아마존을 통한 모니터링 CloudWatch - AWS Key Management Service
지표 및 차원지표 보기 AWS KMSCloudWatch 알람

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존을 통한 모니터링 CloudWatch

원시 데이터를 수집하여 읽을 수 있는 거의 실시간 AWS KMS 지표로 처리하는 AWS 서비스인 Amazon AWS KMS keys CloudWatch 사용을 모니터링할 수 있습니다. 이러한 데이터는 2주간 기록되므로 기록 정보를 보고 KMS 키의 사용 상황과 시간에 따른 변화를 더 잘 이해할 수 있습니다.

CloudWatch Amazon을 사용하여 다음과 같은 중요한 이벤트를 알릴 수 있습니다.

  • KMS 키의 가져온 키 구성 요소의 만료 날짜가 가까워졌습니다.

  • 삭제 보류 중인 KMS 키가 계속 사용되고 있습니다.

  • KMS 키의 키 구성 요소가 자동으로 교체되었습니다.

  • KMS 키가 삭제되었습니다.

요청 비율이 할당량 값의 특정 비율에 도달하면 알려주는 Amazon CloudWatch 경보를 생성할 수도 있습니다. 자세한 내용은 보안 블로그의 Service Quotas 및 CloudWatch AWS Amazon을 사용한 AWS KMS API 요청 속도 관리를 참조하십시오.

AWS KMS 지표 및 측정기준

AWS KMS Amazon CloudWatch 지표를 미리 정의하여 중요한 데이터를 쉽게 모니터링하고 경보를 생성할 수 있도록 합니다. AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.

이 섹션에는 각 AWS KMS 지표와 각 지표의 측정기준이 나열되어 있으며, 이러한 지표와 측정기준을 기반으로 CloudWatch 경보를 생성하기 위한 몇 가지 기본 지침을 제공합니다.

참고

차원 그룹 이름:

Amazon CloudWatch 콘솔에서 지표를 보려면 지표 섹션에서 차원 그룹 이름을 선택합니다. 그런 다음 Metric name(지표 이름)으로 필터링할 수 있습니다. 이 주제에는 각 AWS KMS 지표에 대한 지표 이름과 차원 그룹 이름이 포함됩니다.

SecondsUntilKeyMaterialExpiration

KMS 키의 가져온 키 구성 요소가 만료될 때까지 남은 시간(초)입니다. 이 지표는 가져온 키 구성 요소(EXTERNAL키 구성 요소 오리진)와 만료 날짜가 있는 KMS 키에만 유효합니다.

이 지표는 가져온 키 구성 요소가 만료될 때까지 남아있는 시간을 추적하는 데 사용됩니다. 시간이 정의한 임계값보다 작은 경우에는 새로운 만료 날짜로 키 구성 요소를 다시 가져올 수 있습니다. SecondsUntilKeyMaterialExpiration 지표는 KMS 키에만 해당합니다. 이 지표를 사용하여 향후 생성할 수 있는 KMS 키를 하나 또는 그 이상 모니터링할 수는 없습니다. 이 지표를 모니터링하기 위한 CloudWatch 경보를 생성하는 데 도움이 필요하면 을 참조하십시오가져온 키 자료의 만료에 대한 CloudWatch 경보 생성.

이 지표에서 가장 유용한 통계는 Minimum으로서 지정한 통계 기간 중 모든 데이터 포인트에 남아있는 시간이 가장 적다는 것을 의미합니다. 이 지표에서 유일하게 사용되는 유효 단위는 Seconds입니다.

차원 그룹 이름: Per-Key Metrics(키별 지표)

SecondsUntilKeyMaterialExpiration의 차원
측정기준 설명, 관련 대상 AWS
KeyId 각 KMS 키의 값입니다.

ExternalKeyStoreThrottle

AWS KMS 조절 (a로 응답) 하는 각 외부 키 스토어의 KMS 키에 대한 암호화 작업 요청 수입니다. ThrottlingException 이 지표는 외부 키 스토어에만 적용됩니다.

이 ExternalKeyStoreThrottle 지표는 외부 키 스토어의 KMS 키에만 적용되며 암호화 작업 및 작업에 대한 요청에만 적용됩니다. DescribeKey AWS KMS 요청 비율이 외부 키 스토어에 대한 사용자 지정 키 스토어 요청 할당량을 초과할 경우 이러한 요청을 제한합니다. 이 지표에는 외부 키 스토어 프록시 또는 외부 키 관리자에 의한 제한이 포함되지 않습니다.

이 지표를 사용하여 사용자 지정 키 스토어 요청 할당량의 값을 검토하고 조정합니다. 이 측정치를 통해 이러한 KMS 키에 대한 요청의 병목 현상이 빈번하게 나타나는 AWS KMS 경우 사용자 지정 키 스토어 요청 할당량 증가를 요청하는 것을 고려해 볼 수 있습니다. 도움이 필요한 경우 Service Quotas 사용 설명서의 할당량 증가 요청을 참조하세요.

