Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachen Sie KMS-Schlüssel mit Amazon CloudWatch
Sie können Ihre AWS KMS keys Nutzung von [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/) überwachen CloudWatch, einem AWS Service, der Rohdaten sammelt und AWS KMS in lesbare, nahezu in Echtzeit verfügbare Metriken verarbeitet. Diese Daten werden für einen Zeitraum von zwei Wochen aufgezeichnet, damit Sie auf historische Daten zugreifen und die Nutzung Ihrer KMS-Schlüssel sowie deren Änderungen besser nachvollziehen können.
Sie können Amazon verwenden CloudWatch , um Sie auf wichtige Ereignisse wie die folgenden aufmerksam zu machen.
+ Das importierte Schlüsselmaterial in einem KMS-Schlüssel befindet kurz vor dem Ablaufdatum.
+ Ein KMS-Schlüssel, dessen Löschung ansteht, wird immer noch verwendet.
+ Das Schlüsselmaterial in einem KMS-Schlüssel wurde automatisch rotiert.
+ Ein KMS-Schlüssel wurde gelöscht.
Sie können auch einen [ CloudWatchAmazon-Alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) einrichten, der Sie benachrichtigt, wenn Ihre Anforderungsrate einen bestimmten Prozentsatz eines Kontingents erreicht. Einzelheiten finden Sie im *AWS Sicherheitsblog* unter [Verwalten Sie Ihre AWS KMS API-Anforderungsraten mithilfe von Service Quotas und Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/).
## AWS KMS Metriken und Dimensionen
AWS KMS definiert CloudWatch Amazon-Metriken, um Ihnen die Überwachung kritischer Daten und die Erstellung von Alarmen zu erleichtern. Sie können die AWS KMS Metriken mithilfe der AWS-Managementkonsole und der CloudWatch Amazon-API anzeigen.
In diesem Abschnitt werden die einzelnen AWS KMS Metriken und die Dimensionen für jede Metrik aufgeführt und einige grundlegende Anleitungen zur Erstellung von CloudWatch Alarmen auf der Grundlage dieser Metriken und Dimensionen bereitgestellt.
**Anmerkung**
**Name der Dimensionsgruppe**:
Um eine Metrik in der CloudWatch Amazon-Konsole anzuzeigen, wählen Sie im Abschnitt **Metriken** den Namen der Dimensionsgruppe aus. Dann können Sie nach dem **Metriknamen** filtern. Dieses Thema enthält den Metriknamen und den Dimensionsgruppennamen für jede AWS KMS -Metrik.
Sie können AWS KMS Metriken mithilfe der AWS-Managementkonsole und der CloudWatch Amazon-API anzeigen. Weitere Informationen finden Sie unter [Verfügbare Messwerte anzeigen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [Wolke HSMKey StoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
Die Anzahl erfolgreicher Anfragen für kryptografische Operationen mit einem bestimmten KMS-Schlüssel. Mithilfe der `SuccessfulRequest` Metrik können Sie Filter auf Schlüsselebene auf die AWS KMS API-Nutzung in anwenden. CloudWatch Die `Sum` Statistik für diese Metrik definiert die Gesamtzahl der erfolgreichen Anfragen während des Zeitraums.
Verwenden Sie diese Metrik, um zu ermitteln, welche KMS-Schlüssel den größten Teil Ihres Anforderungskontingents verbrauchen oder am meisten zu den API-Gebühren beitragen. Sie können auch einen CloudWatch Alarm auf der Grundlage der `SuccesfulRequest` Metrik erstellen, um Sie über ungewöhnliche AWS KMS API-Nutzungsmuster zu informieren. Diese Benachrichtigungen können dabei helfen, ineffiziente Workflows zu identifizieren, die Ihre Anforderungsquoten unbeabsichtigt überschreiten oder unerwartete Gebühren verursachen könnten.
