Monitorar com o Amazon CloudWatch - AWS Key Management Service

Monitorar com o Amazon CloudWatch

É possível monitorar o AWS KMS keys usando o Amazon CloudWatch, que coleta e processa dados brutos do AWS KMS e os transforma em métricas legíveis quase em tempo real. Esses dados são registrados por um período de duas semanas, para que você possa acessar informações históricas e obter um melhor entendimento do uso das suas chaves do KMS e das suas alterações ao longo do tempo. Para obter mais informações sobre o Amazon CloudWatch, consulte o Manual do usuário do Amazon CloudWatch.

Você pode usar o Amazon CloudWatch para obter alertas para eventos importantes, como os seguintes.

  • O material da chave importada em uma chave do KMS está próximo da data de validade.

  • Uma chave do KMS com exclusão pendente ainda está sendo usada.

  • O material de chave em uma chave do KMS foi alternado automaticamente.

  • Uma chave do KMS foi excluída.

Você também pode criar um alerta do Amazon CloudWatch para ser informado quando a taxa de solicitação atinge uma determinada porcentagem de um valor de cota. Para obter detalhes, consulte Gerenciar taxas de solicitação de API do AWS KMS usando o Service Quotas e o Amazon CloudWatch no Blog de segurança da AWS.

AWS KMSMétricas e dimensões do

Ao importar material de chave para uma chave do KMS e defini-lo para expirar, o AWS KMS envia métricas e dimensões ao CloudWatch. Você pode visualizar as métricas do AWS KMS usando o AWS Management Console e a API do Amazon CloudWatch.

AWS KMSMétricas do

O namespace AWS/KMS inclui as métricas a seguir.

secondSuntilKeyMaterialExpiration

Essa métrica acompanha o número de segundos restantes até a validade do material de chave importado. Ela é válida apenas para chaves do KMS cuja origem é EXTERNAL e cujo material de chave é ou foi definido para validade. A estatística mais útil para essa métrica é Minimum, que informa o menor tempo restante para todos os pontos de dados no período estatístico especificado. A única unidade válida para essa métrica é Seconds.

Use essa métrica para acompanhar o tempo restante até a validade do material de chave importada. Quando esse tempo estiver abaixo de um limite definido, talvez você queira tomar medidas específicas, como reimportar o material de chave com uma nova data de validade. É possível criar um alarme do CloudWatch para notificar você quando isso acontecer. Para obter mais informações, consulte . Criar alarmes do CloudWatch para monitorar métricas do AWS KMS.

Dimensões para métricas do AWS KMS

Métricas do AWS KMS usam o namespace AWS/KMS e têm somente uma dimensão válida: KeyId. Você pode usar essa dimensão para exibir dados de métricas de uma chave do KMS específica ou um conjunto de chaves do KMS.

Como faço para visualizar métricas do AWS KMS?

Você pode visualizar as métricas do AWS KMS usando o AWS Management Console e a API do Amazon CloudWatch.

Como exibir métricas usando o console do CloudWatch

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. Se necessário, altere a região. Na barra de navegação, selecione a região em que os seus recursos da AWS residem.

  3. No painel de navegação, selecione Metrics (Métricas).

  4. No painel de conteúdo, escolha a guia Todas as métricas. Em seguida, abaixo de Namespaces da AWS, escolha KMS.

  5. Escolha Métricas por chave para visualizar as métricas e as dimensões individuais.

Para visualizar métricas usando a API do Amazon CloudWatch

Para visualizar as métricas do AWS KMS usando a API do CloudWatch, envie uma solicitação ListMetrics com Namespace definido como AWS/KMS. O exemplo a seguir mostra como fazer isso com a AWS Command Line Interface (AWS CLI).

$ aws cloudwatch list-metrics --namespace AWS/KMS

Criar alarmes do CloudWatch para monitorar métricas do AWS KMS

É possível criar um alarme do CloudWatch que envie uma mensagem do Amazon SNS quando o valor da métrica é alterado e faz com que o estado do alarme mude. Um alarme observa uma única métrica ao longo de um período especificado por você e realiza uma ou mais ações com base no valor da métrica relativo a um determinado limite ao longo de vários períodos. A ação é uma notificação enviada para um tópico do Amazon SNS ou uma política de Auto Scaling. Os alertas invocam ações apenas para alterações de estado mantidas. Os alarmes do CloudWatch não invocam ações simplesmente por estarem em um estado específico. O estado deve ter sido alterado e mantido por um número específico de períodos.

Criar um alarme do CloudWatch para monitorar a validade do material de chave importada

Ao importar o material de chave em uma chave do KMS, é possível especificar opcionalmente em que hora o material de chave expira. Quando o material de chave expira, o AWS KMS o exclui, e a chave do KMS torna-se inutilizável. Para usar a chave do KMS novamente, reimporte o material de chave. É possível criar um alarme do CloudWatch para notificar você quando o tempo restante até a validade do seu material de chave importado cair abaixo de um limite definido por você (por exemplo, 10 dias). Se você recebe uma notificação de um alarme como esse, talvez deseje executar ações como reimportar o material de chave com uma nova data de validade.

Crie um alarme para monitorar a expiração do material de chave importada (AWS Management Console)

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. Se necessário, altere a região. Na barra de navegação, selecione a região em que os seus recursos da AWS residem.

  3. No painel de navegação, selecione Alarmes. Escolha Create Alarm (Criar alarme).

  4. Escolha Browse Metrics (Procurar métricas) e selecione KMS.

  5. Marque a caixa de seleção ao lado do ID da chave do KMS a ser monitorada.

  6. No painel inferior, use os menus para alterar a estatística para Minimum (Mínimo) e o período para 1 Minute (1 minuto). Em seguida, escolha Avançar.

  7. Na janela Create Alarm (Criar alarme), faça o seguinte:

    1. Em Name, digite um nome de usuário, como KeyMaterialExpiresSoon.

    2. Depois de Whenever: (Sempre que:), para for:, escolha <= e digite o número de segundos para o valor do limite. Por exemplo, para ser notificado quando o tempo restante, até o material de chave importada expirar, for 10 dias ou menos, digite 864000.

    3. Para para período(s) consecutivo(s), se necessário, digite 1.

    4. Para Enviar notificação para:, faça um dos seguintes procedimentos:

      • Para usar um novo tópico do Amazon SNS, escolha Nova lista e digite o nome do novo tópico. Para Lista de e-mails:, digite pelo menos um endereço de e-mail. É possível digitar mais de um endereço de e-mail, basta separá-los com vírgulas.

      • Para usar um tópico existente do Amazon SNS, escolha o nome do tópico a ser usado.

    5. Escolha Create Alarm.

  8. Se você optar por enviar notificações para um endereço de e-mail, abra a mensagem de e-mail que você recebe de no-reply@sns.amazonaws.com com o assunto "Notificação da AWS – Confirmação de assinatura". Confirme o seu endereço de e-mail ao escolher o link Confirm subscription (Confirmar inscrição) na mensagem de e-mail.

    Importante

    Você não receberá notificações por e-mail até ter confirmado o seu endereço de e-mail.

Criar um alarme do CloudWatch para monitorar o uso de chaves do KMS com exclusão pendente

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir essa chave. É possível usar o período de espera para garantir que não precisa mais da chave do KMS agora ou no futuro. Também é possível configurar um alarme do CloudWatch para avisar se uma pessoa ou aplicação tentar usar a chave do KMS durante o período de espera. Se você receber uma notificação de um alarme desse tipo, poderá cancelar a exclusão da chave do KMS.

Para obter mais informações, consulte . Criar um alarme do Amazon CloudWatch para detectar o uso de uma AWS KMS key com exclusão pendente.

AWS KMSEventos do

AWS KMSO se integra ao Amazon CloudWatch Events para notificar você sobre determinados eventos que afetam suas chaves do KMS. Cada evento é representado em JSON (JavaScript Object Notation) e contém o nome do evento, a data e a hora em que ele ocorreu, a chave do KMS afetada e muitas outras informações. Você pode usar o CloudWatch Events para coletar esses eventos e configurar regras que os roteiam a um ou mais destinos, como funções do AWS Lambda, tópicos do Amazon SNS, filas do Amazon SQS, transmissões no Amazon Kinesis Data Streams no destinos integrados.

Para obter mais informações sobre como usar o CloudWatch Events com outros tipos de eventos, incluindo aqueles emitidos pelo AWS CloudTrail quando ele registra uma solicitação de API de leitura/gravação, consulte o Manual do usuário do Amazon CloudWatch Events.

Os tópicos a seguir descrevem os CloudWatch Events criados pelo AWS KMS.

Alternância de CMKs do KMS

Quando você habilita a alternância automática de chaves para uma chave gerenciada pelo cliente, o AWS KMS cria o material de chave para a chave do KMS uma vez por ano. O material de chave para Chaves gerenciadas pela AWS é alternado automaticamente a cada três anos.

Sempre que o AWS KMS alterna o material de chave, ele envia um evento KMS CMK Rotation ao CloudWatch Events. O AWS KMS gera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2016-08-25T21:05:33Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

Expiração do material de chave importada do KMS

Ao importar o material de chave em uma chave do KMS, é possível especificar opcionalmente em que hora o material de chave expira. Quando o material chave expira, o AWS KMS o exclui e envia um evento KMS Imported Key Material Expiration correspondente ao CloudWatch Events. O AWS KMS gera esse evento com base no melhor esforço.

A seguir há um exemplo deste evento.

{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2016-08-22T20:12:19Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

Exclusão da CMK do KMS

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir essa chave. Terminado o período de espera, o AWS KMSexclui a chave do KMS e envia um evento KMS CMK Deletion ao CloudWatch Events. O AWS KMS garante esse evento do CloudWatch. Devido a novas tentativas, ele pode gerar vários eventos dentro de alguns segundos que excluem a mesma chave do KMS.

A seguir há um exemplo deste evento.

{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2016-08-19T03:23:45Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }