기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon CloudWatch를 사용하여 KMS 키 모니터링
에서 원시 데이터를 수집하여 읽기 가능하며 실시간에 가까운 지표 AWS KMS 로 처리하는 AWS 서비스인 Amazon CloudWatch를 AWS KMS keys 사용하여를 모니터링할 수 있습니다. 이러한 데이터는 2주간 기록되므로 기록 정보를 보고 KMS 키의 사용 상황과 시간에 따른 변화를 더 잘 이해할 수 있습니다.
Amazon CloudWatch를 사용하여 다음과 같은 중요한 이벤트를 알릴 수 있습니다.
-
KMS 키의 가져온 키 구성 요소의 만료 날짜가 가까워졌습니다.
-
삭제 보류 중인 KMS 키가 계속 사용되고 있습니다.
-
KMS 키의 키 구성 요소가 자동으로 교체되었습니다.
-
KMS 키가 삭제되었습니다.
요청 비율이 할당량 값의 일정 비율에 도달하면 경고하는 Amazon CloudWatch 경보를 생성할 수도 있습니다. 자세한 내용은 AWS 보안 블로그의 Service Quotas 및 Amazon CloudWatch를 사용하여 AWS KMS API 요청 속도 관리를 참조하세요
AWS KMS 지표 및 차원
AWS KMS 는 Amazon CloudWatch 지표를 미리 정의하여 중요한 데이터를 더 쉽게 모니터링하고 경보를 생성할 수 있도록 합니다. AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.
이 섹션에서는 각 AWS KMS 지표와 각 지표의 차원을 나열하고 이러한 지표와 차원을 기반으로 CloudWatch 경보를 생성하기 위한 몇 가지 기본 지침을 제공합니다.
참고
차원 그룹 이름:
Amazon CloudWatch 콘솔에서 지표를 보려면 Metrics(지표) 섹션에서 차원 그룹 이름을 선택합니다. 그런 다음 Metric name(지표 이름)으로 필터링할 수 있습니다. 이 주제에는 각 AWS KMS 지표에 대한 지표 이름과 차원 그룹 이름이 포함됩니다.
AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 사용 가능한 지표 보기를 참조하세요.
주제
SuccessfulRequest
특정 KMS 키에 대한 암호화 작업에 성공한 요청 수입니다. SuccessfulRequest 지표를 사용하면 CloudWatch의 AWS KMS API 사용량에 키 수준 필터링을 적용할 수 있습니다. 이 지표의 Sum 통계는 해당 기간 동안 성공한 총 요청 수를 정의합니다.
이 지표를 사용하여 요청 할당량의 가장 큰 부분을 소비하거나 API 요금에 가장 많이 기여하는 KMS 키를 식별합니다. SuccesfulRequest 지표를 기반으로 CloudWatch 경보를 생성하여 비정상적인 AWS KMS API 사용 패턴을 알릴 수도 있습니다. 이러한 알림은 실수로 요청 할당량을 초과하거나 예상치 못한 요금이 발생할 수 있는 비효율적인 워크플로를 식별하는 데 도움이 될 수 있습니다.
의 차원 SuccessfulRequest
| 차원 | 설명 |
|---|---|
| KeyArn | 각 KMS 키의 값입니다. |
| Operation | 각 AWS KMS API 작업의 값입니다. 이 지표는 암호화 작업에만 적용됩니다. |
ReEncrypt 작업의 경우 지표에는 소스 및 대상 KMS 키 모두에 대한 SuccessfulRequest 차원이 포함됩니다.
| 차원 | 설명 |
|---|---|
| SourceKeyArn | 사이퍼텍스트를 해독한 KMS 키의 값입니다. |
| DestinationKeyArn | 데이터를 다시 암호화하는 KMS 키의 값입니다. |
| Operation | 각 AWS KMS API 작업의 값입니다.이 경우 ReEncrypt입니다. |
SecondsUntilKeyMaterialExpiration
KMS 키에서 가장 먼저 만료되는 가져온 키 구성 요소까지 남은 초 수입니다. 이 지표는 가져온 키 구성 요소(EXTERNAL의 키 구성 요소 오리진)와 만료 날짜가 있는 KMS 키에만 유효합니다.
