Visualizar os grafos Interpretar os grafos Definir alarmes

Monitorar um armazenamento de chaves externas

AWS KMScoleta métricas para cada interação com um armazenamento de chaves externo e as publica em sua CloudWatch conta. Essas métricas são usadas para gerar os grafos na seção de monitoramento da página de detalhes de cada armazenamento de chaves externas. O tópico a seguir detalha como usar os grafos para identificar e solucionar problemas operacionais e de configuração que afetam o armazenamento de chaves externas. Recomendamos usar as CloudWatch métricas para definir alarmes que notifiquem você quando seu armazenamento externo de chaves não estiver funcionando conforme o esperado. Para obter mais informações, consulte Monitoramento com a Amazon CloudWatch.

Visualizar os grafos

Você pode visualizar os grafos em diferentes níveis de detalhes. Por padrão, cada grafo usa um intervalo de três horas e um período de agregação de cinco minutos. Você pode ajustar a visualização do grafo no console, mas suas alterações serão revertidas para as configurações padrão quando a página de detalhes do armazenamento de chaves externas for fechada ou quando o navegador for atualizado. Para obter ajuda com a CloudWatch terminologia da Amazon, consulte os CloudWatch conceitos da Amazon.

Visualizar detalhes do ponto de dados

Os dados de cada grafo são coletados por métricas do AWS KMS. Para visualizar mais informações sobre um ponto de dados específico, pause o mouse sobre o ponto de dados no grafo linha. Isso exibirá um pop-up com mais informações sobre a métrica da qual o grafo foi derivado. Cada item da lista exibe o valor de dimensão registrado no ponto de dados. O pop-up exibirá um valor nulo (–) se não houver dados métricos disponíveis para o valor da dimensão no ponto de dados. Alguns grafos registram várias dimensões e valores para um único ponto de dados. Outros grafos, como o grafo de confiabilidade, usam os dados coletados pela métrica para calcular um valor exclusivo. Cada item da lista é associado a uma cor de grafo linha diferente.

Modificar o intervalo de tempo

Para alterar o intervalo de tempo, selecione um dos intervalos de tempo predefinidos no canto superior direito da seção de monitoramento. Os intervalos de tempo predefinidos variam de uma hora a uma semana (1h, 3h, 12h, 1d, 3d ou 1w). Isso ajusta o intervalo de tempo para todos os grafos. Se você quiser visualizar um gráfico específico em um intervalo de tempo diferente, ou se quiser definir um intervalo de tempo personalizado, amplie o gráfico ou visualize-o no CloudWatch console da Amazon.

Ampliar grafos

Você pode usar o recurso de zoom de minimapa para focar em seções de grafos linhas e grafos de área empilhada sem alterações entre as visualizações com zoom aumentado e zoom diminuído. Por exemplo, é possível usar o recurso de zoom de minimapa para focar em um pico em um grafo linha para comparar o pico com outras métricas no painel usando a mesma linha do tempo.

Escolha e arraste a área do gráfico em que deseja focar e, em seguida, solte-a.
Para redefinir o zoom, escolha o ícone Redefinir zoom igual a uma lupa com um símbolo de menos (-) no interior.

Ampliar um grafo

Para ampliar um grafo, selecione o ícone de menu no canto superior direito de um grafo individual e escolha Enlarge (Ampliar). Você também pode selecionar o ícone de ampliação exibido ao lado do ícone de menu ao passar o mouse sobre um grafo.

Ampliar um grafo permite modificar ainda mais a visualização de um grafo especificando um período diferente, um intervalo de tempo personalizado ou um intervalo de atualização. Essas alterações serão revertidas para as configurações padrão quando você fechar a visualização ampliada.

Modificar o período

Escolha o menu Period options (Opções do período). Por padrão, esse menu exibe o valor: 5 minutes (5 minutos).
Escolha um período, os períodos predefinidos variam de um segundo a 30 dias.

