지표와 차원을 전송합니다. AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.

AWS KMS 지표

AWS/KMS 네임스페이스에는 다음 지표가 포함되어 있습니다.

SecondsUntilKeyMaterialExpiration

이 지표는 KMS 키의 가져온 키 구성 요소가 만료될 때까지 남은 시간(초)을 추적합니다. 이 지표는 오리진이 EXTERNAL이고 만료 날짜가 지정된 KMS 키에만 유효합니다.

이 지표는 가져온 키 구성 요소가 만료될 때까지 남아있는 시간을 추적하는 데 사용됩니다. 시간이 정의한 임계값보다 작은 경우에는 새로운 만료 날짜로 키 구성 요소를 다시 가져오는 등 원하는 작업을 할 수 있습니다. 만료 날짜가 가까워지면 이를 알리는 CloudWatch 경보를 생성할 수 있습니다.

SecondsUntilKeyMaterialExpiration 지표는 KMS 키에만 해당합니다. 이 지표를 사용하여 향후 생성할 수 있는 KMS 키를 하나 또는 그 이상 모니터링할 수는 없습니다.

이 지표에서 가장 유용한 통계는 Minimum으로서 지정한 통계 기간 중 모든 데이터 포인트에 남아있는 시간이 가장 적다는 것을 의미합니다. 이 지표에서 유일하게 사용되는 유효 단위는 Seconds입니다.

AWS KMS 지표의 차원

AWS KMS 지표는 AWS/KMS 네임스페이스를 사용하며, 유효한 차원은 KeyId가 유일합니다. 이 차원을 사용하여 특정 KMS 키 또는 KMS 키 집합에 대한 지표 데이터를 확인할 수 있습니다.

AWS KMS 지표는 어떻게 봅니까?

AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.

CloudWatch 콘솔을 사용하여 지표 보기
  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 필요한 경우 리전을 변경합니다. 탐색 모음에서 AWS 리소스가 상주하는 리전을 선택합니다.

  3. 탐색 창에서 지표(Metrics), 모든 지표(All metrics)를 선택합니다.

  4. 찾아보기(Browse) 탭에서 KMS를 검색한 다음 KMS를 선택합니다.

  5. 키별 지표(Per-Key Metrics)를 선택하여 영향을 받는 각 KMS 키의 지표 및 차원을 확인합니다.

    영향을 받은 KMS 키만 표시됩니다. 예를 들어 SecondsUntilKeyMaterialExpiration 지표의 경우 만료되는 가져온 키 구성 요소가 있는 KMS 키만 목록에 포함됩니다.

  6. 지표 값 그래프의 경우 지표 이름을 선택한 후 Add to graph를 선택합니다. 선 그래프를 값으로 변환하려면 (Line)을 선택한 다음 숫자(Number)를 선택합니다.

Amazon CloudWatch API를 사용하여 지표를 보려면

CloudWatch API를 사용하여 AWS KMS 지표를 보려면 NamespaceAWS/KMS로 설정된 ListMetrics 요청을 보냅니다. 다음 예에서는 AWS Command Line Interface(AWS CLI)에서 이 작업을 수행하는 방법을 보여줍니다.

$ aws cloudwatch list-metrics --namespace AWS/KMS { "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ] }

KMS 모니터링을 위한 CloudWatch 경보 생성

AWS KMS 지표를 기반으로 Amazon CloudWatch 경보를 생성할 수 있습니다. 지표 값이 경보 구성에 지정된 임계값을 초과하면 경보가 이메일 메시지를 보냅니다. 이 경보는 이메일 메시지를 Amazon Simple Notification Service(Amazon SNS) 주제 또는 Amazon EC2 Auto Scaling 정책에 전송할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 Amazon CloudWatch 경보 사용을 참조하세요.

가져온 키 구성 요소 만료에 대한 경보 생성

가져온 키 구성 요소의 만료일이 가까워지면 SecondsUntilKeyMaterialExpiration 지표를 사용해 이를 알리는 CloudWatch 경보를 생성할 수 있습니다.

키 구성 요소를 KMS 키로 가져올 때 선택적으로 키 구성 요소의 만료 날짜 및 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면, AWS KMS가 키 구성 요소를 삭제하고 KMS 키를 사용할 수 없게 됩니다. KMS 키를 다시 사용하려면 키 구성 요소를 다시 가져와야 합니다.

지침은 가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성 섹션을 참조하세요.

삭제 보류 중인 KMS 키 사용에 대한 경보 생성

KMS 키에 키 삭제를 예약하면 AWS KMS가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용할 수 있습니다. 사람이나 애플리케이션이 대기 기간 중에 암호화 작업에서 KMS 키를 사용하려고 할 때 경고하도록 CloudWatch 경보를 구성할 수도 있습니다. 이러한 경보를 통해 알림을 받으면 KMS 키의 삭제를 취소하고 싶을 수 있습니다.

지침은 삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성 단원을 참조하세요.