이 지표를 사용하여 가장 빨리 만료되는 가져온 키 구성 요소가 만료되기까지 남은 시간을 추적합니다. 해당 시간이 정의한 임계값 아래로 떨어지면 새 만료 날짜로 키 구성 요소를 다시 가져와 KMS 키를 계속 사용할 수 있도록 해야 합니다. SecondsUntilKeyMaterialExpiration 지표는 KMS 키에만 해당합니다. 이 지표를 사용하여 향후 생성할 수 있는 KMS 키를 하나 또는 그 이상 모니터링할 수는 없습니다. 이 지표를 모니터링하기 위해 CloudWatch 경보를 생성하는 방법에 대한 도움말은 가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성 섹션을 참조하세요.
이 지표에서 가장 유용한 통계는 Minimum으로서 지정한 통계 기간 중 모든 데이터 포인트에 남아있는 시간이 가장 적다는 것을 의미합니다. 이 지표에서 유일하게 사용되는 유효 단위는 Seconds입니다.
차원 그룹 이름: Per-Key Metrics(키별 지표)
| 차원 | 설명, 관련 AWS |
|---|---|
| KeyId | 각 KMS 키의 값입니다. |
KMS 키에 키 삭제를 예약하면 AWS KMS 가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용할 수 있습니다. 사람이나 애플리케이션이 대기 기간 중에 암호화 작업에서 KMS 키를 사용하려고 할 때 경고하도록 CloudWatch 경보를 구성할 수도 있습니다. 이러한 경보를 통해 알림을 받으면 KMS 키의 삭제를 취소하고 싶을 수 있습니다.
지침은 삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성 섹션을 참조하세요.
CloudHSMKeyStoreThrottle
가 AWS KMS 제한하는 각 키 스토어의 KMS AWS CloudHSM 키에 대한 암호화 작업 요청 수입니다(로 응답ThrottlingException). 이 지표는 AWS CloudHSM 키 스토어에만 적용됩니다.
지표는 키 스토어의 AWS CloudHSM KMS 키와 암호화 작업에 대한 요청에만 적용됩니다. CloudHSMKeyStoreThrottle는 요청 속도가 키 스토어에 대한 사용자 지정 키 스토어 요청 할당량을 초과할 때 AWS KMS 이러한 요청을 제한합니다 AWS CloudHSM . 이 지표에는 AWS CloudHSM 클러스터의 제한도 포함됩니다.
차원 그룹 이름: Keystore Throttle Metrics(키 스토어 제한 지표)
| 차원 | 설명 |
|---|---|
| CustomKeyStoreId | 각 AWS CloudHSM 키 스토어의 값입니다. |
| KmsOperation | 각 AWS KMS API 작업의 값입니다. 이 지표는 키 스토어의 AWS CloudHSM KMS 키에 대한 암호화 작업에만 적용됩니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다. AWS CloudHSM |
ExternalKeyStoreThrottle
가 AWS KMS 제한하는 각 외부 키 스토어의 KMS 키에 대한 암호화 작업 요청 수입니다(로 응답ThrottlingException). 이 지표는 외부 키 스토어에만 적용됩니다.
지표는 외부 키 스토어의 KMS 키와 암호화 작업에 대한 요청에만 적용됩니다. ExternalKeyStoreThrottle는 요청 속도가 외부 키 스토어에 대한 사용자 지정 키 스토어 요청 할당량을 초과할 때 AWS KMS 이러한 요청을 제한합니다. 이 지표에는 외부 키 스토어 프록시 또는 외부 키 관리자에 의한 제한이 포함되지 않습니다.
이 지표를 사용하여 사용자 지정 키 스토어 요청 할당량의 값을 검토하고 조정합니다. 이 지표에서 AWS KMS 가 이러한 KMS 키에 대한 요청을 자주 제한하고 있음을 나타내는 경우 사용자 지정 키 스토어 요청 할당량 값 증가를 요청하는 것이 좋습니다. 도움이 필요한 경우 Service Quotas 사용 설명서의 할당량 증가 요청을 참조하세요.
