AWS Key Management Service의 로깅 및 모니터링

모니터링은 AWS KMS에서 AWS KMS keys의 가용성, 상태 및 사용량을 이해하는 데 중요한 부분입니다. 모니터링은 AWS 솔루션의 보안, 안정성, 가용성 및 성능을 유지하는 데 도움이 됩니다. AWS는 KMS 키를 모니터링하기 위한 여러 도구를 제공합니다.

AWS CloudTrail 로그

AWS KMS API 작업에 대한 모든 호출은 AWS CloudTrail 로그에 이벤트로 캡처됩니다. 이러한 로그는 AWS KMS 콘솔의 모든 API 호출과 AWS KMS 및 기타 AWS 서비스의 호출을 기록합니다. 다른 AWS 계정 계정에서 KMS 키를 사용하기 위한 호출과 같은 계정 간 API 호출은 두 계정의 CloudTrail 로그에 기록됩니다.

문제 해결 또는 감사 시 로그를 사용하여 KMS 키의 수명 주기를 재구성할 수 있습니다. 암호화 작업에서 KMS 키의 관리 및 사용을 볼 수도 있습니다. 자세한 설명은 AWS CloudTrail을 사용하여 AWS KMS API 직접 호출 로깅 섹션을 참조하세요.

아마존 CloudWatch 로그

AWS CloudTrail 및 기타 소스의 로그 파일을 모니터링, 저장 및 액세스합니다. 자세한 내용은 Amazon CloudWatch 사용 설명서를 참조하십시오.

F의 AWS KMS 경우 KMS 키 및 KMS 키가 보호하는 리소스와 관련된 문제를 방지하는 데 도움이 되는 유용한 정보를 CloudWatch 저장합니다. 자세한 설명은 아마존을 통한 모니터링 CloudWatch 섹션을 참조하세요.

아마존 EventBridge

AWS KMSKMS 키가 교체 또는 삭제되거나 KMS 키로 가져온 키 자료가 만료될 때 EventBridge 이벤트를 생성합니다. AWS KMS 이벤트(API 작업)를 검색하고 하나 이상의 대상 함수 또는 스트림으로 라우팅하여 상태 정보를 캡처합니다. 자세한 내용은 Amazon EventBridge 사용 설명서를 참조하십시오아마존을 통한 모니터링 EventBridge.

아마존 CloudWatch 메트릭스

CloudWatch 지표를 사용하여 KMS 키를 모니터링할 수 있습니다. 지표는 원시 데이터를 수집하여 성능 AWS KMS 지표로 처리합니다. 데이터는 2주 간격으로 기록되므로 현재 및 과거 정보의 추세를 볼 수 있습니다. 이렇게 하면 KMS 키가 사용되는 방식과 시간이 지남에 따라 KMS 키의 사용이 어떻게 변경되는지 이해할 수 있습니다. CloudWatch 측정치를 사용하여 KMS 키를 모니터링하는 방법에 대한 자세한 내용은 을 참조하십시오. AWS KMS 지표 및 차원

아마존 CloudWatch 알람

지정한 기간 동안 단일 지표가 변경되는 것을 관찰합니다. 그런 다음 여러 기간 동안 임계값과 관련된 메트릭 값을 기반으로 작업을 수행합니다. 예를 들어, 누군가가 암호화 작업에서 삭제되도록 예정된 KMS 키를 사용하려고 할 때 트리거되는 CloudWatch 경보를 생성할 수 있습니다. 이것은 KMS 키가 여전히 사용 중이며 삭제해서는 안 됨을 나타냅니다. 자세한 설명은 삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성 섹션을 참조하세요.

AWS Security Hub

AWS Security Hub을 사용하여 AWS KMS 사용량을 모니터링하여 보안 업계 표준 및 모범 사례를 준수하는지 확인할 수 있습니다. Security Hub는 보안 제어를 사용하여 리소스 구성 및 보안 표준을 평가하여 다양한 규정 준수 프레임워크를 준수할 수 있도록 지원합니다. 자세한 내용은 AWS Security Hub 사용 설명서의 AWS Key Management Service 제어를 참조하세요.