기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
아마존을 통한 모니터링 CloudWatch
원시 데이터를 수집하여 읽을 수 있는 거의 실시간 AWS KMS 지표로 처리하는 AWS 서비스인 Amazon AWS KMS keys CloudWatch 사용을 모니터링할 수 있습니다. 이러한 데이터는 2주간 기록되므로 기록 정보를 보고 KMS 키의 사용 상황과 시간에 따른 변화를 더 잘 이해할 수 있습니다.
CloudWatch Amazon을 사용하여 다음과 같은 중요한 이벤트를 알릴 수 있습니다.
-
KMS 키의 가져온 키 구성 요소의 만료 날짜가 가까워졌습니다.
-
삭제 보류 중인 KMS 키가 계속 사용되고 있습니다.
-
KMS 키의 키 구성 요소가 자동으로 교체되었습니다.
-
KMS 키가 삭제되었습니다.
요청 비율이 할당량 값의 특정 비율에 도달하면 알려주는 Amazon CloudWatch 경보를 생성할 수도 있습니다. 자세한 내용은 보안 블로그의 Service Quotas 및 CloudWatch AWS Amazon을 사용한 AWS KMS API 요청 속도 관리를
AWS KMS 지표 및 측정기준
AWS KMS Amazon CloudWatch 지표를 미리 정의하여 중요한 데이터를 쉽게 모니터링하고 경보를 생성할 수 있도록 합니다. AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.
이 섹션에는 각 AWS KMS 지표와 각 지표의 측정기준이 나열되어 있으며, 이러한 지표와 측정기준을 기반으로 CloudWatch 경보를 생성하기 위한 몇 가지 기본 지침을 제공합니다.
참고
차원 그룹 이름:
Amazon CloudWatch 콘솔에서 지표를 보려면 지표 섹션에서 차원 그룹 이름을 선택합니다. 그런 다음 Metric name(지표 이름)으로 필터링할 수 있습니다. 이 주제에는 각 AWS KMS 지표에 대한 지표 이름과 차원 그룹 이름이 포함됩니다.
주제
SecondsUntilKeyMaterialExpiration
KMS 키의 가져온 키 구성 요소가 만료될 때까지 남은 시간(초)입니다. 이 지표는 가져온 키 구성 요소(EXTERNAL
의 키 구성 요소 오리진)와 만료 날짜가 있는 KMS 키에만 유효합니다.
이 지표는 가져온 키 구성 요소가 만료될 때까지 남아있는 시간을 추적하는 데 사용됩니다. 시간이 정의한 임계값보다 작은 경우에는 새로운 만료 날짜로 키 구성 요소를 다시 가져올 수 있습니다. SecondsUntilKeyMaterialExpiration
지표는 KMS 키에만 해당합니다. 이 지표를 사용하여 향후 생성할 수 있는 KMS 키를 하나 또는 그 이상 모니터링할 수는 없습니다. 이 지표를 모니터링하기 위한 CloudWatch 경보를 생성하는 데 도움이 필요하면 을 참조하십시오가져온 키 자료의 만료에 대한 CloudWatch 경보 생성.
이 지표에서 가장 유용한 통계는 Minimum
으로서 지정한 통계 기간 중 모든 데이터 포인트에 남아있는 시간이 가장 적다는 것을 의미합니다. 이 지표에서 유일하게 사용되는 유효 단위는 Seconds
입니다.
차원 그룹 이름: Per-Key Metrics(키별 지표)
SecondsUntilKeyMaterialExpiration 의 차원 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
측정기준 | 설명, 관련 대상 AWS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
KeyId | 각 KMS 키의 값입니다. |
ExternalKeyStoreThrottle
AWS KMS 조절 (a로 응답) 하는 각 외부 키 스토어의 KMS 키에 대한 암호화 작업 요청 수입니다. ThrottlingException
이 지표는 외부 키 스토어에만 적용됩니다.
이 ExternalKeyStoreThrottle 지표는 외부 키 스토어의 KMS 키에만 적용되며 암호화 작업 및 작업에 대한 요청에만 적용됩니다. DescribeKey AWS KMS 요청 비율이 외부 키 스토어에 대한 사용자 지정 키 스토어 요청 할당량을 초과할 경우 이러한 요청을 제한합니다. 이 지표에는 외부 키 스토어 프록시 또는 외부 키 관리자에 의한 제한이 포함되지 않습니다.