'매우 높은 요청 빈도로 인해' 또는 '외부 키 스토어 프록시가 제때 응답하지 않아' 요청이 거부되었음을 설명하는 메시지와 함께 KMSInvalidStateException 오류가 매우 자주 발생하는 경우 외부 키 관리자 또는 외부 키 스토어 프록시가 현재 요청 빈도를 따라갈 수 없는 것일 수 있습니다. 가능하면 요청 빈도를 낮춥니다. 사용자 지정 키 스토어 요청 할당량 값의 감소를 요청하는 것도 고려할 수 있습니다. 이 할당량 값을 줄이면 제한(및 ExternalKeyStoreThrottle 지표 값)이 증가할 수 있지만 외부 키 스토어 프록시 또는 외부 키 관리자로 전송되기 전에 초과 요청을 빠르게 AWS KMS 거부하고 있음을 나타냅니다. 할당량 감소를 요청하기 위해서는 AWS Support 센터
차원 그룹 이름: Keystore Throttle Metrics(키 스토어 제한 지표)
| 차원 | 설명 |
|---|---|
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | 각 AWS KMS API 작업의 값입니다. 이 지표는 외부 키 스토어의 KMS 키에 대한 암호화 작업에만 적용됩니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다. |
XksProxyCertificateDaysToExpire
외부 키 스토어 프록시 엔드포인트(XksProxyUriEndpoint)에 대한 TLS 인증서가 만료될 때까지의 일수입니다. 이 지표는 외부 키 스토어에만 적용됩니다.
TLS 인증서의 예정된 만료를 알리는 CloudWatch 경보를 생성하려면 이 지표를 사용합니다. 인증서가 만료되면 AWS KMS 는 외부 키 스토어 프록시와 통신할 수 없습니다. 외부 키 스토어의 KMS 키로 보호되는 모든 데이터는 인증서를 갱신할 때까지 액세스할 수 없습니다.
인증서 경보는 암호화된 리소스에 액세스하지 못하게 할 수 있는 인증서 만료를 방지합니다. 인증서가 만료되기 전에 인증서를 갱신할 시간을 조직에 제공하도록 경보를 설정합니다.
차원 그룹 이름: XKS Proxy Certificate Metrics(XKS 프록시 인증서 지표)
| 차원 | 설명 |
|---|---|
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| CertificateName | TLS 인증서의 주체 이름(CN)입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 외부 키 저장소 모니터링 섹션을 참조하세요.
XksProxyCredentialAge
현재 외부 키 스토어 프록시 인증 자격 증명(XksProxyAuthenticationCredential)이 외부 키 스토어와 연결된 이후의 일수입니다. 이 수는 외부 키 스토어를 만들거나 업데이트하는 과정에서 인증 자격 증명을 입력할 때 시작됩니다. 이 지표는 외부 키 스토어에만 적용됩니다.
이 값은 인증 자격 증명의 사용 기간을 알리도록 설계되었습니다. 그러나 외부 키 스토어 프록시에 인증 자격 증명을 생성할 때가 아니라 외부 키 스토어에 자격 증명을 연결할 때 계산을 시작하기 때문에 프록시의 자격 증명 사용 기간에 대한 정확한 지표가 아닐 수 있습니다.
이 지표를 사용하여 외부 키 스토어 프록시 인증 자격 증명을 교체하라고 알려주는 CloudWatch 경보를 생성합니다.
차원 그룹 이름: Per-Keystore Metrics(키 스토어별 지표)
| 차원 | 설명 |
|---|---|
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 외부 키 저장소 모니터링 섹션을 참조하세요.