**Abmessungen für `SuccessfulRequest`**
| Dimension | Description |
| --- | --- |
| KeyArn | Wert für jeden KMS-Schlüssel. |
| Operation | Wert für jeden AWS KMS API-Vorgang. Diese Metrik gilt nur für kryptografische Operationen. |
Bei [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)Vorgängen umfasst die `SuccessfulRequest` Metrik Dimensionen sowohl für den Quell- als auch für den Ziel-KMS-Schlüssel.
| Dimension | Description |
| --- | --- |
| SourceKeyArn | Wert für den KMS-Schlüssel, der den Chiffretext entschlüsselt hat. |
| DestinationKeyArn | Wert für den KMS-Schlüssel, der die Daten erneut verschlüsselt hat. |
| Operation | Wert für jeden AWS KMS API-Vorgang, in diesem Fall ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
Die Anzahl der Sekunden, die bis zum frühesten ablaufenden [importierten Schlüsselmaterial in einem KMS-Schlüssel](importing-keys.md) verbleiben. Diese Metrik gilt nur für KMS-Schlüssel mit importiertem Schlüsselmaterial ([Herkunft des Schlüsselmaterials](create-keys.md#key-origin) `EXTERNAL`) und einem Ablaufdatum.
Verwenden Sie diese Metrik, um zu verfolgen, wie viel Zeit noch verbleibt, bis Ihr importiertes Schlüsselmaterial abläuft, das am frühesten abläuft. Wenn diese Zeit unter einen von Ihnen definierten Schwellenwert fällt, sollten Sie das Schlüsselmaterial mit einem neuen Ablaufdatum erneut importieren, damit der KMS-Schlüssel weiterhin verwendet werden kann. Die `SecondsUntilKeyMaterialExpiration`-Metrik ist spezifisch für einen KMS-Schlüssel. Sie können diese Metrik nicht verwenden, um mehrere KMS-Schlüssel oder KMS-Schlüssel, die Sie möglicherweise in Zukunft erstellen werden, zu überwachen. Hilfe zum Erstellen eines CloudWatch Alarms zur Überwachung dieser Metrik finden Sie unter[Einen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen](imported-key-material-expiration-alarm.md).
Die nützlichste Statistik für diese Metrik ist `Minimum`, die Ihnen die kleinste verbleibende Zeit für alle Datenpunkte im angegebenen Statistikzeitraum angibt. Die einzige gültige Einheit für diese Metrik ist `Seconds`.
**Name der Dimensionsgruppe**: **Per-Key Metrics** (Metriken pro Schlüssel)
**Dimensionen für `SecondsUntilKeyMaterialExpiration`**
| Dimension | Beschreibung; bezieht sich auf AWS |
| --- | --- |
| KeyId | Wert für jeden KMS-Schlüssel. |
Wenn Sie für einen KMS-Schlüssel das [Löschen planen](deleting-keys.md), erzwingt AWS KMS vor dem Löschen des KMS-Schlüssels eine Wartezeit. In der Wartezeit können Sie sicherzustellen, dass Sie den KMS-Schlüssel jetzt oder in der Zukunft nicht mehr benötigen. Sie können auch einen CloudWatch Alarm konfigurieren, der Sie warnt, wenn eine Person oder Anwendung während der Wartezeit versucht, den KMS-Schlüssel in einem [kryptografischen Vorgang](kms-cryptography.md#cryptographic-operations) zu verwenden. Wenn Sie eine Benachrichtigung von einem solchen Alarm erhalten, können Sie das Löschen des KMS-Schlüssel abbrechen.
Detaillierte Anweisungen finden Sie unter [Erstellen Sie einen Alarm, der die Verwendung eines KMS-Schlüssels erkennt, dessen Löschung noch aussteht](deleting-keys-creating-cloudwatch-alarm.md).
