本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
監控 AWS KMS keys
對於了解 AWS KMS 中 AWS KMS keys 的可用性、狀態和使用情形,以及維護 AWS 解決方案的可靠性、可用性和效能,監控是重要的一環。收集 AWS 解決方案全面的監控資料,可協助在出現多點故障時進行偵錯。不過,在您開始監控 KMS 金鑰之前,應先建立監控計畫,為下列問題提供解答:
-
監控目標是什麼?
-
要監控哪些資源?
-
監控這些資源的頻率為何?
-
要使用哪些監控工具?
-
誰將執行監控任務?
-
發生問題時應該通知誰?
下一個步驟是隨時間監控您的 KMS 金鑰,以建立您環境中 AWS KMS 正常使用和期望的基準。當您監控 KMS 金鑰時,請存放歷史記錄監控資料,如此才能與目前的資料做比較、辨識正常模式和異常狀況、規劃問題處理方式。
例如,您可以監控影響 KMS 金鑰的 AWS KMS API 活動和事件。當資料高於或低於既定常規,您可能需要調查或採取修正動作。
若要建立正常模式的基準,請監控下列項目:
-
資料平面操作的 AWS KMS API 活動。這些是使用 KMS 金鑰的密碼編譯作業,例如解密ReEncrypthttps://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html、加密和 GenerateDataKey.
-
對您而言很重要之控制平面操作的 AWS KMS API 活動。這些作業會管理 KMS 金鑰,而且您可能想要監控變更 KMS 金鑰可用性的金鑰 (例如ScheduleKeyDeletionCancelKeyDeletion、DisableKey、EnableKey、ImportKeyMaterial、和 DeleteImportedKeyMaterial) 或變更 KMS 金鑰的存取控制 (例如PutKeyPolicy和 RevokeGrant) 的金鑰。
-
其他 AWS KMS 指標 (例如,匯入的金鑰材料過期之前剩餘的時間) 和事件 (例如匯入的金鑰材料已過期或刪除或 KMS 金鑰的金鑰輪換)。
監控工具
AWS 提供各種工具,可讓您監控 KMS 金鑰。您可以設定其中一些工具來進行監控,但有些工具需要手動介入。建議您盡可能自動化監控任務。
自動化監控工具
您可以使用下列自動化監控工具來監看 KMS 金鑰,並在發生變更時進行回報。
-
AWS CloudTrail記錄監控 — 在帳戶之間共用記錄檔、透過將記 CloudTrail 錄檔傳送至 CloudWatch 記錄檔來即時監控記錄檔、使用處理程式庫寫入記錄CloudTrail 處理應用程式,以及驗證記錄檔在傳送之後是否未變更 CloudTrail。若要取得更多資訊,請參閱《使用指南》中的〈AWS CloudTrail使用 CloudTrail 記錄檔〉。
-
Amazon CloudWatch 警示 — 觀看您指定期間內的單一指標,並根據指定臨界值在多個時段內相對於指定閾值的指標值執行一或多個動作。動作是傳送至亞馬遜簡單通知服務 (Amazon SNS) 主題或 Amazon EC2 Auto Scaling 政策的通知。 CloudWatch 警示不會僅因為處於特定狀態而叫用動作;狀態必須已變更並維持指定數目的期間。如需詳細資訊,請參閱 使用 Amazon 監控 CloudWatch。
-
Amazon EventBridge — 匹配事件並將其路由到一個或多個目標函數或串流,以擷取狀態資訊,並在必要時進行變更或採取糾正措施。如需詳細資訊,請參閱使用 Amazon 監控 EventBridge和 Amazon EventBridge 使用者指南。
-
Amazon CloudWatch 日誌 — 監控、存放和存取來自AWS CloudTrail或其他來源的日誌檔。如需詳細資訊,請參閱 Amazon CloudWatch 日誌使用者指南。
手動監控工具
監視 KMS 金鑰的另一個重要部分是手動監視 CloudWatch 警示和事件不涵蓋的項目。AWS KMS、 CloudWatchAWS Trusted Advisor、和其他AWS儀表板可提供您AWS環境狀態的 at-a-glance 檢視。
您可以自訂 AWS KMS 主控台
CloudWatch 主控台儀表板
-
目前警示與狀態
-
警示與資源的圖表
-
服務運作狀態
此外,您可以使用執行 CloudWatch 以下操作:
-
建立自定儀表板來監控您注重的服務
-
繪製指標資料圖表,以對問題進行故障診斷並探索趨勢
-
搜尋與瀏覽您所有的 AWS 資源指標
-
建立與編輯要通知發生問題的警示
AWS Trusted Advisor 可協助您監控您的 AWS 資源,以改善效能、可靠性、安全與成本效益。所有使用者都可以使用四項 Trusted Advisor 檢查;具有商業或企業支援計畫的使用者可以使用超過 50 項以上的檢查。如需更多詳細資訊,請參閱 AWS Trusted Advisor