XksProxyErrors
외부 키 스토어 프록시에 대한 AWS KMS 요청과 관련된 예외 수입니다. 이 수에는 외부 키 스토어 프록시가 로 반환하는 예외 AWS KMS 와 외부 키 스토어 프록시가 250밀리초 제한 시간 간격 AWS KMS 내에 응답하지 않을 때 발생하는 제한 시간 오류가 포함됩니다. 이 지표는 외부 키 스토어에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어에서 KMS 키의 오류율을 추적합니다. 이 지표는 가장 자주 발생하는 오류를 표시하므로 엔지니어링 작업의 우선 순위를 지정할 수 있습니다. KMS 키에서 생성하는 재시도할 수 없는 오류율이 높으면 외부 키 스토어의 구성에 문제가 있는 것일 수 있습니다. 외부 키 스토어 구성을 보려면 외부 키 저장소 보기 섹션을 참조하세요. 외부 키 스토어 설정을 편집하려면 외부 키 저장소 속성 편집 섹션을 참조하세요.
차원 그룹 이름: XKS Proxy Error Metrics(XKS 프록시 오류 지표)
| 차원 | 설명 |
|---|---|
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
| XksOperation | 각 외부 키 스토어 프록시 API 작업의 값입니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다. |
| ErrorType | 값:
|
| ExceptionName |
값:
|
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 외부 키 저장소 모니터링 섹션을 참조하세요.
XksExternalKeyManagerStates
각 상태(Active, Degraded 및 Unavailable)의 외부 키 관리자 인스턴스 수입니다. 이 지표에 대한 정보는 각 외부 키 스토어와 연결된 외부 키 스토어 프록시에서 가져옵니다. 이 지표는 외부 키 스토어에만 적용됩니다.
다음은 외부 키 스토어와 연결된 외부 키 관리자 인스턴스의 상태입니다. 각 외부 키 스토어 프록시는 서로 다른 표시기를 사용하여 외부 키 관리자의 상태를 측정할 수 있습니다. 자세한 내용은 외부 키 스토어 프록시의 설명서를 참조하세요.
-
Active: 외부 키 관리자가 정상입니다. -
Degraded: 외부 키 관리자가 비정상이지만 여전히 트래픽을 처리할 수 있습니다. -
Unavailable: 외부 키 관리자가 트래픽을 처리할 수 없습니다.
이 지표를 사용하여 성능이 저하되고 사용할 수 없는 외부 키 관리자 인스턴스에 대해 경고하는 CloudWatch 경보를 생성합니다. 각 상태의 외부 키 관리자 인스턴스를 확인하려면 외부 키 스토어 프록시 로그를 참조하세요.
차원 그룹 이름: XKS External Key Manager Metrics(XKS 외부 키 관리자 지표)
| 차원 | 설명 |
|---|---|
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| XksExternalKeyManagerState | 각 상태에 대한 값입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 외부 키 저장소 모니터링 섹션을 참조하세요.
XksProxyLatency
외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 시간(밀리초)입니다. 요청 시간이 초과된 경우 기록된 값은 250밀리초 제한 시간입니다. 이 지표는 외부 키 스토어에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어 프록시와 외부 키 관리자의 성능을 평가합니다. 예를 들어, 프록시의 암호화 및 복호화 작업 시간이 자주 초과되는 경우 외부 프록시 관리자에게 문의하세요.
느린 응답은 외부 키 관리자가 현재 요청 트래픽을 처리할 수 없음을 나타낼 수도 있습니다.는 외부 키 관리자가 초당 최대 1,800개의 암호화 작업 요청을 처리할 수 있도록 AWS KMS 권장합니다. 외부 키 관리자가 초당 1,800개의 요청을 처리할 수 없는 경우 사용자 지정 키 스토어에서 KMS 키에 대한 요청 할당량 감소를 요청하는 것이 좋습니다. 외부 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 요청은 외부 키 스토어 프록시 또는 외부 키 관리자에 의해 처리되고 나중에 거부되는 대신 제한 예외와 함께 빠르게 실패합니다.
차원 그룹 이름: XKS Proxy Latency Metrics(XKS 프록시 지연 시간 지표)
| 차원 | 설명 |
|---|---|
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
| XksOperation | 각 외부 키 스토어 프록시 API 작업의 값입니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 키 사양은 SYMMETRIC_DEFAULT입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 외부 키 저장소 모니터링 단원을 참조하세요.