### Wolke HSMKey StoreThrottle
Die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in jedem AWS CloudHSM Schlüsselspeicher, der AWS KMS gedrosselt wird (mit einem antwortet). `ThrottlingException` Diese Metrik gilt nur für Schlüsselspeicher. AWS CloudHSM
Die `CloudHSMKeyStoreThrottle` Metrik gilt nur für KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher und nur für Anfragen für [kryptografische Operationen](kms-cryptography.md#cryptographic-operations). AWS KMS [drosselt diese Anfragen](throttling.md), wenn die Anforderungsrate das [benutzerdefinierte Schlüsselspeicher-Anforderungskontingent für Ihren AWS CloudHSM Schlüsselspeicher](requests-per-second.md#rps-key-stores) überschreitet. Diese Metrik beinhaltet auch die Drosselung durch den Cluster. AWS CloudHSM
**Name der Dimensionsgruppe**: **Keystore Throttle Metrics** (Keystore-Drossel-Metriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden AWS CloudHSM Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang. Diese Metrik gilt nur für kryptografische Operationen mit KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
Die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in jedem externen Schlüsselspeicher, der AWS KMS gedrosselt wird (mit einem antwortet). `ThrottlingException` Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
[Die `ExternalKeyStoreThrottle` Metrik gilt nur für KMS-Schlüssel in einem externen Schlüsselspeicher und nur für Anfragen für kryptografische Operationen.](kms-cryptography.md#cryptographic-operations) AWS KMS [drosselt diese Anfragen](throttling.md), wenn die Anforderungsrate das [Anforderungskontingent für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores) für Ihren externen Schlüsselspeicher überschreitet. Diese Metrik berücksichtigt nicht die Drosselung durch Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
Verwenden Sie diese Metrik, um den Wert Ihres Anforderungskontingents für benutzerdefinierte Schlüsselspeicher zu überprüfen und anzupassen. Wenn diese Metrik darauf hindeutet, AWS KMS dass Ihre Anfragen für diese KMS-Schlüssel häufig gedrosselt werden, sollten Sie erwägen, eine Erhöhung Ihres Kontingents für benutzerdefinierte Schlüsselspeicher-Anfragen zu beantragen. Hilfe finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*.
Wenn Sie sehr häufig `KMSInvalidStateException`-Fehler mit einer Meldung erhalten, in der erklärt wird, dass die Anforderung „aufgrund einer sehr hohen Anforderungsrate“ abgelehnt wurde oder die Anforderung abgelehnt wurde, „weil der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat“, könnte dies darauf hinweisen, dass Ihr externer Schlüsselmanager oder externer Schlüsselspeicher-Proxy mit der aktuellen Anforderungsrate nicht Schritt halten kann. Verringen Sie wenn möglich Ihre Anforderungsrate. Sie können auch eine Verringerung des Anforderungskontingentwerts für benutzerdefinierte Schlüsselspeicher anfordern. Eine Verringerung dieses Kontingentwerts kann die Drosselung (und den `ExternalKeyStoreThrottle` Metrikwert) erhöhen, bedeutet aber, dass AWS KMS überschüssige Anfragen schnell zurückgewiesen werden, bevor sie an Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager gesendet werden. Um eine Reduzierung des Kontingents zu beantragen, besuchen Sie bitte das [AWS Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall.
**Name der Dimensionsgruppe**: **Keystore Throttle Metrics** (Keystore-Drossel-Metriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden API-Vorgang AWS KMS . Diese Metrik gilt nur für kryptografische Operationen mit KMS-Schlüsseln in einem externen Schlüsselspeicher. |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
Die Anzahl der Tage, bis das TLS-Zertifikat für den [Proxy-Endpunkt Ihres externen Schlüsselspeichers](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`) abläuft. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie über den bevorstehenden Ablauf Ihres TLS-Zertifikats informiert. Wenn das Zertifikat abläuft, AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommuniziert werden. Der Zugriff auf alle durch KMS-Schlüssel geschützten Daten in Ihrem externen Schlüsselspeicher ist dann erst wieder möglich, wenn Sie das Zertifikat erneuern.
Ein Zertifikatsalarm verhindert, dass ein abgelaufenes Zertifikat den Zugriff auf Ihre verschlüsselten Ressourcen verhindert. Stellen Sie den Alarm so ein, dass Ihre Organisation Zeit hat, das Zertifikat zu erneuern, bevor es abläuft.
