Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können Ihre AWS KMS keys Nutzung von Amazon überwachen CloudWatch, einem AWS Service, der Rohdaten sammelt und AWS KMS in lesbare, nahezu in Echtzeit verfügbare Metriken verarbeitet. Diese Daten werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf historische Daten zugreifen und die Nutzung Ihrer KMS-Schlüssel sowie deren Änderungen besser nachvollziehen können.
Sie können Amazon verwenden CloudWatch , um Sie auf wichtige Ereignisse wie die folgenden aufmerksam zu machen.
-
Das importierte Schlüsselmaterial in einem KMS-Schlüssel befindet kurz vor dem Ablaufdatum.
-
Ein KMS-Schlüssel, dessen Löschung ansteht, wird immer noch verwendet.
-
Das Schlüsselmaterial in einem KMS-Schlüssel wurde automatisch rotiert.
-
Ein KMS-Schlüssel wurde gelöscht.
Sie können auch einen CloudWatchAmazon-Alarm einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Weitere Informationen finden Sie im AWS Sicherheitsblog unter Verwalten Sie Ihre AWS KMS API-Anforderungsraten mithilfe von Service Quotas und Amazon CloudWatch
AWS KMS Metriken und Dimensionen
AWS KMS definiert CloudWatch Amazon-Metriken, um Ihnen die Überwachung kritischer Daten und die Erstellung von Alarmen zu erleichtern. Sie können die AWS KMS Metriken mithilfe der AWS Management Console und der CloudWatch Amazon-API anzeigen.
In diesem Abschnitt werden die einzelnen AWS KMS Metriken und die Dimensionen für jede Metrik aufgeführt und einige grundlegende Anleitungen zur Erstellung von CloudWatch Alarmen auf der Grundlage dieser Metriken und Dimensionen bereitgestellt.
Anmerkung
Name der Dimensionsgruppe:
Um eine Metrik in der CloudWatch Amazon-Konsole anzuzeigen, wählen Sie im Abschnitt Metriken den Namen der Dimensionsgruppe aus. Dann können Sie nach dem Metriknamen filtern. Dieses Thema enthält den Metriknamen und den Dimensionsgruppennamen für jede AWS KMS -Metrik.
Sie können AWS KMS Metriken mithilfe der AWS Management Console und der CloudWatch Amazon-API anzeigen. Weitere Informationen finden Sie unter Verfügbare Messwerte anzeigen im CloudWatch Amazon-Benutzerhandbuch.
Themen
SecondsUntilKeyMaterialExpiration
Die Anzahl der verbleibenden Sekunden, bis das importierte Schlüsselmaterial eines KMS-Schlüssels abläuft. Diese Metrik gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial (Herkunft des Schlüsselmaterials EXTERNAL) und einem Ablaufdatum.
Verwenden Sie diese Metrik, um die Zeit zu verfolgen, die bis zum Ablauf Ihres importierten Schlüsselmaterials verbleibt. Wenn diese Zeit unter einen von Ihnen definierten Schwellenwert fällt, sollten Sie das Schlüsselmaterial mit einem neuen Ablaufdatum erneut importieren. Die SecondsUntilKeyMaterialExpiration-Metrik ist spezifisch für einen KMS-Schlüssel. Sie können diese Metrik nicht verwenden, um mehrere KMS-Schlüssel oder KMS-Schlüssel, die Sie möglicherweise in Zukunft erstellen werden, zu überwachen. Hilfe bei der Erstellung eines CloudWatch Alarms zur Überwachung dieser Metrik finden Sie unterEinen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen.
Die nützlichste Statistik für diese Metrik ist Minimum, die Ihnen die kleinste verbleibende Zeit für alle Datenpunkte im angegebenen Statistikzeitraum angibt. Die einzige gültige Einheit für diese Metrik ist Seconds.
Name der Dimensionsgruppe: Per-Key Metrics (Metriken pro Schlüssel)
| Dimension | Beschreibung; bezieht sich auf AWS |
|---|---|
| KeyId | Wert für jeden KMS-Schlüssel. |
Wenn Sie für einen KMS-Schlüssel das Löschen planen, erzwingt AWS KMS vor dem Löschen des KMS-Schlüssels eine Wartezeit. In der Wartezeit können Sie sicherzustellen, dass Sie den KMS-Schlüssel jetzt oder in der Zukunft nicht mehr benötigen. Sie können auch einen CloudWatch Alarm konfigurieren, der Sie warnt, wenn eine Person oder Anwendung während der Wartezeit versucht, den KMS-Schlüssel in einem kryptografischen Vorgang zu verwenden. Wenn Sie eine Benachrichtigung von einem solchen Alarm erhalten, können Sie das Löschen des KMS-Schlüssel abbrechen.
Detaillierte Anweisungen finden Sie unter Erstellen Sie einen Alarm, der die Verwendung eines KMS-Schlüssels erkennt, dessen Löschung noch aussteht.
Wolke HSMKey StoreThrottle
Die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in jedem AWS CloudHSM Schlüsselspeicher, der AWS KMS gedrosselt wird (mit einem antwortet). ThrottlingException Diese Metrik gilt nur für Schlüsselspeicher. AWS CloudHSM
Die CloudHSMKeyStoreThrottle Metrik gilt nur für KMS-Schlüssel in einem AWS CloudHSM
Schlüsselspeicher und nur für Anfragen für kryptografische Operationen. AWS KMS drosselt diese Anfragen, wenn die Anforderungsrate das benutzerdefinierte Schlüsselspeicher-Anforderungskontingent für Ihren AWS CloudHSM Schlüsselspeicher überschreitet. Diese Metrik beinhaltet auch die Drosselung durch den Cluster. AWS CloudHSM
Name der Dimensionsgruppe: Keystore Throttle Metrics (Keystore-Drossel-Metriken)
| Dimension | Beschreibung |
|---|---|
| CustomKeyStoreId | Wert für jeden AWS CloudHSM Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang. Diese Metrik gilt nur für kryptografische Operationen mit KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist SYMMETRIC_DEFAULT. |
ExternalKeyStoreThrottle
Die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in jedem externen Schlüsselspeicher, der AWS KMS gedrosselt wird (mit einem antwortet). ThrottlingException Diese Metrik gilt nur für externe Schlüsselspeicher.
Die ExternalKeyStoreThrottle Metrik gilt nur für KMS-Schlüssel in einem externen Schlüsselspeicher und nur für Anfragen für kryptografische Operationen. AWS KMS drosselt diese Anfragen, wenn die Anforderungsrate das Anforderungskontingent für benutzerdefinierte Schlüsselspeicher für Ihren externen Schlüsselspeicher überschreitet. Diese Metrik berücksichtigt nicht die Drosselung durch Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
Verwenden Sie diese Metrik, um den Wert Ihres Anforderungskontingents für benutzerdefinierte Schlüsselspeicher zu überprüfen und anzupassen. Wenn diese Metrik darauf hindeutet, AWS KMS dass Ihre Anfragen für diese KMS-Schlüssel häufig gedrosselt werden, sollten Sie erwägen, eine Erhöhung Ihres Kontingents für benutzerdefinierte Schlüsselspeicher-Anfragen zu beantragen. Hilfe finden Sie unter Anfordern einer Kontingenterhöhung im Service-Quotas-Benutzerhandbuch.
Wenn Sie sehr häufig KMSInvalidStateException-Fehler mit einer Meldung erhalten, in der erklärt wird, dass die Anforderung „aufgrund einer sehr hohen Anforderungsrate“ abgelehnt wurde oder die Anforderung abgelehnt wurde, „weil der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat“, könnte dies darauf hinweisen, dass Ihr externer Schlüsselmanager oder externer Schlüsselspeicher-Proxy mit der aktuellen Anforderungsrate nicht Schritt halten kann. Verringen Sie wenn möglich Ihre Anforderungsrate. Sie können auch eine Verringerung des Anforderungskontingentwerts für benutzerdefinierte Schlüsselspeicher anfordern. Eine Verringerung dieses Kontingentwerts kann die Drosselung (und den ExternalKeyStoreThrottle Metrikwert) erhöhen, bedeutet aber, dass AWS KMS überschüssige Anfragen schnell zurückgewiesen werden, bevor sie an Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager gesendet werden. Um eine Reduzierung des Kontingents zu beantragen, besuchen Sie bitte das AWS Support Center
Name der Dimensionsgruppe: Keystore Throttle Metrics (Keystore-Drossel-Metriken)
| Dimension | Beschreibung |
|---|---|
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden API-Vorgang AWS KMS . Diese Metrik gilt nur für kryptografische Operationen mit KMS-Schlüsseln in einem externen Schlüsselspeicher. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT. |
XksProxyCertificateDaysToExpire
Die Anzahl der Tage, bis das TLS-Zertifikat für den Proxy-Endpunkt Ihres externen Schlüsselspeichers (XksProxyUriEndpoint) abläuft. Diese Metrik gilt nur für externe Schlüsselspeicher.