Por exemplo, escolha uma exibição de um minuto, que pode ser útil durante a solução de problemas. Ou escolha uma visualização menos detalhada de uma hora. Isso pode ser útil ao visualizar um intervalo de tempo mais amplo (por exemplo, 3 dias) para que possa ver tendências ao longo do tempo. Para obter mais informações, consulte Períodos no Guia CloudWatch do usuário da Amazon.

Modificar o intervalo de tempo ou fuso horário

Selecione um dos intervalos de tempo predefinidos, que variam de uma hora a uma semana: (1h, 3h, 12h, 1d, 3d ou 1w). Como alternativa, você pode escolher Custom (Personalizado) para definir seu próprio intervalo de tempo.
Escolha Custom (Personalizado)
1. Intervalo de tempo: selecione a guia Absolute (Absoluto) no canto superior esquerdo da caixa. Use o seletor de calendário ou as caixas de campos de texto para especificar um intervalo de tempo.
2. Fuso horário: escolha a lista suspensa no canto superior direito da caixa. Você pode alterar o fuso horário para UTC ou Local time zone (Fuso horário local).
Depois de especificar um período, escolha Apply (Aplicar).

Modifique a frequência com que os dados do grafo serão atualizados

No canto superior direito, escolha o menu Refresh options (Opções de atualização).
Escolha um intervalo de atualização: Off (Desligado), 10 Seconds (10 segundos), 1 Minute (1 minuto), 2 Minutes (2 minutos), 5 Minutes (5 minutos) ou 15 Minutes (15 minutos).

Visualize gráficos no console da Amazon CloudWatch

Os gráficos na seção de monitoramento são derivados de métricas predefinidas que são AWS KMS publicadas na Amazon. CloudWatch Você pode abri-los no CloudWatch console e salvá-los nos CloudWatch painéis. Se você tiver vários armazenamentos de chaves externos, poderá abrir seus respectivos gráficos CloudWatch e salvá-los em um único painel para comparar sua integridade e uso.

Adicionar ao CloudWatch painel

Selecione Adicionar ao painel no canto superior direito para adicionar todos os gráficos a um CloudWatch painel da Amazon. Você pode selecionar um painel existente ou criar outro. Para obter informações sobre como usar esse painel para criar visualizações personalizadas dos gráficos e alarmes, consulte Usando CloudWatchpainéis da Amazon no Guia do usuário da Amazon CloudWatch .

Exibir nas CloudWatch métricas

Selecione o ícone do menu no canto superior direito de um gráfico individual e escolha Exibir em métricas para visualizar esse gráfico no CloudWatch console da Amazon. No CloudWatch console, você pode adicionar esse único gráfico a um painel e modificar intervalos de tempo, períodos e intervalos de atualização. Para obter mais informações, consulte Representação gráfica de métricas no Guia do CloudWatch usuário da Amazon.

Interpretar os grafos

O AWS KMS fornece vários grafos para monitorar a integridade do armazenamento de chaves externas no console do AWS KMS. Esses grafos são configurados automaticamente e derivados de métricas do AWS KMS.

Os dados de grafos são coletados como parte das chamadas que você faz para o armazenamento de chaves externas e chaves externas. É possível ver grafos de preenchimento de dados durante um intervalo de tempo em que você não fez nenhuma chamada. Esses dados vêm das chamadas GetHealthStatus periódicas que o AWS KMS faz em seu nome para verificar o status do proxy de armazenamento de chaves externas e do gerenciador de chaves externas. Se os grafos exibirem a mensagem No data available (Nenhum dado disponível), não houve chamadas gravadas durante esse intervalo de tempo ou o armazenamento de chaves externas está no estado DISCONNECTED. Talvez você consiga identificar a hora em que o armazenamento de chaves externas foi desconectado ajustando a visualização para um intervalo de tempo mais amplo.

Tópicos

Total requests
Confiabilidade
Latência
As cinco principais exceções
Dias para o certificado expirar

Total requests

O número total de solicitações do AWS KMS recebidas para um armazenamento de chaves externas específico durante um intervalo de tempo específico. Use esse grafo para determinar se você corre o risco de controle de utilização.