이 지표를 사용하여 사용자 지정 키 스토어 요청 할당량의 값을 검토하고 조정합니다. 이 측정치를 통해 이러한 KMS 키에 대한 요청의 병목 현상이 빈번하게 나타나는 AWS KMS 경우 사용자 지정 키 스토어 요청 할당량 증가를 요청하는 것을 고려해 볼 수 있습니다. 도움이 필요한 경우 Service Quotas 사용 설명서의 할당량 증가 요청을 참조하세요.
'매우 높은 요청 빈도로 인해' 또는 '외부 키 스토어 프록시가 제때 응답하지 않아' 요청이 거부되었음을 설명하는 메시지와 함께 KMSInvalidStateException
오류가 매우 자주 발생하는 경우 외부 키 관리자 또는 외부 키 스토어 프록시가 현재 요청 빈도를 따라갈 수 없는 것일 수 있습니다. 가능하면 요청 빈도를 낮춥니다. 사용자 지정 키 스토어 요청 할당량 값의 감소를 요청하는 것도 고려할 수 있습니다. 이 할당량 값을 줄이면 스로틀링 (및 ExternalKeyStoreThrottle
측정치 값) 이 증가할 수 있지만 이는 초과 요청이 외부 키 스토어 프록시나 외부 키 관리자로 전송되기 전에 빨리 거부된다는 AWS KMS 의미입니다. 할당량 감소를 요청하기 위해서는 AWS Support 센터
차원 그룹 이름: Keystore Throttle Metrics(키 스토어 제한 지표)
측정기준 | 설명 |
---|---|
CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
KmsOperation | 각 API 작업의 값. AWS KMS 이 지표는 암호화 작업과 외부 키 스토어의 KMS 키 작업에 대한 DescribeKey 작업에만 적용됩니다. |
KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다. |
XksProxyCertificateDaysToExpire
외부 키 스토어 프록시 엔드포인트(XksProxyUriEndpoint
)에 대한 TLS 인증서가 만료될 때까지의 일수입니다. 이 지표는 외부 키 스토어에만 적용됩니다.
이 지표를 사용하여 TLS 인증서의 다가오는 만료를 알리는 CloudWatch 경보를 생성할 수 있습니다. 인증서가 만료되면 외부 키 저장소 AWS KMS 프록시와 통신할 수 없습니다. 외부 키 스토어의 KMS 키로 보호되는 모든 데이터는 인증서를 갱신할 때까지 액세스할 수 없습니다.
인증서 경보는 암호화된 리소스에 액세스하지 못하게 할 수 있는 인증서 만료를 방지합니다. 인증서가 만료되기 전에 인증서를 갱신할 시간을 조직에 제공하도록 경보를 설정합니다.
차원 그룹 이름: XKS Proxy Certificate Metrics(XKS 프록시 인증서 지표)
측정기준 | 설명 |
---|---|
CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
CertificateName | TLS 인증서의 주체 이름(CN)입니다. |
XksProxyCredentialAge
현재 외부 키 스토어 프록시 인증 자격 증명(XksProxyAuthenticationCredential
)이 외부 키 스토어와 연결된 이후의 일수입니다. 이 수는 외부 키 스토어를 만들거나 업데이트하는 과정에서 인증 자격 증명을 입력할 때 시작됩니다. 이 지표는 외부 키 스토어에만 적용됩니다.
이 값은 인증 자격 증명의 사용 기간을 알리도록 설계되었습니다. 그러나 외부 키 스토어 프록시에 인증 자격 증명을 생성할 때가 아니라 외부 키 스토어에 자격 증명을 연결할 때 계산을 시작하기 때문에 프록시의 자격 증명 사용 기간에 대한 정확한 지표가 아닐 수 있습니다.
