As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Monitoramento com a Amazon CloudWatch
Você pode monitorar seu AWS KMS keys uso da Amazon CloudWatch, um AWS serviço que coleta e processa dados brutos AWS KMS em métricas legíveis e quase em tempo real. Esses dados são registrados por um período de duas semanas, para que você possa acessar informações históricas e obter um melhor entendimento do uso das suas chaves do KMS e das suas alterações ao longo do tempo.
Você pode usar CloudWatch a Amazon para alertá-lo sobre eventos importantes, como os seguintes.
-
O material da chave importada em uma chave do KMS está próximo da data de validade.
-
Uma chave do KMS com exclusão pendente ainda está sendo usada.
-
O material de chave em uma chave do KMS foi alternado automaticamente.
-
Uma chave do KMS foi excluída.
Você também pode criar um CloudWatch alarme da Amazon que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch
Tópicos
Métricas e dimensões do AWS KMS
AWS KMSpredefine CloudWatch as métricas da Amazon para facilitar o monitoramento de dados críticos e a criação de alarmes. Você pode visualizar as AWS KMS métricas usando a AWS Management Console e a CloudWatch API da Amazon.
Esta seção lista cada AWS KMS métrica e as dimensões de cada métrica e fornece algumas orientações básicas para criar CloudWatch alarmes com base nessas métricas e dimensões.
nota
Nome do grupo de dimensões:
Para visualizar uma métrica no CloudWatch console da Amazon, na seção Métricas, selecione o nome do grupo de dimensões. Em seguida, é possível filtrar pelo nome da métrica. O tópico inclui o nome da métrica e o nome do grupo de dimensões para cada métrica do AWS KMS.
Tópicos
SecondsUntilKeyMaterialExpiration
O número de segundos restantes até que o material de chave importado em uma chave do KMS expire. Essa métrica só é válida para chaves do KMS com material de chave importado (uma origem de material de chave de EXTERNAL) e data de validade.
Use essa métrica para acompanhar o tempo restante até a expiração do material de chave importado. Quando esse tempo estiver abaixo de um limite definido, convém reimportar o material de chave com uma nova data de validade. A métrica SecondsUntilKeyMaterialExpiration é específica para uma chave do KMS. Você não pode usar essa métrica para monitorar várias chaves do KMS ou chaves do KMS que você possa vir a criar futuramente. Para obter ajuda na criação de um CloudWatch alarme para monitorar essa métrica, consulteCriação de um CloudWatch alarme para expiração do material chave importado.
A estatística mais útil para essa métrica é Minimum, que informa o menor tempo restante para todos os pontos de dados no período estatístico especificado. A única unidade válida para essa métrica é Seconds.
Nome do grupo de dimensões: métricas por chave
Dimensões do SecondsUntilKeyMaterialExpiration | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Dimensão | Descrição; relacionado à AWS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| KeyId | Valor para cada chave do KMS. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ExternalKeyStoreThrottle
O número de solicitações de operações de criptografia em chaves do KMS em cada armazenamento de chaves externas que o AWS KMS restringe (responde com ThrottlingException). Essa métrica se aplica apenas aos armazenamentos de chaves externas.
A ExternalKeyStoreThrottle métrica se aplica somente às chaves KMS em um armazenamento de chaves externo e somente às solicitações de operações criptográficas e da DescribeKeyoperação. AWS KMSlimita essas solicitações quando a taxa de solicitação excede a cota de solicitações de armazenamento de chaves personalizadas para seu armazenamento de chaves externo. Essa métrica não inclui o controle de utilização por seu proxy de armazenamento de chaves externas ou gerenciador de chaves externas.
Use essa métrica para revisar e ajustar o valor da cota de solicitação de armazenamento de chaves personalizado. Se essa métrica indicar que o AWS KMS está frequentemente realizando o controle de utilização de suas solicitações para essas chaves do KMS, considere solicitar um aumento no valor da cota de solicitação de armazenamento de chaves personalizadas. Para obter ajuda, consulte Requesting a quota increase (Solicitar um aumento de cota) no Guia do usuário do Service Quotas.
Se você estiver recebendo erros KMSInvalidStateException com muita frequência com uma mensagem que explica que a solicitação foi rejeitada “due to a very high request rate” (devido a uma taxa de solicitação muito alta) ou que a solicitação foi rejeitada “because the external key store proxy did not respond in time” (porque o proxy de armazenamento de chaves externas não respondeu a tempo), isso pode indicar que o gerenciador de chaves externas ou o proxy de armazenamento de chaves externas não consegue acompanhar a taxa de solicitação atual. Se possível, reduza a taxa de solicitação. Considere também solicitar uma redução no valor da cota de solicitação de armazenamento de chaves personalizado. Diminuir esse valor de cota poderá aumentar o controle de utilização (e o valor da métrica ExternalKeyStoreThrottle), mas indica que o AWS KMS está rejeitando solicitações em excesso rapidamente antes de serem enviadas ao proxy de armazenamento de chaves externas ou ao gerenciador de chaves externas. Para solicitar uma redução de cota, acesse o AWS Support Center
Nome do grupo de dimensões: métrica de controle de utilização de armazenamento de chaves
| Dimensão | Descrição |
|---|---|
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor para cada operação de API do AWS KMS. Essa métrica se aplica somente às operações de criptografia e à operação DescribeKey em chaves do KMS em um armazenamento de chaves externas. |
| KeySpec | Valor para cada tipo de chave do KMS. A única especificação de chave compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC_DEFAULT. |
XksProxyCertificateDaysToExpire
O número de dias até o certificado TLS do endpoint do proxy de armazenamento de chaves externas (XksProxyUriEndpoint) expirar. Essa métrica se aplica apenas aos armazenamentos de chaves externas.
Use essa métrica para criar um CloudWatch alarme que o notifique sobre a próxima expiração do seu certificado TLS. Quando o certificado expira, o AWS KMS não consegue se comunicar com o proxy de armazenamento de chaves externas. Todos os dados protegidos por chaves do KMS em seu armazenamento de chaves externas ficarão inacessíveis até você renovar o certificado.
Um alarme do certificado evita que a expiração do certificado impeça você de acessar os recursos criptografados. Defina o alarme para dar tempo para a sua organização renovar o certificado antes que ele expire.
Nome do grupo de dimensões: métricas de certificado do proxy XKS
| Dimensão | Descrição |
|---|---|
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| CertificateName | Nome (CN) da entidade no certificado TLS. |
XksProxyCredentialAge
O número de dias desde que a credencial de autenticação do proxy (XksProxyAuthenticationCredential) atual do armazenamento de chaves externas foi associada ao armazenamento de chaves externas. Essa contagem começa quando você insere a credencial de autenticação como parte da criação ou atualização do armazenamento de chaves externas. Essa métrica se aplica apenas aos armazenamentos de chaves externas.
Esse valor foi criado para lembrar você sobre a idade da credencial de autenticação. No entanto, como começamos a contagem quando você associa a credencial ao armazenamento de chaves externas, não quando você cria sua credencial de autenticação em seu proxy de armazenamento de chaves externas, isso pode não ser um indicador preciso da idade da credencial no proxy.
Use essa métrica para criar um CloudWatch alarme que lembre você de alternar sua credencial de autenticação de proxy do armazenamento de chaves externo.
Nome do grupo de dimensões: métricas por armazenamento de chaves
| Dimensão | Descrição |
|---|---|
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
XksProxyErrors
O número de exceções relacionadas às solicitações do AWS KMS ao proxy de armazenamento de chaves externas. Essa contagem inclui exceções às quais o proxy de armazenamento de chaves externas retorna ao AWS KMS e os erros de tempo limite que ocorrem quando o proxy de armazenamento de chaves externas não responde ao AWS KMS dentro do intervalo de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos armazenamentos de chaves externas.