O AWS KMS recomenda que o gerenciador de chaves externas seja capaz de lidar com até 1.800 solicitações de operações de criptografia por segundo. Se você abordar 540 mil chamadas em um período de cinco minutos, correrá o risco de controle de utilização.

Você pode monitorar o número de solicitações de operações de criptografia em chaves do KMS em seu armazenamento de chaves externas que o AWS KMS restringe com a métrica ExternalKeyStoreThrottle.

Se você estiver recebendo erros KMSInvalidStateException muito frequentes com uma mensagem explicando que a solicitação foi rejeitada “due to a very high request rate” [devido a uma taxa de solicitação muito alta], isso pode indicar que o gerenciador de chaves externas ou o proxy de armazenamento de chaves externas não consegue acompanhar a taxa de solicitação atual. Se possível, reduza a taxa de solicitação. Considere também solicitar uma redução no valor da cota de solicitação de armazenamento de chaves personalizado. Diminuir esse valor de cota poderá aumentar o controle de utilização, mas indica que o AWS KMS está rejeitando solicitações em excesso rapidamente antes de serem enviadas ao proxy de armazenamento de chaves externas ou ao gerenciador de chaves externas. Para solicitar uma redução de cota, acesse o AWS Support Center e crie um caso.

O grafo do total de solicitações é derivado da métrica XksProxyErrors, que coleta dados sobre as respostas bem-sucedidas e malsucedidas que o AWS KMS recebe de seu proxy de armazenamento de chaves externas. Quando você visualiza um ponto de dados específico, o pop-up exibe o valor da dimensão CustomKeyStoreId junto com o número total de solicitações do AWS KMS registradas nesse ponto de dados. CustomKeyStoreId será sempre o mesmo.

Confiabilidade

A porcentagem de solicitações do AWS KMS para as quais o proxy do armazenamento de chaves externas retornou uma resposta bem-sucedida ou um erro sem nova tentativa. Use esse grafo para avaliar a integridade operacional do proxy de armazenamento de chaves externas.

Ao exibir um valor menor que 100%, o grafo indica casos em que o proxy não respondeu ou respondeu com um erro com nova tentativa. Isso pode indicar problemas com a rede, lentidão do proxy de armazenamento de chaves externas ou do gerenciador de chaves externas ou bugs de implementação.

Se a solicitação incluir uma credencial inválida e seu proxy responder com AuthenticationFailedException, o grafo ainda indicará 100% de confiabilidade porque o proxy identificou um valor incorreto na solicitação da API do proxy de armazenamento de chaves externas e, portanto, a falha é esperada. Se a porcentagem do grafo de confiabilidade for de 100%, o proxy de armazenamento de chaves externas estará respondendo conforme o esperado. Se o grafo exibir um valor menor que 100%, o proxy respondeu com um erro com nova tentativa ou atingiu o tempo limite. Por exemplo, se o proxy responder com ThrottlingException devido a uma taxa de solicitação muito alta, ele exibirá uma porcentagem de confiabilidade menor porque o proxy não conseguiu identificar um problema específico na solicitação que causou a falha. Isso ocorre porque os erros com nova tentativa provavelmente são problemas transitórios que podem ser resolvidos ao repetir a solicitação.

As respostas de erro a seguir reduzirão a porcentagem de confiabilidade. Você pode usar o grafo As cinco principais exceções e a métrica XksProxyErrors para monitorar ainda mais a frequência com que seu proxy retorna cada erro com nova tentativa.

InternalException
DependencyTimeoutException
ThrottlingException
XksProxyUnreachableException

O grafo de confiabilidade é derivado da métrica XksProxyErrors, que coleta dados sobre as respostas bem-sucedidas e malsucedidas que o AWS KMS recebe de seu proxy de armazenamento de chaves externas. A porcentagem de confiabilidade só diminuirá se a resposta tiver um valor ErrorType de Retryable. Quando você visualiza um ponto de dados específico, o pop-up exibe o valor da dimensão CustomKeyStoreId junto com o percentual de confiabilidade do AWS KMS registrados nesse ponto de dados. CustomKeyStoreId será sempre o mesmo.

