AWS Key Management Service의 로깅 및 모니터링 - AWS Key Management Service

AWS Key Management Service의 로깅 및 모니터링

모니터링은 AWS KMS에서 AWS KMS keys의 가용성, 상태 및 사용량을 이해하는 데 중요한 부분입니다. 모니터링은 AWS 솔루션의 보안, 안정성, 가용성 및 성능을 유지하는 데 도움이 됩니다. AWS는 KMS 키를 모니터링하기 위한 여러 도구를 제공합니다.

AWS CloudTrail 로그

AWS KMS API 작업에 대한 모든 호출은 AWS CloudTrail 로그에 이벤트로 캡처됩니다. 이러한 로그는 AWS KMS 콘솔의 모든 API 호출과 AWS KMS 및 기타 AWS 서비스의 호출을 기록합니다. 다른 AWS 계정에서 KMS 키를 사용하기 위한 호출과 같은 교차 계정 API 호출은 두 계정의 CloudTrail 로그에 기록됩니다.

문제 해결 또는 감사 시 로그를 사용하여 KMS 키의 수명 주기를 재구성할 수 있습니다. 암호화 작업에서 KMS 키의 관리 및 사용을 볼 수도 있습니다. 자세한 정보는 AWS CloudTrail를 사용하여 AWS KMS API 호출 로깅 단원을 참조하십시오.

Amazon CloudWatch Logs

AWS CloudTrail 및 기타 소스의 로그 파일을 모니터링, 저장 및 액세스합니다. 자세한 내용은 Amazon CloudWatch 사용 설명서를 참조하세요.

AWS KMS의 경우 CloudWatch는 가져온 키 구성 요소에 사용되는 키 구성 요소가 만료될 때까지 보조 구성 요소를 저장합니다. 자세한 정보는 Amazon CloudWatch를 사용한 모니터링 단원을 참조하십시오.

Amazon CloudWatch Events

AWS KMS는 KMS 키가 교체 또는 삭제되거나 KMS 키에서 가져온 키 구성 요소가 만료될 때 CloudWatch 이벤트를 생성합니다. AWS KMS 이벤트(API 작업)를 검색하고 하나 이상의 대상 함수 또는 스트림으로 라우팅하여 상태 정보를 캡처합니다. 자세한 내용은 Amazon CloudWatch Events 사용 설명서AWS KMS 이벤트 단원을 참조하십시오.

Amazon CloudWatch 지표

AWS KMS에서 원시 데이터를 수집하고 성능 지표로 처리하는 CloudWatch 지표를 사용하여 KMS 키를 모니터링할 수 있습니다. 데이터는 2주 간격으로 기록되므로 현재 및 과거 정보의 추세를 볼 수 있습니다. 이렇게 하면 KMS 키가 사용되는 방식과 시간이 지남에 따라 KMS 키의 사용이 어떻게 변경되는지 이해할 수 있습니다. CloudWatch 지표를 사용하여 KMS 키를 모니터링하는 방법에 대한 자세한 내용은 AWS KMS 지표 및 차원 단원을 참조하십시오.

Amazon CloudWatch 경보

지정한 기간 동안 단일 지표가 변경되는 것을 관찰합니다. 그런 다음 여러 기간 동안 임계값과 관련된 메트릭 값을 기반으로 작업을 수행합니다. 예를 들어 누군가가 암호화 작업에서 삭제되도록 예약된 KMS 키를 사용하려고 할 때 트리거되는 CloudWatch 경보를 생성할 수 있습니다. 이것은 KMS 키가 여전히 사용 중이며 삭제해서는 안 됨을 나타냅니다. 자세한 정보는 삭제 보류 중인 AWS KMS key의 사용량을 감지하는 Amazon CloudWatch 경보 생성 단원을 참조하십시오.