'매우 높은 요청 빈도로 인해' 또는 '외부 키 스토어 프록시가 제때 응답하지 않아' 요청이 거부되었음을 설명하는 메시지와 함께 KMSInvalidStateException 오류가 매우 자주 발생하는 경우 외부 키 관리자 또는 외부 키 스토어 프록시가 현재 요청 빈도를 따라갈 수 없는 것일 수 있습니다. 가능하면 요청 빈도를 낮춥니다. 사용자 지정 키 스토어 요청 할당량 값의 감소를 요청하는 것도 고려할 수 있습니다. 이 할당량 값을 줄이면 스로틀링 (및 ExternalKeyStoreThrottle 측정치 값) 이 증가할 수 있지만 이는 초과 요청이 외부 키 스토어 프록시나 외부 키 관리자로 전송되기 전에 빨리 거부된다는 AWS KMS 의미입니다. 할당량 감소를 요청하기 위해서는 AWS Support 센터를 방문하여 케이스를 생성하세요.

차원 그룹 이름: Keystore Throttle Metrics(키 스토어 제한 지표)

측정기준 설명
CustomKeyStoreId 각 외부 키 스토어의 값입니다.
KmsOperation 각 API 작업의 값. AWS KMS 이 지표는 암호화 작업과 외부 키 스토어의 KMS 키 작업에 대한 DescribeKey 작업에만 적용됩니다.
KeySpec 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다.

XksProxyCertificateDaysToExpire

외부 키 스토어 프록시 엔드포인트(XksProxyUriEndpoint)에 대한 TLS 인증서가 만료될 때까지의 일수입니다. 이 지표는 외부 키 스토어에만 적용됩니다.

이 지표를 사용하여 TLS 인증서의 다가오는 만료를 알리는 CloudWatch 경보를 생성할 수 있습니다. 인증서가 만료되면 외부 키 저장소 AWS KMS 프록시와 통신할 수 없습니다. 외부 키 스토어의 KMS 키로 보호되는 모든 데이터는 인증서를 갱신할 때까지 액세스할 수 없습니다.

인증서 경보는 암호화된 리소스에 액세스하지 못하게 할 수 있는 인증서 만료를 방지합니다. 인증서가 만료되기 전에 인증서를 갱신할 시간을 조직에 제공하도록 경보를 설정합니다.

차원 그룹 이름: XKS Proxy Certificate Metrics(XKS 프록시 인증서 지표)

측정기준 설명
CustomKeyStoreId 각 외부 키 스토어의 값입니다.
CertificateName TLS 인증서의 주체 이름(CN)입니다.

XksProxyCredentialAge

현재 외부 키 스토어 프록시 인증 자격 증명(XksProxyAuthenticationCredential)이 외부 키 스토어와 연결된 이후의 일수입니다. 이 수는 외부 키 스토어를 만들거나 업데이트하는 과정에서 인증 자격 증명을 입력할 때 시작됩니다. 이 지표는 외부 키 스토어에만 적용됩니다.

이 값은 인증 자격 증명의 사용 기간을 알리도록 설계되었습니다. 그러나 외부 키 스토어 프록시에 인증 자격 증명을 생성할 때가 아니라 외부 키 스토어에 자격 증명을 연결할 때 계산을 시작하기 때문에 프록시의 자격 증명 사용 기간에 대한 정확한 지표가 아닐 수 있습니다.

이 지표를 사용하여 외부 키 저장소 프록시 인증 자격 증명을 교체하라는 알림을 생성하는 데 사용할 수 있습니다. CloudWatch

차원 그룹 이름: Per-Keystore Metrics(키 스토어별 지표)

측정기준 설명
CustomKeyStoreId 각 외부 키 스토어의 값입니다.

XksProxyErrors

외부 키 스토어 프록시에 대한 AWS KMS 요청과 관련된 예외 개수. 이 수에는 외부 키 저장소 프록시가 반환하는 예외 AWS KMS 및 외부 키 저장소 프록시가 250밀리초의 제한 시간 간격 AWS KMS 내에 응답하지 않을 때 발생하는 타임아웃 오류가 포함됩니다. 이 지표는 외부 키 스토어에만 적용됩니다.

이 지표를 사용하여 외부 키 스토어에서 KMS 키의 오류율을 추적합니다. 이 지표는 가장 자주 발생하는 오류를 표시하므로 엔지니어링 작업의 우선 순위를 지정할 수 있습니다. KMS 키에서 생성하는 재시도할 수 없는 오류율이 높으면 외부 키 스토어의 구성에 문제가 있는 것일 수 있습니다. 외부 키 스토어 구성을 보려면 외부 키 스토어 보기 섹션을 참조하세요. 외부 키 스토어 설정을 편집하려면 외부 키 스토어 속성 편집 섹션을 참조하세요.