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie über den bevorstehenden Ablauf Ihres TLS-Zertifikats informiert. Wenn das Zertifikat abläuft, AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommuniziert werden. Der Zugriff auf alle durch KMS-Schlüssel geschützten Daten in Ihrem externen Schlüsselspeicher ist dann erst wieder möglich, wenn Sie das Zertifikat erneuern.
Ein Zertifikatsalarm verhindert, dass ein abgelaufenes Zertifikat den Zugriff auf Ihre verschlüsselten Ressourcen verhindert. Stellen Sie den Alarm so ein, dass Ihre Organisation Zeit hat, das Zertifikat zu erneuern, bevor es abläuft.
Name der Dimensionsgruppe: XKS Proxy Certificate Metrics (XKS-Proxy-Zertifikatsmetriken)
| Dimension | Beschreibung |
|---|---|
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| CertificateName | Subjektname (CN) im TLS-Zertifikat. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter Überwachen Sie externe Schlüsselspeicher.
XksProxyCredentialAge
Die Anzahl der Tage, seit die aktuelle Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers (XksProxyAuthenticationCredential) mit dem externen Schlüsselspeicher verknüpft wurde. Diese Zählung beginnt, wenn Sie die Anmeldeinformation für die Authentifizierung beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eingeben. Diese Metrik gilt nur für externe Schlüsselspeicher.
Dieser Wert soll Sie daran erinnern, wie alt Ihre Anmeldeinformation für die Authentifizierung ist. Da wir jedoch mit der Zählung beginnen, wenn Sie die Anmeldeinformation mit Ihrem externen Schlüsselspeicher verknüpfen, und nicht, wenn Sie Ihre Anmeldeinformation für die Authentifizierung auf dem Proxy des externen Schlüsselspeichers erstellen, ist dies möglicherweise kein genauer Indikator für das Alter der Anmeldeinformation auf dem Proxy.
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie daran erinnert, die Anmeldeinformationen für die Proxyauthentifizierung Ihres externen Schlüsselspeichers zu wechseln.
Name der Dimensionsgruppe: Per-Keystore Metrics (Metriken pro Keystore)
| Dimension | Beschreibung |
|---|---|
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter Überwachen Sie externe Schlüsselspeicher.
XksProxyErrors
Die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy. Diese Anzahl umfasst Ausnahmen, zu denen der externe Schlüsselspeicher-Proxy zurückkehrt, AWS KMS und Timeoutfehler, die auftreten, wenn der externe Schlüsselspeicher-Proxy nicht AWS KMS innerhalb des Timeout-Intervalls von 250 Millisekunden reagiert. Diese Metrik gilt nur für externe Schlüsselspeicher.
Mit dieser Metrik können Sie die Fehlerquote von KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verfolgen. Sie gibt Aufschluss über die häufigsten Fehler, sodass Sie Ihre Entwicklungsarbeit nach Prioritäten ordnen können. KMS-Schlüssel, die eine hohe Rate an nicht wiederholbaren Fehlern generieren, könnten beispielsweise auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Informationen zur Konfiguration Ihres externen Schlüsselspeichers finden Sie unter Externe Schlüsselspeicher anzeigen. Informationen zum Bearbeiten der Einstellungen Ihres externen Schlüsselspeichers finden Sie unter Eigenschaften des externen Schlüsselspeichers bearbeiten.
