Monitorar o chaves do KMS com o Amazon CloudWatch - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitorar o chaves do KMS com o Amazon CloudWatch

É possível monitorar o AWS KMS keys usando o Amazon CloudWatch, um serviço da AWS que coleta e processa dados brutos do AWS KMS e os transforma em métricas legíveis quase em tempo real. Esses dados são registrados por um período de duas semanas, para que você possa acessar informações históricas e obter um melhor entendimento do uso das suas chaves do KMS e das suas alterações ao longo do tempo.

Você pode usar o Amazon CloudWatch para obter alertas para eventos importantes, como os seguintes.

  • O material da chave importada em uma chave do KMS está próximo da data de validade.

  • Uma chave do KMS com exclusão pendente ainda está sendo usada.

  • O material de chave em uma chave do KMS foi alternado automaticamente.

  • Uma chave do KMS foi excluída.

Você também pode criar um alerta do Amazon CloudWatch para ser informado quando a taxa de solicitação atinge uma determinada porcentagem de um valor de cota. Para obter detalhes, consulte Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch (Gerenciar taxas de solicitação de API do AWS usando o Service Quotas e o Amazon CloudWatch) no Blog de segurança da .

Métricas e dimensões do AWS KMS

O AWS KMS predefine as métricas do Amazon CloudWatch para facilitar o monitoramento de dados essenciais e a criação de alarmes. Você pode visualizar as métricas do AWS KMS usando o AWS Management Console e a API do Amazon CloudWatch.

Esta seção lista cada métrica do AWS KMS e as dimensões de cada métrica, além de fornecer algumas orientações básicas para criar alarmes do CloudWatch com base nessas métricas e dimensões.

nota

Nome do grupo de dimensões:

Para visualizar uma métrica no console do Amazon CloudWatch, na seção Metrics (Métricas), selecione o nome do grupo de dimensões. Em seguida, é possível filtrar pelo nome da métrica. O tópico inclui o nome da métrica e o nome do grupo de dimensões para cada métrica do AWS KMS.

Você pode visualizar as métricas do AWS KMS usando o AWS Management Console e a API do Amazon CloudWatch. Para obter mais informações, consulte Visualizar métricas disponíveis no Guia do usuário do Amazon CloudWatch.

secondSuntilKeyMaterialExpiration

O número de segundos restantes até que o material de chave importado em uma chave do KMS expire. Essa métrica só é válida para chaves do KMS com material de chave importado (uma origem de material de chave de EXTERNAL) e data de validade.

Use essa métrica para acompanhar o tempo restante até a expiração do material de chave importado. Quando esse tempo estiver abaixo de um limite definido, convém reimportar o material de chave com uma nova data de validade. A métrica SecondsUntilKeyMaterialExpiration é específica para uma chave do KMS. Você não pode usar essa métrica para monitorar várias chaves do KMS ou chaves do KMS que você possa vir a criar futuramente. Para obter ajuda com a criação de um alarme do CloudWatch para monitorar essa métrica, consulte Criar um alarme do CloudWatch para a expiração do material de chave importado.

A estatística mais útil para essa métrica é Minimum, que informa o menor tempo restante para todos os pontos de dados no período estatístico especificado. A única unidade válida para essa métrica é Seconds.

Nome do grupo de dimensões: métricas por chave

Dimensões do SecondsUntilKeyMaterialExpiration
Dimensão Descrição; relacionado à AWS
KeyId Valor para cada chave do KMS.

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. É possível usar o período de espera para garantir que não precisa mais da chave do KMS agora ou no futuro. Também é possível configurar um alarme do CloudWatch para avisar se uma pessoa ou aplicação tentar usar a chave do KMS em uma operação criptográfica durante o período de espera. Se você receber uma notificação de um alarme desse tipo, poderá cancelar a exclusão da chave do KMS.

Para obter instruções, consulte Crie um alarme que detecte o uso de uma KMS chave pendente de exclusão.

ExternalKeyStoreThrottle

O número de solicitações de operações de criptografia em chaves do KMS em cada armazenamento de chaves externas que o AWS KMS restringe (responde com ThrottlingException). Essa métrica se aplica apenas aos armazenamentos de chaves externas.

A métrica ExternalKeyStoreThrottle se aplica somente às chaves do KMS em um armazenamento de chaves externas e somente às solicitações de operações criptográficas e à operação DescribeKey. O AWS KMS realiza o controle de utilização dessas solicitações quando a taxa de solicitação excede a cota de solicitações de armazenamento de chaves personalizadas para seu armazenamento de chaves externas. Essa métrica não inclui o controle de utilização por seu proxy de armazenamento de chaves externas ou gerenciador de chaves externas.