Recomendamos usar a XksProxyErrors métrica para criar um CloudWatch alarme que notifique você sobre possíveis problemas de rede, alertando-o quando mais de cinco erros repetidos forem registrados em um período de um minuto. Para ter mais informações, consulte Criação de um CloudWatch alarme da Amazon para erros que podem ser repetidos.

Latência

O número de milissegundos necessários para que um proxy de armazenamento de chaves externas responda a uma solicitação do AWS KMS. Use esse grafo para avaliar a performance do proxy de armazenamento de chaves externas e do gerenciador de chaves externas.

O AWS KMS espera que o proxy do armazenamento de chaves externas responda a cada solicitação em até 250 milissegundos. No caso de tempos limite de rede, o AWS KMS repetirá a solicitação uma vez. Se o proxy falhar pela segunda vez, a latência registrada será o limite de tempo limite combinado para as duas tentativas de solicitação, e o grafo exibirá aproximadamente 500 milissegundos. Em todos os outros casos em que o proxy não responder dentro do tempo limite de 250 milissegundos, a latência registrada será de 250 milissegundos. Se o proxy estiver frequentemente atingindo o tempo limite nas operações de criptografia e descriptografia, consulte seu administrador do proxy externo. Para obter ajuda na solução de problemas de latência, consulte Erros de latência e de tempo limite.

Respostas lentas também podem indicar que seu gerenciador de chaves externas não consegue lidar com o tráfego de solicitações atual. O AWS KMS recomenda que seu gerenciador de chaves externas seja capaz de lidar com até 1.800 solicitações de operações de criptografia por segundo. Se o gerenciador de chaves externas não conseguir lidar com a taxa de 1800 solicitações por segundo, considere solicitar uma redução na cota de solicitações de chaves do KMS em um armazenamento de chaves personalizado. As solicitações de operações de criptografia que usam as chaves do KMS em seu armazenamento de chaves externas se anteciparão à falha com uma exceção de controle de utilização, em vez de serem processadas e posteriormente rejeitadas pelo proxy de armazenamento de chaves externas ou pelo gerenciador de chaves externas.

O grafo de latência é derivado da métrica XksProxyLatency. Quando você visualiza um ponto de dados específico, o pop-up exibe os valores correspondentes de dimensão KmsOperation e XksOperation junto com a latência média registrada para as operações no ponto de dados. Os itens da lista são ordenados da maior para a menor latência.

Recomendamos usar a XksProxyLatency métrica para criar um CloudWatch alarme que notifique você quando sua latência estiver se aproximando do limite de tempo limite. Para ter mais informações, consulte Criação de um CloudWatch alarme da Amazon para o tempo limite de resposta.

As cinco principais exceções

As cinco principais exceções para falhas nas operações de criptografia e de gerenciamento durante um intervalo de tempo específico. Use esse grafo para rastrear os erros mais frequentes e poder priorizar seus esforços de engenharia.

Essa contagem inclui as exceções que o AWS KMS recebeu do proxy de armazenamento de chaves externas e a XksProxyUnreachableException que o AWS KMS retorna internamente quando não consegue estabelecer comunicação com o proxy de armazenamento de chaves externas.

Altas taxas de erros com nova tentativa podem indicar erros de redes, enquanto altas taxas de erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Por exemplo, um pico de entrada em AuthenticationFailedExceptions indica uma discrepância entre as credenciais de autenticação configuradas no AWS KMS e o proxy de armazenamento de chaves externas. Para visualizar a configuração do armazenamento de chaves externas, consulte Visualizar um armazenamento de chaves externas. Para editar suas configurações de armazenamento de chaves externas, consulte Editar propriedades do armazenamento de chaves externas.