Name der Dimensionsgruppe: XKS Proxy Error Metrics (XKS-Proxy-Fehlermetriken)
| Dimension | Beschreibung |
|---|---|
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat. |
| XksOperation | Wert für jeden Proxy-API-Vorgang des externen Schlüsselspeichers. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT. |
| ErrorType | Werte:
|
| ExceptionName |
Werte:
|
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter Überwachen Sie externe Schlüsselspeicher.
XksExternalKeyManagerStates
Die Anzahl der Instances des externen Schlüsselmanagers in jedem der folgenden Zustände: Active, Degraded und Unavailable. Die Informationen für diese Metrik stammen von dem externen Schlüsselspeicher-Proxy, der jedem externen Schlüsselspeicher zugeordnet ist. Diese Metrik gilt nur für externe Schlüsselspeicher.
Nachfolgend sind die Zustände für die Instances des externen Schlüsselmanagers aufgeführt, die mit einem externen Schlüsselspeicher verbunden sind. Jeder Proxy für einen externen Schlüsselspeicher verwendet möglicherweise andere Indikatoren zur Messung des Zustands Ihres externen Schlüsselmanagers. Weitere Informationen finden Sie in der Dokumentation Ihres externen Schlüsselspeicher-Proxys.
-
Active: Der externe Schlüsselmanager ist fehlerfrei. -
Degraded: Der externe Schlüsselmanager ist fehlerhaft, kann aber trotzdem Datenverkehr bereitstellen. -
Unavailable: Der externe Schlüsselmanager kann keinen Datenverkehr bereitstellen.
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie auf heruntergestufte und nicht verfügbare externe Key-Manager-Instanzen aufmerksam macht. Sehen Sie in den Protokollen Ihres externen Schlüsselspeicher-Proxys nach, welche Instances des externen Schlüsselmanagers sich in welchem Zustand befinden.
Name der Dimensionsgruppe: XKS External Key Manager Metrics (XKS-Metriken für externe Key Manager)
| Dimension | Beschreibung |
|---|---|
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| XksExternalKeyManagerState | Wert für jeden Zustand. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter Überwachen Sie externe Schlüsselspeicher.
XksProxyLatency
Die Anzahl der Millisekunden, die ein externer Schlüsselspeicher-Proxy für die Antwort auf eine AWS KMS -Anforderung benötigt. Wenn die Anforderung eine Zeitüberschreitung aufweist, entspricht der aufgezeichnete Wert der Zeitüberschreitungsgrenze von 250 Millisekunden. Diese Metrik gilt nur für externe Schlüsselspeicher.
Verwenden Sie diese Metrik, um die Leistung Ihres externen Schlüsselspeicher-Proxys und Ihres externen Schlüsselmanagers zu bewerten. Wenn der Proxy beispielsweise bei Verschlüsselungs- und Entschlüsselungsvorgängen häufig eine Zeitüberschreitung aufweist, wenden Sie sich an Ihren externen Proxy-Administrator.
Langsame Antworten können auch darauf hindeuten, dass Ihr externer Schlüsselmanager den aktuellen Anforderungsverkehr nicht bewältigen kann. AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager bis zu 1800 Anfragen für kryptografische Operationen pro Sekunde verarbeiten kann. Wenn Ihr externer Schlüsselmanager die Rate von 1 800 Anforderungen pro Sekunde nicht bewältigen kann, sollten Sie eine Verringerung Ihrer Anforderungsquote für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher anfordern. Anforderungen für kryptografische Vorgänge, die die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, schlagen schnell mit einer Drosselungsausnahme fehl, anstatt verarbeitet und später von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager abgelehnt zu werden.
Name der Dimensionsgruppe: XKS Proxy Latency Metrics (XKS-Proxy-Latenzmetriken)
| Dimension | Beschreibung |
|---|---|
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat. |
| XksOperation | Wert für jeden Proxy-API-Vorgang des externen Schlüsselspeichers. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte Schlüsselspezifikation für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC_DEFAULT. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter Überwachen Sie externe Schlüsselspeicher.