Use essa métrica para revisar e ajustar o valor da cota de solicitação de armazenamento de chaves personalizado. Se essa métrica indicar que o AWS KMS está frequentemente realizando o controle de utilização de suas solicitações para essas chaves do KMS, considere solicitar um aumento no valor da cota de solicitação de armazenamento de chaves personalizadas. Para obter ajuda, consulte Requesting a quota increase (Solicitar um aumento de cota) no Guia do usuário do Service Quotas.

Se você estiver recebendo erros KMSInvalidStateException com muita frequência com uma mensagem que explica que a solicitação foi rejeitada “due to a very high request rate” (devido a uma taxa de solicitação muito alta) ou que a solicitação foi rejeitada “because the external key store proxy did not respond in time” (porque o proxy de armazenamento de chaves externas não respondeu a tempo), isso pode indicar que o gerenciador de chaves externas ou o proxy de armazenamento de chaves externas não consegue acompanhar a taxa de solicitação atual. Se possível, reduza a taxa de solicitação. Considere também solicitar uma redução no valor da cota de solicitação de armazenamento de chaves personalizado. Diminuir esse valor de cota poderá aumentar o controle de utilização (e o valor da métrica ExternalKeyStoreThrottle), mas indica que o AWS KMS está rejeitando solicitações em excesso rapidamente antes de serem enviadas ao proxy de armazenamento de chaves externas ou ao gerenciador de chaves externas. Para solicitar uma redução de cota, acesse o AWS Support Center e crie um caso.

Nome do grupo de dimensões: métrica de controle de utilização de armazenamento de chaves

Dimensão Descrição
CustomKeyStoreId Valor para cada armazenamento de chaves externas.
KmsOperation Valor para cada operação de API do AWS KMS. Essa métrica se aplica somente às operações de criptografia e à operação DescribeKey em chaves do KMS em um armazenamento de chaves externas.
KeySpec Valor para cada tipo de chave do KMS. A única especificação de chave compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC_DEFAULT.

XksProxyCertificateDaysToExpire

O número de dias até o certificado TLS do endpoint do proxy de armazenamento de chaves externas (XksProxyUriEndpoint) expirar. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Use essa métrica para criar um alarme do CloudWatch que notifique sobre a próxima expiração de seu certificado TLS. Quando o certificado expira, o AWS KMS não consegue se comunicar com o proxy de armazenamento de chaves externas. Todos os dados protegidos por chaves do KMS em seu armazenamento de chaves externas ficarão inacessíveis até você renovar o certificado.

Um alarme do certificado evita que a expiração do certificado impeça você de acessar os recursos criptografados. Defina o alarme para dar tempo para a sua organização renovar o certificado antes que ele expire.

Nome do grupo de dimensões: métricas de certificado do proxy XKS

Dimensão Descrição
CustomKeyStoreId Valor para cada armazenamento de chaves externas.
CertificateName Nome (CN) da entidade no certificado TLS.

Você pode criar alarmes do CloudWatch com base nas métricas para armazenamentos de chaves externas e chaves do KMS em armazenamentos de chaves externas. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksProxyCredentialAge

O número de dias desde que a credencial de autenticação do proxy (XksProxyAuthenticationCredential) atual do armazenamento de chaves externas foi associada ao armazenamento de chaves externas. Essa contagem começa quando você insere a credencial de autenticação como parte da criação ou atualização do armazenamento de chaves externas. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Esse valor foi criado para lembrar você sobre a idade da credencial de autenticação. No entanto, como começamos a contagem quando você associa a credencial ao armazenamento de chaves externas, não quando você cria sua credencial de autenticação em seu proxy de armazenamento de chaves externas, isso pode não ser um indicador preciso da idade da credencial no proxy.

Use essa métrica para criar um alarme do CloudWatch que lembre você de alternar sua credencial de autenticação de proxy de armazenamento de chaves externas.

Nome do grupo de dimensões: métricas por armazenamento de chaves

Dimensão Descrição
CustomKeyStoreId Valor para cada armazenamento de chaves externas.

Você pode criar alarmes do CloudWatch com base nas métricas para armazenamentos de chaves externas e chaves do KMS em armazenamentos de chaves externas. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksProxyErrors

O número de exceções relacionadas às solicitações do AWS KMS ao proxy de armazenamento de chaves externas. Essa contagem inclui exceções às quais o proxy de armazenamento de chaves externas retorna ao AWS KMS e os erros de tempo limite que ocorrem quando o proxy de armazenamento de chaves externas não responde ao AWS KMS dentro do intervalo de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Use essa métrica para rastrear a taxa de erro das chaves do KMS no armazenamento de chaves externas. Ela revela os erros mais frequentes para que você possa priorizar seus esforços de engenharia. Por exemplo, chaves do KMS que estão gerando altas taxas de erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Para visualizar a configuração do armazenamento de chaves externas, consulte Visualizar repositórios de chaves externos. Para editar suas configurações de armazenamento de chaves externas, consulte Editar propriedades do repositório de chaves externo.