As exceções que o AWS KMS recebe do proxy de armazenamento de chaves externas são diferentes das exceções que o AWS KMS retorna quando uma operação falha. As operações criptográficas do AWS KMS retornam uma KMSInvalidStateException para todas as falhas relacionadas à configuração externa ou ao estado de conexão do armazenamento de chaves externas. Para identificar o problema, use o texto da mensagem de erro que o acompanha.

A tabela a seguir mostra as exceções que podem aparecer no grafo das cinco principais exceções e as exceções correspondentes que o AWS KMS retorna para você.

Tipo de erro Exceção exibida no grafo Exceção que o AWS KMS retornou para você

Sem nova tentativa

Tipo de erro	Exceção exibida no grafo	Exceção que o AWS KMS retornou para você
Sem nova tentativa	`AccessDeniedException` Para obter ajuda sobre a solução de problemas, consulte Problemas de autorização de proxy.	`CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`AuthenticationFailedException` Para obter ajuda sobre a solução de problemas, consulte Erros de credenciais de autenticação.	`XksProxyIncorrectAuthenticationCredentialException` em resposta às operações `CreateCustomKeyStore` e `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Com nova tentativa	`DependencyTimeoutException` Para obter ajuda sobre a solução de problemas, consulte Erros de latência e de tempo limite.	`XksProxyUriUnreachableException` em resposta às operações `CreateCustomKeyStore` e `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Com nova tentativa	`InternalException` O proxy de armazenamento de chaves externas rejeitou a solicitação porque não consegue se comunicar com o gerenciador de chaves externas. Verifique se a configuração do proxy do armazenamento de chaves externas está correta e se o gerenciador de chaves externas está disponível.	`XksProxyInvalidResponseException` em resposta às operações `CreateCustomKeyStore` e `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`InvalidCiphertextException` Para obter ajuda sobre a solução de problemas, consulte Erros de descriptografia.	`KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`InvalidKeyUsageException` Para obter ajuda sobre a solução de problemas, consulte Erros de operação de criptografia da chave externa.	`XksKeyInvalidConfigurationException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`InvalidStateException` Para obter ajuda sobre a solução de problemas, consulte Erros de operação de criptografia da chave externa.	`XksKeyInvalidConfigurationException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`InvalidUriPathException` Para obter ajuda sobre a solução de problemas, consulte Erros gerais de configuração.	`XksProxyInvalidConfigurationException` em resposta às operações `CreateCustomKeyStore` e `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`KeyNotFoundException` Para obter ajuda sobre a solução de problemas, consulte Erros de chave externa.	`XksKeyNotFoundException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Com nova tentativa	`ThrottlingException` O proxy de armazenamento de chaves externas rejeitou a solicitação devido a uma taxa de solicitação muito alta. Reduza a frequência de suas chamadas usando chaves do KMS neste armazenamento de chaves externas.	`XksProxyUriUnreachableException` em resposta às operações `CreateCustomKeyStore` e `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`UnsupportedOperationException` Para obter ajuda sobre a solução de problemas, consulte Erros de operação de criptografia da chave externa.	`XksKeyInvalidResponseException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Sem nova tentativa	`ValidationException` Para obter ajuda sobre a solução de problemas, consulte Problemas de proxy.	`XksProxyInvalidResponseException` em resposta às operações `CreateCustomKeyStore` e `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.
Com nova tentativa	`XksProxyUnreachableException` Caso veja esse erro repetidamente, verifique se o proxy de armazenamento de chaves externas está ativo e conectado à rede e se o caminho do URI e o URI do endpoint ou o nome do serviço da VPC estão corretos no armazenamento de chaves externas.	`XksProxyUriUnreachableException` em resposta às operações `CreateCustomKeyStore` e `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` em resposta às operações `CreateKey`. `KMSInvalidStateException` em resposta às operações de criptografia.

AccessDeniedException

Para obter ajuda sobre a solução de problemas, consulte Problemas de autorização de proxy.

CustomKeyStoreInvalidStateException em resposta às operações CreateKey.