**Name der Dimensionsgruppe**: **XKS Proxy Certificate Metrics** (XKS-Proxy-Zertifikatsmetriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| CertificateName | Subjektname (CN) im TLS-Zertifikat. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksProxyCredentialAge
Die Anzahl der Tage, seit die aktuelle [Anmeldeinformation für die Proxy-Authentifizierung](keystore-external.md#concept-xks-credential) des externen Schlüsselspeichers (`XksProxyAuthenticationCredential`) mit dem externen Schlüsselspeicher verknüpft wurde. Diese Zählung beginnt, wenn Sie die Anmeldeinformation für die Authentifizierung beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eingeben. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Dieser Wert soll Sie daran erinnern, wie alt Ihre Anmeldeinformation für die Authentifizierung ist. Da wir jedoch mit der Zählung beginnen, wenn Sie die Anmeldeinformation mit Ihrem externen Schlüsselspeicher verknüpfen, und nicht, wenn Sie Ihre Anmeldeinformation für die Authentifizierung auf dem Proxy des externen Schlüsselspeichers erstellen, ist dies möglicherweise kein genauer Indikator für das Alter der Anmeldeinformation auf dem Proxy.
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie daran erinnert, Ihre Proxyauthentifizierungsdaten für den externen Schlüsselspeicher zu wechseln.
**Name der Dimensionsgruppe**: **Per-Keystore Metrics** (Metriken pro Keystore)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksProxyErrors
Die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy). Diese Anzahl umfasst Ausnahmen, zu denen der externe Schlüsselspeicher-Proxy zurückkehrt, AWS KMS und Timeoutfehler, die auftreten, wenn der externe Schlüsselspeicher-Proxy nicht AWS KMS innerhalb des Timeout-Intervalls von 250 Millisekunden reagiert. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Mit dieser Metrik können Sie die Fehlerquote von KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verfolgen. Sie gibt Aufschluss über die häufigsten Fehler, sodass Sie Ihre Entwicklungsarbeit nach Prioritäten ordnen können. KMS-Schlüssel, die eine hohe Rate an nicht wiederholbaren Fehlern generieren, könnten beispielsweise auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Informationen zur Konfiguration Ihres externen Schlüsselspeichers finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md). Informationen zum Bearbeiten der Einstellungen Ihres externen Schlüsselspeichers finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
**Name der Dimensionsgruppe**: **XKS Proxy Error Metrics** (XKS-Proxy-Fehlermetriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat. |
| XksOperation | Wert für jeden [Proxy-API-Vorgang des externen Schlüsselspeichers](keystore-external.md#concept-proxy-apis). |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
| ErrorType | Werte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Werte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/monitoring-cloudwatch.html) |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksExternalKeyManagerStates
Die Anzahl der [Instances des externen Schlüsselmanagers](keystore-external.md#concept-ekm) in jedem der folgenden Zustände: `Active`, `Degraded` und `Unavailable`. Die Informationen für diese Metrik stammen von dem externen Schlüsselspeicher-Proxy, der jedem externen Schlüsselspeicher zugeordnet ist. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Nachfolgend sind die Zustände für die Instances des externen Schlüsselmanagers aufgeführt, die mit einem externen Schlüsselspeicher verbunden sind. Jeder Proxy für einen externen Schlüsselspeicher verwendet möglicherweise andere Indikatoren zur Messung des Zustands Ihres externen Schlüsselmanagers. Weitere Informationen finden Sie in der Dokumentation Ihres externen Schlüsselspeicher-Proxys.
+ `Active`: Der externe Schlüsselmanager ist fehlerfrei.
+ `Degraded`: Der externe Schlüsselmanager ist fehlerhaft, kann aber trotzdem Datenverkehr bereitstellen.
+ `Unavailable`: Der externe Schlüsselmanager kann keinen Datenverkehr bereitstellen.
Verwenden Sie diese Metrik, um einen CloudWatch Alarm zu erstellen, der Sie auf heruntergestufte und nicht verfügbare externe Key-Manager-Instanzen aufmerksam macht. Sehen Sie in den Protokollen Ihres externen Schlüsselspeicher-Proxys nach, welche Instances des externen Schlüsselmanagers sich in welchem Zustand befinden.