차원 그룹 이름: XKS Proxy Error Metrics(XKS 프록시 오류 지표)

측정기준 설명
CustomKeyStoreId 각 외부 키 스토어의 값입니다.
KmsOperation XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다.
XksOperation 외부 키 스토어 프록시 API 작업의 값입니다.
KeySpec 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다.
ErrorType 값:

  • 재시도할 수 있는 오류: 네트워킹 오류와 같이 일시적일 수 있습니다.

  • 재시도할 수 없는 오류: 사용자 지정 키 스토어 구성 또는 외부 구성 요소에 문제가 있는 것일 수 있습니다.

  • 해당 사항 없음: 성공한 요청, 오류 없음
ExceptionName

값:

  • 예외 이름

  • 없음: 성공한 요청, 오류 없음

XksExternalKeyManagerStates

각 상태(Active, DegradedUnavailable)의 외부 키 관리자 인스턴스 수입니다. 이 지표에 대한 정보는 각 외부 키 스토어와 연결된 외부 키 스토어 프록시에서 가져옵니다. 이 지표는 외부 키 스토어에만 적용됩니다.

다음은 외부 키 스토어와 연결된 외부 키 관리자 인스턴스의 상태입니다. 각 외부 키 스토어 프록시는 서로 다른 표시기를 사용하여 외부 키 관리자의 상태를 측정할 수 있습니다. 자세한 내용은 외부 키 스토어 프록시의 설명서를 참조하세요.

  • Active: 외부 키 관리자가 정상입니다.

  • Degraded: 외부 키 관리자가 비정상이지만 여전히 트래픽을 처리할 수 있습니다.

  • Unavailable: 외부 키 관리자가 트래픽을 처리할 수 없습니다.

이 지표를 사용하여 성능이 저하되고 사용할 수 없는 외부 키 관리자 인스턴스에 대해 경고하는 경보를 생성할 수 있습니다. CloudWatch 각 상태의 외부 키 관리자 인스턴스를 확인하려면 외부 키 스토어 프록시 로그를 참조하세요.

차원 그룹 이름: XKS External Key Manager Metrics(XKS 외부 키 관리자 지표)

측정기준 설명
CustomKeyStoreId 각 외부 키 스토어의 값입니다.
XksExternalKeyManagerState 각 상태에 대한 값입니다.

XksProxyLatency

외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 시간(밀리초)입니다. 요청 시간이 초과된 경우 기록된 값은 250밀리초 제한 시간입니다. 이 지표는 외부 키 스토어에만 적용됩니다.

이 지표를 사용하여 외부 키 스토어 프록시와 외부 키 관리자의 성능을 평가합니다. 예를 들어, 프록시의 암호화 및 복호화 작업 시간이 자주 초과되는 경우 외부 프록시 관리자에게 문의하세요.

응답이 느리다는 것은 외부 키 관리자가 현재 요청 트래픽을 처리하지 못한다는 의미일 수도 있습니다. AWS KMS 외부 키 관리자가 초당 최대 1800개의 암호화 작업 요청을 처리할 수 있도록 할 것을 권장합니다. 외부 키 관리자가 초당 1,800개의 요청을 처리할 수 없는 경우 사용자 지정 키 스토어에서 KMS 키에 대한 요청 할당량 감소를 요청하는 것이 좋습니다. 외부 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 요청은 외부 키 스토어 프록시 또는 외부 키 관리자에 의해 처리되고 나중에 거부되는 대신 제한 예외와 함께 빠르게 실패합니다.

차원 그룹 이름: XKS Proxy Latency Metrics(XKS 프록시 지연 시간 지표)

측정기준 설명
CustomKeyStoreId 각 외부 키 스토어의 값입니다.
KmsOperation XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다.
XksOperation 외부 키 스토어 프록시 API 작업의 값입니다.
KeySpec 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다.

지표 보기 AWS KMS

AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.

CloudWatch 콘솔을 사용하여 지표를 보려면

  1. https://console.aws.amazon.com/cloudwatch/ 에서 CloudWatch 콘솔을 엽니다.

  2. 필요한 경우 리전을 변경합니다. 탐색 모음에서 AWS 리소스가 상주하는 리전을 선택합니다.

  3. 탐색 창에서 지표, 모든 지표를 선택합니다.

  4. 찾아보기(Browse) 탭에서 KMS를 검색한 다음 KMS를 선택합니다.

  5. 보려는 지표의 차원 그룹 이름을 선택합니다.

    예를 들어 SecondsUntilKeyMaterialExpiration 지표의 경우 Per-Key Metrics(키별 지표)를 선택합니다.

  6. 지표 값 그래프의 경우 지표 이름을 선택한 후 Add to graph를 선택합니다. 선 그래프를 값으로 변환하려면 (Line)을 선택한 다음 숫자(Number)를 선택합니다.

Amazon CloudWatch API를 사용하여 지표를 보려면

CloudWatch API를 사용하여 AWS KMS 지표를 보려면 Namespace set to를 사용하여 ListMetrics요청을 보내십시오AWS/KMS. 다음 예에서는 AWS Command Line Interface (AWS CLI)에서 이 작업을 수행하는 방법을 보여줍니다.

$  aws cloudwatch list-metrics --namespace AWS/KMS

{
    "Metrics": [
        {
            "Namespace": "AWS/KMS",
            "MetricName": "SecondsUntilKeyMaterialExpiration",
            "Dimensions": [
                {
                    "Name": "KeyId",
                    "Value": "1234abcd-12ab-34cd-56ef-1234567890ab"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "ExternalKeyStoreThrottle",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Encrypt"
                },
                {
                    "Name": "KeySpec",
                    "Value": "SYMMETRIC_DEFAULT"
                }    
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyCertificateDaysToExpire",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "CertificateName",
                    "Value": "myproxy.xks.example.com"
                }    
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyCredentialAge",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyErrors",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Decrypt"
                },
                {
                    "Name": "XksOperation",
                    "Value": "Decrypt"
                },
                {
                     "Name": "KeySpec",
                     "Value": "SYMMETRIC_DEFAULT"
                },
                {
                    "Name": "ErrorType",
                    "Value": "Retryable errors"
                },
                {
                     "Name": "ExceptionName",
                     "Value": "KMSInvalidStateException"
                }                
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyHsmStates",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "XksProxyHsmState",
                    "Value": "Active"
                }
            ]
        },
        {
            "Namespace": "AWS/KMS",
            "MetricName": "XksProxyLatency",
            "Dimensions": [
                {
                    "Name": "CustomKeyStoreId",
                    "Value": "cks-1234567890abcdef0"
                },
                {
                    "Name": "KmsOperation",
                    "Value": "Decrypt"
                },
                {
                    "Name": "XksOperation",
                    "Value": "Decrypt"
                },
                {
                     "Name": "KeySpec",
                     "Value": "SYMMETRIC_DEFAULT"
                }                
            ]
        }
    ]
}

KMS 키를 모니터링하기 위한 CloudWatch 경보 생성

AWS KMS 지표를 기반으로 Amazon CloudWatch 경보를 생성할 수 있습니다. 지표 값이 경보 구성에 지정된 임계값을 초과하면 경보가 이메일 메시지를 보냅니다. 이 경보는 이메일 메시지를 Amazon Simple Notification Service(Amazon SNS) 주제 또는 Amazon EC2 Auto Scaling 정책에 전송할 수 있습니다. CloudWatch 경보에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon CloudWatch 경보 사용을 참조하십시오. CloudWatch

가져온 키 구성 요소 만료에 대한 경보 생성

SecondsUntilKeyMaterialExpiration지표를 사용하여 KMS 키에 가져온 키 구성 요소가 곧 만료될 때 알려주는 CloudWatch 경보를 생성할 수 있습니다.

키 구성 요소를 KMS 키로 가져올 때 선택적으로 키 구성 요소의 만료 날짜 및 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면 키 구성 요소가 AWS KMS 삭제되고 KMS 키를 사용할 수 없게 됩니다. KMS 키를 다시 사용하려면 키 구성 요소를 다시 가져와야 합니다.

지침은 가져온 키 자료의 만료에 대한 CloudWatch 경보 생성을 참조하세요.

삭제 보류 중인 KMS 키 사용에 대한 경보 생성

KMS 키에 키 삭제를 예약하면 AWS KMS 가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용할 수 있습니다. 대기 기간 동안 사람이나 애플리케이션이 KMS 키를 암호화 작업에 사용하려고 하면 경고하도록 CloudWatch 경보를 구성할 수도 있습니다. 이러한 경보를 통해 알림을 받으면 KMS 키의 삭제를 취소하고 싶을 수 있습니다.

지침은 삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성을 참조하세요.

외부 키 스토어를 모니터링하기 위한 경보 생성

외부 키 스토어 및 외부 키 스토어의 KMS 키에 대한 메트릭을 기반으로 CloudWatch 경보를 생성할 수 있습니다.

예를 들어 외부 키 스토어의 TLS 인증서가 곧 만료될 때 (XksProxyCertificateDaysToExpire), 외부 키 스토어 프록시가 외부 키 관리자 인스턴스가 성능이 저하되거나 사용할 수 없는 상태라고 보고할 때 () 알리도록 CloudWatch 경보를 설정하는 것이 좋습니다. XksProxyHsmStates

지침은 외부 키 스토어 모니터링 단원을 참조하세요.