Use essa métrica para rastrear a taxa de erro das chaves do KMS no armazenamento de chaves externas. Ela revela os erros mais frequentes para que você possa priorizar seus esforços de engenharia. Por exemplo, chaves do KMS que estão gerando altas taxas de erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Para visualizar a configuração do armazenamento de chaves externas, consulte Visualizar um armazenamento de chaves externas. Para editar suas configurações de armazenamento de chaves externas, consulte Editar propriedades do armazenamento de chaves externas.
Nome do grupo de dimensões: métricas de erro do proxy XKS
| Dimensão | Descrição |
|---|---|
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor para cada operação de API do AWS KMS que gerou uma solicitação para o proxy XKS. |
| XksOperation | Valor para cada operação de API do proxy de armazenamento de chaves externas. |
| KeySpec | Valor para cada tipo de chave do KMS. A única especificação de chave compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC_DEFAULT. |
| ErrorType | Valores:
|
| ExceptionName |
Valores:
|
XksExternalKeyManagerStates
Uma contagem do número de instâncias do gerenciador de chaves externas em cada um dos seguintes estados de integridade: Active, Degraded e Unavailable. As informações dessa métrica vêm do proxy de armazenamento de chaves externas associado a cada armazenamento de chaves externas. Essa métrica se aplica apenas aos armazenamentos de chaves externas.
Veja a seguir os estados de integridade das instâncias externas do gerenciador de chaves associadas a um armazenamento de chaves externas. Cada proxy de armazenamento de chaves externas pode usar indicadores diferentes para medir o estado de integridade do gerenciador de chaves externas. Para obter detalhes, consulte a documentação do proxy de armazenamento de chaves externas.
-
Active: o gerenciador de chaves externas está íntegro. -
Degraded: o gerenciador de chaves externas não está íntegro, mas ainda pode atender ao tráfego -
Unavailable: o gerenciador de chaves externas não pode atender ao tráfego.
Use essa métrica para criar um CloudWatch alarme que alerta você sobre instâncias do gerenciador de chaves externo degradadas e indisponíveis. Para determinar quais instâncias externas do gerenciador de chaves estão em cada estado, consulte seus logs de proxy do armazenamento de chaves externas.
Nome do grupo de dimensões: métrica do gerenciados de chaves externas XKS
| Dimensão | Descrição |
|---|---|
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| XksExternalKeyManagerState | Valor para cada estado de integridade. |
XksProxyLatency
O número de milissegundos necessários para que um proxy de armazenamento de chaves externas responda a uma solicitação do AWS KMS. Se a solicitação atingiu o tempo limite, o valor registrado é o limite de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos armazenamentos de chaves externas.
Use essas métrica para avaliar a performance do proxy de armazenamento de chaves externas e do gerenciador de chaves externas. Por exemplo, se o proxy estiver frequentemente atingindo o tempo limite nas operações de criptografia e descriptografia, consulte o administrador do proxy externo.
Respostas lentas também podem indicar que seu gerenciador de chaves externas não consegue lidar com o tráfego de solicitações atual. O AWS KMS recomenda que seu gerenciador de chaves externas seja capaz de lidar com até 1.800 solicitações de operações de criptografia por segundo. Se o gerenciador de chaves externas não conseguir lidar com a taxa de 1800 solicitações por segundo, considere solicitar uma redução na cota de solicitações de chaves do KMS em um armazenamento de chaves personalizado. As solicitações de operações de criptografia que usam as chaves do KMS em seu armazenamento de chaves externas se anteciparão à falha com uma exceção de controle de utilização, em vez de serem processadas e posteriormente rejeitadas pelo proxy de armazenamento de chaves externas ou pelo gerenciador de chaves externas.
Nome do grupo de dimensões: métricas de latência do proxy XKS
| Dimensão | Descrição |
|---|---|
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor para cada operação de API do AWS KMS que gerou uma solicitação para o proxy XKS. |
| XksOperation | Valor para cada operação de API do proxy de armazenamento de chaves externas. |
| KeySpec | Valor para cada tipo de chave do KMS. A única especificação de chave compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC_DEFAULT. |
Visualizar métricas do AWS KMS
Você pode visualizar as AWS KMS métricas usando a AWS Management Console e a CloudWatch API da Amazon.