**Name der Dimensionsgruppe**: **XKS External Key Manager Metrics** (XKS-Metriken für externe Key Manager)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| XksExternalKeyManagerState | Wert für jeden Zustand. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
### XksProxyLatency
Die Anzahl der Millisekunden, die ein externer Schlüsselspeicher-Proxy für die Antwort auf eine AWS KMS -Anforderung benötigt. Wenn die Anforderung eine Zeitüberschreitung aufweist, entspricht der aufgezeichnete Wert der Zeitüberschreitungsgrenze von 250 Millisekunden. Diese Metrik gilt nur für [externe Schlüsselspeicher](keystore-external.md).
Verwenden Sie diese Metrik, um die Leistung Ihres externen Schlüsselspeicher-Proxys und Ihres externen Schlüsselmanagers zu bewerten. Wenn der Proxy beispielsweise bei Verschlüsselungs- und Entschlüsselungsvorgängen häufig eine Zeitüberschreitung aufweist, wenden Sie sich an Ihren externen Proxy-Administrator.
Langsame Antworten können auch darauf hindeuten, dass Ihr externer Schlüsselmanager den aktuellen Anforderungsverkehr nicht bewältigen kann. AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager bis zu 1800 Anfragen für kryptografische Operationen pro Sekunde verarbeiten kann. Wenn Ihr externer Schlüsselmanager die Rate von 1 800 Anforderungen pro Sekunde nicht bewältigen kann, sollten Sie eine [Verringerung Ihrer Anforderungsquote für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher](requests-per-second.md#rps-key-stores) anfordern. Anforderungen für kryptografische Vorgänge, die die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, schlagen schnell mit einer [Drosselungsausnahme](throttling.md) fehl, anstatt verarbeitet und später von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager abgelehnt zu werden.
**Name der Dimensionsgruppe**: **XKS Proxy Latency Metrics** (XKS-Proxy-Latenzmetriken)
| Dimension | Description |
| --- | --- |
| CustomKeyStoreId | Wert für jeden externen Schlüsselspeicher. |
| KmsOperation | Wert für jeden AWS KMS API-Vorgang, der eine Anfrage an den XKS-Proxy generiert hat. |
| XksOperation | Wert für jeden [Proxy-API-Vorgang des externen Schlüsselspeichers](keystore-external.md#concept-proxy-apis). |
| KeySpec | Wert für jeden Typ von KMS-Schlüssel. Die einzige unterstützte [Schlüsselspezifikation](create-keys.md#key-spec) für KMS-Schlüssel in einem externen Schlüsselspeicher ist SYMMETRIC\$1DEFAULT. |
Sie können CloudWatch Alarme auf der Grundlage der Metriken für externe Schlüsselspeicher und KMS-Schlüssel in externen Schlüsselspeichern erstellen. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
# Einen CloudWatch Alarm für den Ablauf von importiertem Schlüsselmaterial erstellen
Sie können einen CloudWatch Alarm erstellen, der Sie benachrichtigt, wenn sich das in einem KMS-Schlüssel importierte Schlüsselmaterial seiner Ablaufzeit nähert. Der Alarm kann Sie beispielsweise benachrichtigen, wenn die Zeit in weniger als 30 Tagen abläuft.
Wenn Sie [Schlüsselmaterial in einen KMS-Schlüssel importieren](importing-keys.md), können Sie optional festlegen, an welchem Datum und zu welcher Uhrzeit das Schlüsselmaterial abläuft. Wenn das Schlüsselmaterial abläuft, wird das Schlüsselmaterial AWS KMS gelöscht und der KMS-Schlüssel wird unbrauchbar. Wenn Sie den KMS-Schlüssel erneut nutzen möchten, müssen Sie [das Schlüsselmaterial erneut importieren](importing-keys-import-key-material.md#reimport-key-material). Wenn Sie das Schlüsselmaterial erneut importieren, bevor es abläuft, können Sie jedoch verhindern, dass Prozesse unterbrochen werden, die diesen KMS-Schlüssel verwenden.