이 지표를 사용하여 외부 키 저장소 프록시 인증 자격 증명을 교체하라는 알림을 생성하는 데 사용할 수 있습니다. CloudWatch
차원 그룹 이름: Per-Keystore Metrics(키 스토어별 지표)
측정기준 | 설명 |
---|---|
CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
XksProxyErrors
외부 키 스토어 프록시에 대한 AWS KMS 요청과 관련된 예외 개수. 이 수에는 외부 키 저장소 프록시가 반환하는 예외 AWS KMS 및 외부 키 저장소 프록시가 250밀리초의 제한 시간 간격 AWS KMS 내에 응답하지 않을 때 발생하는 타임아웃 오류가 포함됩니다. 이 지표는 외부 키 스토어에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어에서 KMS 키의 오류율을 추적합니다. 이 지표는 가장 자주 발생하는 오류를 표시하므로 엔지니어링 작업의 우선 순위를 지정할 수 있습니다. KMS 키에서 생성하는 재시도할 수 없는 오류율이 높으면 외부 키 스토어의 구성에 문제가 있는 것일 수 있습니다. 외부 키 스토어 구성을 보려면 외부 키 스토어 보기 섹션을 참조하세요. 외부 키 스토어 설정을 편집하려면 외부 키 스토어 속성 편집 섹션을 참조하세요.
차원 그룹 이름: XKS Proxy Error Metrics(XKS 프록시 오류 지표)
측정기준 | 설명 |
---|---|
CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
XksOperation | 각 외부 키 스토어 프록시 API 작업의 값입니다. |
KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다. |
ErrorType | 값:
|
ExceptionName |
값:
|
XksExternalKeyManagerStates
각 상태(Active
, Degraded
및 Unavailable
)의 외부 키 관리자 인스턴스 수입니다. 이 지표에 대한 정보는 각 외부 키 스토어와 연결된 외부 키 스토어 프록시에서 가져옵니다. 이 지표는 외부 키 스토어에만 적용됩니다.
다음은 외부 키 스토어와 연결된 외부 키 관리자 인스턴스의 상태입니다. 각 외부 키 스토어 프록시는 서로 다른 표시기를 사용하여 외부 키 관리자의 상태를 측정할 수 있습니다. 자세한 내용은 외부 키 스토어 프록시의 설명서를 참조하세요.
-
Active
: 외부 키 관리자가 정상입니다. -
Degraded
: 외부 키 관리자가 비정상이지만 여전히 트래픽을 처리할 수 있습니다. -
Unavailable
: 외부 키 관리자가 트래픽을 처리할 수 없습니다.
이 지표를 사용하여 성능이 저하되고 사용할 수 없는 외부 키 관리자 인스턴스에 대해 경고하는 경보를 생성할 수 있습니다. CloudWatch 각 상태의 외부 키 관리자 인스턴스를 확인하려면 외부 키 스토어 프록시 로그를 참조하세요.
차원 그룹 이름: XKS External Key Manager Metrics(XKS 외부 키 관리자 지표)
측정기준 | 설명 |
---|---|
CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
XksExternalKeyManagerState | 각 상태에 대한 값입니다. |
XksProxyLatency
외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 시간(밀리초)입니다. 요청 시간이 초과된 경우 기록된 값은 250밀리초 제한 시간입니다. 이 지표는 외부 키 스토어에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어 프록시와 외부 키 관리자의 성능을 평가합니다. 예를 들어, 프록시의 암호화 및 복호화 작업 시간이 자주 초과되는 경우 외부 프록시 관리자에게 문의하세요.
응답이 느리다는 것은 외부 키 관리자가 현재 요청 트래픽을 처리하지 못한다는 의미일 수도 있습니다. AWS KMS 외부 키 관리자가 초당 최대 1800개의 암호화 작업 요청을 처리할 수 있도록 할 것을 권장합니다. 외부 키 관리자가 초당 1,800개의 요청을 처리할 수 없는 경우 사용자 지정 키 스토어에서 KMS 키에 대한 요청 할당량 감소를 요청하는 것이 좋습니다. 외부 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 요청은 외부 키 스토어 프록시 또는 외부 키 관리자에 의해 처리되고 나중에 거부되는 대신 제한 예외와 함께 빠르게 실패합니다.
차원 그룹 이름: XKS Proxy Latency Metrics(XKS 프록시 지연 시간 지표)
측정기준 | 설명 |
---|---|
CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
XksOperation | 각 외부 키 스토어 프록시 API 작업의 값입니다. |
KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다. |
지표 보기 AWS KMS
AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.