Para visualizar métricas usando o CloudWatch console
Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/
. -
Se necessário, altere a região. Na barra de navegação, selecione a região em que os seus recursos da AWS residem.
-
No painel de navegação, escolha Métricas, Todas as métricas.
-
Na guia Browse (Procurar), pesquise por
KMSe escolha KMS. -
Escolha o nome do grupo de dimensões da métrica que você deseja visualizar.
Por exemplo, para a métrica
SecondsUntilKeyMaterialExpiration, escolha Per-Key Metrics (Métricas por chave). -
Para um gráfico do valor da métrica, escolha o nome da métrica e
Add to graph(Adicionar ao gráfico). Para converter o gráfico de linhas em um valor, escolha Line (Linha) e, em seguida, escolha Number (Número).
Para visualizar métricas usando a CloudWatch API da Amazon
Para visualizar AWS KMS métricas usando a CloudWatch API, envie uma ListMetricssolicitação com Namespace set toAWS/KMS. O exemplo a seguir mostra como fazer isso com a AWS Command Line Interface (AWS CLI)
$aws cloudwatch list-metrics --namespace AWS/KMS{ "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] }, { "Namespace": "AWS/KMS", "MetricName": "ExtenalKeyStoreThrottle", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Encrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCertificateDaysToExpire", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "CertificateName", "Value": "myproxy.xks.example.com" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCredentialAge", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyErrors", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" }, { "Name": "ErrorType", "Value": "Retryable errors" }, { "Name": "ExceptionName", "Value": "KMSInvalidStateException" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyHsmStates", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "XksProxyHsmState", "Value": "Active" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyLatency", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] } ] }
Criação de CloudWatch alarmes para monitorar chaves KMS
Você pode criar um CloudWatch alarme da Amazon com base em uma AWS KMS métrica. O alarme envia uma mensagem de e-mail quando um valor de métrica exceder um limite especificado na configuração do alarme. O alarme pode enviar a mensagem de e-mail para um tópico do Amazon Simple Notification Service (Amazon SNS) ou uma política do Amazon EC2 Auto Scaling. Para obter informações detalhadas sobre CloudWatch alarmes, consulte Usando CloudWatch alarmes da Amazon no Guia do usuário da Amazon CloudWatch
Criar um alarme para material de chave importado prestes a expirar
Você pode usar a SecondsUntilKeyMaterialExpirationmétrica para criar um CloudWatch alarme que o notifique quando o material de chave importado em uma chave KMS está prestes a expirar.
Ao importar o material de chave para uma chave do KMS, é possível especificar opcionalmente uma data e hora quando o material de chave expira. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS novamente, você deve reimportar o material de chave.
Para obter instruções, consulte Criação de um CloudWatch alarme para expiração do material chave importado.
Criar um alarme para o uso de chaves do KMS que estejam com exclusão pendente
Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. É possível usar o período de espera para garantir que não precisa mais da chave do KMS agora ou no futuro. Você também pode configurar um CloudWatch alarme para avisá-lo se uma pessoa ou aplicativo tentar usar a chave KMS em uma operação criptográfica durante o período de espera. Se você receber uma notificação de um alarme desse tipo, poderá cancelar a exclusão da chave do KMS.
Para obter instruções, consulte Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente.
Criar um alarme para monitorar um armazenamento de chaves externas
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos.
Por exemplo, recomendamos que você defina um CloudWatch alarme para notificá-lo quando o certificado TLS do seu armazenamento de chaves externo estiver prestes a expirar (XksProxyCertificateDaysToExpire), quando você e quando o proxy do armazenamento de chaves externo relatar que suas instâncias externas do gerenciador de chaves estão em um estado degradado ou indisponível (). XksProxyHsmStates
Para obter instruções, consulte Monitorar um armazenamento de chaves externas.