Dieser Alarm verwendet die [`SecondsUntilKeyMaterialExpires`Metrik](monitoring-cloudwatch.md#key-material-expiration-metric), die AWS KMS veröffentlicht wird, um CloudWatch KMS-Schlüssel mit importiertem Schlüsselmaterial zu veröffentlichen, das abläuft. Jeder Alarm verwendet diese Metrik, um das importierte Schlüsselmaterial für einen bestimmten KMS-Schlüssel zu überwachen. Es ist nicht möglich, einen einzelnen Alarm für alle KMS-Schlüssel mit ablaufendem Schlüsselmaterial oder einen Alarm für KMS-Schlüssel, die Sie möglicherweise in Zukunft erstellen werden, zu erstellen.
**Voraussetzungen**
Die folgenden Ressourcen sind für einen CloudWatch Alarm erforderlich, der den Ablauf von importiertem Schlüsselmaterial überwacht.
+ Ein KMS-Schlüssel mit importiertem Schlüsselmaterial, das abläuft.
+ Amazon SNS-Thema. Einzelheiten finden Sie unter [Erstellen eines Amazon SNS SNS-Themas](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im * CloudWatch Amazon-Benutzerhandbuch*.
**Den Alarm erstellen**
Folgen Sie den Anweisungen unter [Erstellen Sie einen CloudWatch Alarm auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie **KMS** und dann **Per-Key Metrics** (Metriken pro Schlüssel) aus. Wählen Sie die Zeile mit dem KMS-Schlüssel und der `SecondsUntilKeyMaterialExpires`-Metrik aus. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. Die Liste **Metrics** (Metriken) zeigt die `SecondsUntilKeyMaterialExpires`-Metrik nur für KMS-Schlüssel an, deren importiertes Schlüsselmaterial abläuft. Wenn Sie keine KMS-Schlüssel mit diesen Eigenschaften im Konto und in der Region haben, ist diese Liste leer. |
| Statistik | Minimum |
| Zeitraum | 1 Minute |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Wann immer größer metric-name ist als 1 |
# CloudWatch Alarme für externe Schlüsselspeicher erstellen
Sie können CloudWatch Amazon-Alarme auf der Grundlage externer Key Store-Metriken erstellen, um Sie zu benachrichtigen, wenn ein Metrikwert einen von Ihnen angegebenen Schwellenwert überschreitet. Der Alarm kann die E-Mail-Nachricht an ein [Amazon Simple Notification Service (Amazon SNS)-Thema](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) oder eine [Richtlinie von Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work) senden. Ausführliche Informationen zu CloudWatch Alarmen finden Sie unter [Verwenden von CloudWatch Amazon-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.
Bevor Sie einen CloudWatch Amazon-Alarm erstellen können, benötigen Sie ein Amazon SNS-Thema. Einzelheiten finden Sie unter [Erstellen eines Amazon SNS SNS-Themas](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im * CloudWatch Amazon-Benutzerhandbuch*.
**Topics**
+ [Erstellen Sie einen Alarm für den Ablauf des Zertifikats](#cert-expire-alarm)
+ [Erstellen Sie einen Alarm für das Antwort-Timeout](#latency-alarm)
+ [Erstellen Sie einen Alarm für Fehler, die wiederholt werden können](#retryable-errors-alarm)
+ [Erstellen Sie einen Alarm für Fehler, die nicht wiederholt werden können](#nonretryable-errors-alarm)
## Erstellen Sie einen Alarm für den Ablauf des Zertifikats
Dieser Alarm verwendet die [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um den voraussichtlichen Ablauf des TLS-Zertifikats aufzuzeichnen, das Ihrem externen Schlüsselspeicher-Proxyendpunkt zugeordnet ist. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
Wir empfehlen, den Alarm so einzustellen, dass Sie 10 Tage vor Ablauf Ihres Zertifikats gewarnt werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
**Den Alarm erstellen**
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) mithilfe der folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie **KMS** und dann **XKS Proxy Certificate Metrics** (XKS-Proxy-Zertifikatsmetriken). Aktivieren Sie das Kontrollkästchen neben dem `XksProxyCertificateName`, den Sie überwachen möchten. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Statistik | Minimum |
| Zeitraum | 5 Minuten |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Wann immer XksProxyCertificateDaysToExpireist Lower dann10. |
## Erstellen Sie einen Alarm für das Antwort-Timeout
Dieser Alarm verwendet die [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um aufzuzeichnen, wie viele Millisekunden ein externer Schlüsselspeicher-Proxy benötigt, um auf eine Anfrage zu antworten. AWS KMS Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
AWS KMS erwartet, dass der externe Schlüsselspeicher-Proxy auf jede Anfrage innerhalb von 250 Millisekunden reagiert. Wir empfehlen, einen Alarm einzustellen, der Sie benachrichtigt, wenn Ihr externer Schlüsselspeicher-Proxy länger als 200 Millisekunden braucht, um zu antworten, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
**Den Alarm erstellen**
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts und verwenden Sie dabei](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie **KMS** und dann **XKS Proxy Latency Metrics** (XKS-Proxy-Latenzmetriken). Aktivieren Sie das Kontrollkästchen neben dem `KmsOperation`, den Sie überwachen möchten. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Statistik | Durchschnitt |
| Zeitraum | 5 Minuten |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Wann immer XksProxyLatencyist Greater dann200. |
## Erstellen Sie einen Alarm für Fehler, die wiederholt werden können
Dieser Alarm verwendet die [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy aufzuzeichnen. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
Wiederholbare Fehler verringern Ihren Zuverlässigkeitsgrad und können auf Netzwerkfehler hinweisen. Wir empfehlen, einen Alarm einzustellen, der Sie warnt, wenn mehr als fünf wiederholbare Fehler innerhalb einer Minute aufgezeichnet werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) mithilfe der folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie die Registerkarte **Queries** (Abfragen) aus. Wählen Sie `AWS/KMS` als **Namespace** aus. Geben Sie `SUM(XksProxyErrors)` als **Metriknamen** ein. Geben Sie `ErrorType = Retryable` bei **Filter by** (Filtern nach) ein. Klicken Sie auf **Ausführen**. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Label (Bezeichnung) | Retryable errors |
| Zeitraum | 1 Minute |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Immer wenn q1 Greater als 5 ist. |
## Erstellen Sie einen Alarm für Fehler, die nicht wiederholt werden können
Dieser Alarm verwendet die [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) Metrik, die AWS KMS veröffentlicht wird, CloudWatch um die Anzahl der Ausnahmen im Zusammenhang mit AWS KMS Anfragen an Ihren externen Schlüsselspeicher-Proxy aufzuzeichnen. Sie können nicht einen einzigen Alarm für alle externen Schlüsselspeicher in Ihrem Konto oder einen Alarm für externe Schlüsselspeicher erstellen, die Sie möglichweise in Zukunft erstellen.
Nicht wiederholbare Fehler können auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen. Wir empfehlen, einen Alarm einzustellen, der Sie warnt, wenn mehr als fünf nicht wiederholbare Fehler innerhalb einer Minute aufgezeichnet werden, aber Sie sollten den Schwellenwert festlegen, der Ihren Bedürfnissen am besten entspricht.
Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) mithilfe der folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| Metrik auswählen | Wählen Sie die Registerkarte **Queries** (Abfragen) aus. Wählen Sie `AWS/KMS` als **Namespace** aus. Geben Sie `SUM(XksProxyErrors)` als **Metriknamen** ein. Geben Sie `ErrorType = Non-retryable` bei **Filter by** (Filtern nach) ein. Klicken Sie auf **Ausführen**. Wählen Sie dann **Select Metric (Metrik auswählen)** aus. |
| Label (Bezeichnung) | Non-retryable errors |
| Zeitraum | 1 Minute |
| Threshold-Typ | Statisch |
| Immer, wenn ... | Immer wenn q1 Greater als 5 ist. |