Amazon CloudWatch를 사용한 모니터링
AWS KMS에서 원시 데이터를 수집하여 읽기 가능하며 실시간에 가까운 지표로 처리하는 AWS 서비스인 Amazon CloudWatch를 통해 AWS KMS keys를 모니터링할 수 있습니다. 이러한 데이터는 2주간 기록되므로 기록 정보를 보고 KMS 키의 사용 상황과 시간에 따른 변화를 더 잘 이해할 수 있습니다.
Amazon CloudWatch를 사용하여 다음과 같은 중요한 이벤트를 알릴 수 있습니다.
-
KMS 키의 가져온 키 구성 요소의 만료 날짜가 가까워졌습니다.
-
삭제 보류 중인 KMS 키가 계속 사용되고 있습니다.
-
KMS 키의 키 구성 요소가 자동으로 교체되었습니다.
-
KMS 키가 삭제되었습니다.
요청 비율이 할당량 값의 일정 비율에 도달하면 경고하는 Amazon CloudWatch 경보를 생성할 수도 있습니다. 자세한 내용은 AWS 보안 블로그의 Service Quotas 및 Amazon CloudWatch를 사용하여 AWS KMS API 요청 비율 관리
AWS KMS 지표 및 차원
KMS 키로 키 구성 요소를 가져오고 만료되도록 설정하면 AWS KMS가 CloudWatch로 지표와 차원을 전송합니다. AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.
AWS KMS 지표
AWS/KMS
네임스페이스에는 다음 지표가 포함되어 있습니다.
- SecondsUntilKeyMaterialExpiration
-
이 지표는 KMS 키의 가져온 키 구성 요소가 만료될 때까지 남은 시간(초)을 추적합니다. 이 지표는 오리진이
EXTERNAL
이고 만료 날짜가 지정된 KMS 키에만 유효합니다.이 지표는 가져온 키 구성 요소가 만료될 때까지 남아있는 시간을 추적하는 데 사용됩니다. 시간이 정의한 임계값보다 작은 경우에는 새로운 만료 날짜로 키 구성 요소를 다시 가져오는 등 원하는 작업을 할 수 있습니다. 만료 날짜가 가까워지면 이를 알리는 CloudWatch 경보를 생성할 수 있습니다.
SecondsUntilKeyMaterialExpiration
지표는 KMS 키에만 해당합니다. 이 지표를 사용하여 향후 생성할 수 있는 KMS 키를 하나 또는 그 이상 모니터링할 수는 없습니다.이 지표에서 가장 유용한 통계는
Minimum
으로서 지정한 통계 기간 중 모든 데이터 포인트에 남아있는 시간이 가장 적다는 것을 의미합니다. 이 지표에서 유일하게 사용되는 유효 단위는Seconds
입니다.
AWS KMS 지표의 차원
AWS KMS 지표는 AWS/KMS
네임스페이스를 사용하며, 유효한 차원은 KeyId
가 유일합니다. 이 차원을 사용하여 특정 KMS 키 또는 KMS 키 집합에 대한 지표 데이터를 확인할 수 있습니다.
AWS KMS 지표는 어떻게 봅니까?
AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.
CloudWatch 콘솔을 사용하여 지표 보기
https://console.aws.amazon.com/cloudwatch/
에서 CloudWatch 콘솔을 엽니다. -
필요한 경우 리전을 변경합니다. 탐색 모음에서 AWS 리소스가 상주하는 리전을 선택합니다.
-
탐색 창에서 지표(Metrics), 모든 지표(All metrics)를 선택합니다.
-
찾아보기(Browse) 탭에서
KMS
를 검색한 다음 KMS를 선택합니다. -
키별 지표(Per-Key Metrics)를 선택하여 영향을 받는 각 KMS 키의 지표 및 차원을 확인합니다.
영향을 받은 KMS 키만 표시됩니다. 예를 들어
SecondsUntilKeyMaterialExpiration
지표의 경우 만료되는 가져온 키 구성 요소가 있는 KMS 키만 목록에 포함됩니다. 지표 값 그래프의 경우 지표 이름을 선택한 후
Add to graph
를 선택합니다. 선 그래프를 값으로 변환하려면 선(Line)을 선택한 다음 숫자(Number)를 선택합니다.
Amazon CloudWatch API를 사용하여 지표를 보려면
CloudWatch API를 사용하여 AWS KMS 지표를 보려면 Namespace
가 AWS/KMS
로 설정된 ListMetrics 요청을 보냅니다. 다음 예에서는 AWS Command Line Interface(AWS CLI)
$
aws cloudwatch list-metrics --namespace AWS/KMS
{ "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ] }
KMS 모니터링을 위한 CloudWatch 경보 생성
AWS KMS 지표를 기반으로 Amazon CloudWatch 경보를 생성할 수 있습니다. 지표 값이 경보 구성에 지정된 임계값을 초과하면 경보가 이메일 메시지를 보냅니다. 이 경보는 이메일 메시지를 Amazon Simple Notification Service(Amazon SNS) 주제 또는 Amazon EC2 Auto Scaling 정책에 전송할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 Amazon CloudWatch 경보 사용을 참조하세요.
가져온 키 구성 요소 만료에 대한 경보 생성
가져온 키 구성 요소의 만료일이 가까워지면 SecondsUntilKeyMaterialExpiration 지표를 사용해 이를 알리는 CloudWatch 경보를 생성할 수 있습니다.
키 구성 요소를 KMS 키로 가져올 때 선택적으로 키 구성 요소의 만료 날짜 및 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면, AWS KMS가 키 구성 요소를 삭제하고 KMS 키를 사용할 수 없게 됩니다. KMS 키를 다시 사용하려면 키 구성 요소를 다시 가져와야 합니다.
지침은 가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성 섹션을 참조하세요.
삭제 보류 중인 KMS 키 사용에 대한 경보 생성
KMS 키에 키 삭제를 예약하면 AWS KMS가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용할 수 있습니다. 사람이나 애플리케이션이 대기 기간 중에 암호화 작업에서 KMS 키를 사용하려고 할 때 경고하도록 CloudWatch 경보를 구성할 수도 있습니다. 이러한 경보를 통해 알림을 받으면 KMS 키의 삭제를 취소하고 싶을 수 있습니다.
지침은 삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성 단원을 참조하세요.