Nome do grupo de dimensões: métricas de erro do proxy XKS

Dimensão Descrição
CustomKeyStoreId Valor para cada armazenamento de chaves externas.
KmsOperation Valor para cada operação de API do AWS KMS que gerou uma solicitação para o proxy XKS.
XksOperation Valor para cada operação de API do proxy de armazenamento de chaves externas.
KeySpec Valor para cada tipo de chave do KMS. A única especificação de chave compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC_DEFAULT.
ErrorType Valores:
  • Erros com nova tentativa: provavelmente são transitórios, como erros de redes.

  • Erros sem nova tentativa: provavelmente indicam um problema com a configuração do armazenamento de chaves personalizado ou com os componentes externos.

  • N/A: solicitação bem-sucedida; sem erros

ExceptionName

Valores:

  • Nome da exceção

  • Nenhum: solicitação bem-sucedida; sem erros

Você pode criar alarmes do CloudWatch com base nas métricas para armazenamentos de chaves externas e chaves do KMS em armazenamentos de chaves externas. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksExternalKeyManagerStates

Uma contagem do número de instâncias do gerenciador de chaves externas em cada um dos seguintes estados de integridade: Active, Degraded e Unavailable. As informações dessa métrica vêm do proxy de armazenamento de chaves externas associado a cada armazenamento de chaves externas. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Veja a seguir os estados de integridade das instâncias externas do gerenciador de chaves associadas a um armazenamento de chaves externas. Cada proxy de armazenamento de chaves externas pode usar indicadores diferentes para medir o estado de integridade do gerenciador de chaves externas. Para obter detalhes, consulte a documentação do proxy de armazenamento de chaves externas.

  • Active: o gerenciador de chaves externas está íntegro.

  • Degraded: o gerenciador de chaves externas não está íntegro, mas ainda pode atender ao tráfego

  • Unavailable: o gerenciador de chaves externas não pode atender ao tráfego.

Use essa métrica para criar um alarme do CloudWatch que alerta sobre instâncias do gerenciador de chaves externas que estejam degradadas e indisponíveis. Para determinar quais instâncias externas do gerenciador de chaves estão em cada estado, consulte seus logs de proxy do armazenamento de chaves externas.

Nome do grupo de dimensões: métrica do gerenciados de chaves externas XKS

Dimensão Descrição
CustomKeyStoreId Valor para cada armazenamento de chaves externas.
XksExternalKeyManagerState Valor para cada estado de integridade.

Você pode criar alarmes do CloudWatch com base nas métricas para armazenamentos de chaves externas e chaves do KMS em armazenamentos de chaves externas. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksProxyLatency

O número de milissegundos necessários para que um proxy de armazenamento de chaves externas responda a uma solicitação do AWS KMS. Se a solicitação atingiu o tempo limite, o valor registrado é o limite de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Use essas métrica para avaliar a performance do proxy de armazenamento de chaves externas e do gerenciador de chaves externas. Por exemplo, se o proxy estiver frequentemente atingindo o tempo limite nas operações de criptografia e descriptografia, consulte o administrador do proxy externo.

Respostas lentas também podem indicar que seu gerenciador de chaves externas não consegue lidar com o tráfego de solicitações atual. O AWS KMS recomenda que seu gerenciador de chaves externas seja capaz de lidar com até 1.800 solicitações de operações de criptografia por segundo. Se o gerenciador de chaves externas não conseguir lidar com a taxa de 1800 solicitações por segundo, considere solicitar uma redução na cota de solicitações de chaves do KMS em um armazenamento de chaves personalizado. As solicitações de operações de criptografia que usam as chaves do KMS em seu armazenamento de chaves externas se anteciparão à falha com uma exceção de controle de utilização, em vez de serem processadas e posteriormente rejeitadas pelo proxy de armazenamento de chaves externas ou pelo gerenciador de chaves externas.

Nome do grupo de dimensões: métricas de latência do proxy XKS

Dimensão Descrição
CustomKeyStoreId Valor para cada armazenamento de chaves externas.
KmsOperation Valor para cada operação de API do AWS KMS que gerou uma solicitação para o proxy XKS.
XksOperation Valor para cada operação de API do proxy de armazenamento de chaves externas.
KeySpec Valor para cada tipo de chave do KMS. A única especificação de chave compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC_DEFAULT.

Você pode criar alarmes do CloudWatch com base nas métricas para armazenamentos de chaves externas e chaves do KMS em armazenamentos de chaves externas. Para obter instruções, consulte Monitorar repositórios de chaves externos.