CloudWatch 콘솔을 사용하여 지표를 보려면
https://console.aws.amazon.com/cloudwatch/
에서 CloudWatch 콘솔을 엽니다. -
필요한 경우 리전을 변경합니다. 탐색 모음에서 AWS 리소스가 상주하는 리전을 선택합니다.
-
탐색 창에서 지표, 모든 지표를 선택합니다.
-
찾아보기(Browse) 탭에서
KMS
를 검색한 다음 KMS를 선택합니다. -
보려는 지표의 차원 그룹 이름을 선택합니다.
예를 들어
SecondsUntilKeyMaterialExpiration
지표의 경우 Per-Key Metrics(키별 지표)를 선택합니다. -
지표 값 그래프의 경우 지표 이름을 선택한 후
Add to graph
를 선택합니다. 선 그래프를 값으로 변환하려면 선(Line)을 선택한 다음 숫자(Number)를 선택합니다.
Amazon CloudWatch API를 사용하여 지표를 보려면
CloudWatch API를 사용하여 AWS KMS 지표를 보려면 Namespace
set to를 사용하여 ListMetrics요청을 보내십시오AWS/KMS
. 다음 예에서는 AWS Command Line Interface (AWS CLI)
$
aws cloudwatch list-metrics --namespace AWS/KMS
{ "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] }, { "Namespace": "AWS/KMS", "MetricName": "ExternalKeyStoreThrottle", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Encrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCertificateDaysToExpire", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "CertificateName", "Value": "
myproxy.xks.example.com
" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCredentialAge", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyErrors", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" }, { "Name": "ErrorType", "Value": "Retryable errors" }, { "Name": "ExceptionName", "Value": "KMSInvalidStateException" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyHsmStates", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "XksProxyHsmState", "Value": "Active" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyLatency", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] } ] }
KMS 키를 모니터링하기 위한 CloudWatch 경보 생성
AWS KMS 지표를 기반으로 Amazon CloudWatch 경보를 생성할 수 있습니다. 지표 값이 경보 구성에 지정된 임계값을 초과하면 경보가 이메일 메시지를 보냅니다. 이 경보는 이메일 메시지를 Amazon Simple Notification Service(Amazon SNS) 주제 또는 Amazon EC2 Auto Scaling 정책에 전송할 수 있습니다. CloudWatch 경보에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon CloudWatch 경보 사용을 참조하십시오. CloudWatch
가져온 키 구성 요소 만료에 대한 경보 생성
이 SecondsUntilKeyMaterialExpiration지표를 사용하여 KMS 키에 가져온 키 구성 요소가 곧 만료될 때 알려주는 CloudWatch 경보를 생성할 수 있습니다.
키 구성 요소를 KMS 키로 가져올 때 선택적으로 키 구성 요소의 만료 날짜 및 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면 키 구성 요소가 AWS KMS 삭제되고 KMS 키를 사용할 수 없게 됩니다. KMS 키를 다시 사용하려면 키 구성 요소를 다시 가져와야 합니다.
지침은 가져온 키 자료의 만료에 대한 CloudWatch 경보 생성을 참조하세요.
삭제 보류 중인 KMS 키 사용에 대한 경보 생성
KMS 키에 키 삭제를 예약하면 AWS KMS 가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용할 수 있습니다. 대기 기간 동안 사람이나 애플리케이션이 KMS 키를 암호화 작업에 사용하려고 하면 경고하도록 CloudWatch 경보를 구성할 수도 있습니다. 이러한 경보를 통해 알림을 받으면 KMS 키의 삭제를 취소하고 싶을 수 있습니다.
지침은 삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성을 참조하세요.
외부 키 스토어를 모니터링하기 위한 경보 생성
외부 키 스토어 및 외부 키 스토어의 KMS 키에 대한 메트릭을 기반으로 CloudWatch 경보를 생성할 수 있습니다.
예를 들어 외부 키 스토어의 TLS 인증서가 곧 만료될 때 (XksProxyCertificateDaysToExpire), 외부 키 스토어 프록시가 외부 키 관리자 인스턴스가 성능이 저하되거나 사용할 수 없는 상태라고 보고할 때 () 알리도록 CloudWatch 경보를 설정하는 것이 좋습니다. XksProxyHsmStates
지침은 외부 키 스토어 모니터링 단원을 참조하세요.