Monitoramento do com Amazon CloudWatch - AWS Key Management Service

Monitoramento do com Amazon CloudWatch

É possível monitorar o AWS KMS keys usando o Amazon CloudWatch, um serviço da AWS que coleta e processa dados brutos do AWS KMS e os transforma em métricas legíveis quase em tempo real. Esses dados são registrados por um período de duas semanas, para que você possa acessar informações históricas e obter um melhor entendimento do uso das suas chaves do KMS e das suas alterações ao longo do tempo.

Você pode usar o Amazon CloudWatch para obter alertas para eventos importantes, como os seguintes.

  • O material da chave importada em uma chave do KMS está próximo da data de validade.

  • Uma chave do KMS com exclusão pendente ainda está sendo usada.

  • O material de chave em uma chave do KMS foi alternado automaticamente.

  • Uma chave do KMS foi excluída.

Você também pode criar um alerta do Amazon CloudWatch para ser informado quando a taxa de solicitação atinge uma determinada porcentagem de um valor de cota. Para obter detalhes, consulte Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch (Gerenciar taxas de solicitação de API do AWS usando o Service Quotas e o Amazon CloudWatch) no Blog de segurança da .

Métricas e dimensões do AWS KMS

Ao importar material de chave para uma chave do KMS e defini-lo para expirar, o AWS KMS envia métricas e dimensões ao CloudWatch. Você pode visualizar as métricas do AWS KMS usando o AWS Management Console e a API do Amazon CloudWatch.

Métricas do AWS KMS

O namespace AWS/KMS inclui as métricas a seguir.

secondSuntilKeyMaterialExpiration

Essa métrica monitora o número de segundos restantes até que o material de chave importado em uma chave do KMS expire. Essa métrica só é válida para chaves do KMS com origem EXTERNAL e data de expiração.

Use essa métrica para acompanhar o tempo restante até a expiração do material de chave importado. Quando esse tempo estiver abaixo de um limite definido, talvez você queira tomar medidas específicas, como reimportar o material de chave com uma nova data de validade. Você pode criar um alarme do CloudWatch para notificá-lo quando a data de expiração estiver se aproximando.

A métrica SecondsUntilKeyMaterialExpiration é específica para uma chave do KMS. Você não pode usar essa métrica para monitorar várias chaves do KMS ou chaves do KMS que você possa vir a criar futuramente.

A estatística mais útil para essa métrica é Minimum, que informa o menor tempo restante para todos os pontos de dados no período estatístico especificado. A única unidade válida para essa métrica é Seconds.

Dimensões para métricas do AWS KMS

Métricas do AWS KMS usam o namespace AWS/KMS e têm somente uma dimensão válida: KeyId. Você pode usar essa dimensão para exibir dados de métricas de uma chave do KMS específica ou um conjunto de chaves do KMS.

Como faço para visualizar métricas do AWS KMS?

Você pode visualizar as métricas do AWS KMS usando o AWS Management Console e a API do Amazon CloudWatch.

Como exibir métricas usando o console do CloudWatch

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. Se necessário, altere a região. Na barra de navegação, selecione a região em que os seus recursos da AWS residem.

  3. No painel de navegação, escolha Metrics (Métricas), All metrics (Todas as métricas).

  4. Na guia Browse (Procurar), pesquise por KMS e escolha KMS.

  5. Escolha Per-Key Metrics (Métricas por chave) para visualizar as métricas e as dimensões de cada chave do KMS afetada.

    Somente as chaves do KMS afetadas aparecem na tela. Por exemplo, para a métrica SecondsUntilKeyMaterialExpiration, a lista inclui somente chaves do KMS com material de chave importado que expira.

  6. Para um gráfico do valor da métrica, escolha o nome da métrica e Add to graph (Adicionar ao gráfico). Para converter o gráfico de linhas em um valor, escolha Line (Linha) e, em seguida, escolha Number (Número).

Para visualizar métricas usando a API do Amazon CloudWatch

Para visualizar as métricas do AWS KMS usando a API do CloudWatch, envie uma solicitação ListMetrics com Namespace definido como AWS/KMS. O exemplo a seguir mostra como fazer isso com a AWS Command Line Interface (AWS CLI).

$ aws cloudwatch list-metrics --namespace AWS/KMS { "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ] }

Criar alarmes do CloudWatch para monitorar chaves do KMS

É possível criar um alarme do Amazon CloudWatch com base em uma métrica do AWS KMS. O alarme envia uma mensagem de e-mail quando um valor de métrica exceder um limite especificado na configuração do alarme. O alarme pode enviar a mensagem de e-mail para um tópico do Amazon Simple Notification Service (Amazon SNS) ou uma política do Amazon EC2 Auto Scaling. Para obter informações detalhadas sobre alarmes do CloudWatch, consulte Usar alarmes do Amazon CloudWatch no Guia do usuário do Amazon CloudWatch

Criar um alarme para material de chave importado prestes a expirar

Você pode usar a métrica SecondsUntilKeyMaterialExpiration para criar um alarme do CloudWatch que envie uma notificação quando o material de chave importado em uma chave do KMS estiver prestes a expirar.

Ao importar o material de chave para uma chave do KMS, é possível especificar opcionalmente uma data e hora quando o material de chave expira. Quando o material de chave perde a validade, o AWS KMS exclui o material de chave e a chave KMS se torna inutilizável. Para usar a chave do KMS novamente, você deve reimportar o material de chave.

Para obter instruções, consulte Criar um alarme do CloudWatch para a expiração do material de chave importado.

Criar um alarme para o uso de chaves do KMS que estejam com exclusão pendente

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. É possível usar o período de espera para garantir que não precisa mais da chave do KMS agora ou no futuro. Também é possível configurar um alarme do CloudWatch para avisar se uma pessoa ou aplicação tentar usar a chave do KMS em uma operação criptográfica durante o período de espera. Se você receber uma notificação de um alarme desse tipo, poderá cancelar a exclusão da chave do KMS.

Para obter instruções, consulte Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente.