Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Supervise las claves de KMS con Amazon CloudWatch
Puedes monitorizar tu AWS KMS keys uso de [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), un AWS servicio que recopila y procesa datos sin procesar para AWS KMS convertirlos en métricas legibles y prácticamente en tiempo real. Estos datos se registran durante un periodo de dos semanas para que pueda obtener acceso a información histórica y conocer mejor el uso de sus claves KMS y sus cambios a lo largo del tiempo.
Puedes usar Amazon CloudWatch para avisarte de eventos importantes, como los siguientes.
+ El material clave importado de una clave KMS se acerca a su fecha de vencimiento.
+ Se sigue utilizando una clave KMS pendiente de eliminación.
+ El material clave de una clave KMS se rotó automáticamente.
+ Se ha eliminado una clave KMS.
También puedes crear una CloudWatch alarma de [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que te avise cuando tu porcentaje de solicitudes alcance un porcentaje determinado del valor de la cuota. Para obtener más información, consulta [Gestiona tus tasas de solicitudes de AWS KMS API mediante Service Quotas y Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) en el *blog AWS de seguridad*.
## AWS KMS métricas y dimensiones
AWS KMS predefine CloudWatch las métricas de Amazon para que le resulte más fácil monitorear los datos críticos y crear alarmas. Puedes ver las AWS KMS métricas mediante la API de Amazon Consola de administración de AWS y la CloudWatch API.
En esta sección, se enumeran todas AWS KMS las métricas y las dimensiones de cada una de ellas, y se proporciona una guía básica para crear CloudWatch alarmas en función de estas métricas y dimensiones.
**nota**
**Nombre del grupo de dimensiones**:
Para ver una métrica en la CloudWatch consola de Amazon, en la sección **Métricas**, selecciona el nombre del grupo de dimensiones. Luego, puede filtrar por **Nombre de la métrica**. Este tema incluye el nombre de la métrica y el nombre del grupo de dimensiones de cada métrica de AWS KMS .
Puedes ver AWS KMS las métricas mediante la API de Amazon Consola de administración de AWS y la CloudWatch API. Para obtener más información, consulta [Ver las métricas disponibles](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) en la *Guía del CloudWatch usuario de Amazon*.
**Topics**
+ [
### SuccessfulRequest
](#key-level-api-usage-metric)
+ [
### SecondsUntilKeyMaterialExpiration
](#key-material-expiration-metric)
+ [
### Nube HSMKey StoreThrottle
](#metric-throttling-cloudhsm)
+ [
### ExternalKeyStoreThrottle
](#metric-throttling)
+ [
### XksProxyCertificateDaysToExpire
](#metric-xks-proxy-certificate-days-to-expire)
+ [
### XksProxyCredentialAge
](#metric-xks-proxy-credential-age)
+ [
### XksProxyErrors
](#metric-xks-proxy-errors)
+ [
### XksExternalKeyManagerStates
](#metric-xks-ekm-states)
+ [
### XksProxyLatency
](#metric-xks-proxy-latency)
### SuccessfulRequest
El número de solicitudes correctas de operaciones criptográficas en una clave de KMS específica. Al usar la `SuccessfulRequest` métrica, puedes aplicar un filtrado a nivel clave al uso de la AWS KMS API en. CloudWatch La estadística `Sum` de esta métrica define el número total de solicitudes satisfactorias durante el periodo.
Utilice esta métrica para identificar qué claves de KMS consumen la mayor parte de su cuota de solicitudes o son las que más contribuyen a los cargos de la API. También puedes crear una CloudWatch alarma basada en la `SuccesfulRequest` métrica para que te notifique los patrones anómalos de uso de la AWS KMS API. Estas alertas pueden ayudar a identificar los flujos de trabajo ineficientes que podrían superar, de manera no intencional, las cuotas de solicitudes o generar cargos inesperados.
**Dimensiones para `SuccessfulRequest`**
| Dimensión | Description (Descripción) |
| --- | --- |
| KeyArn | Valor para cada clave de KMS. |
| Operación | Valor para cada operación AWS KMS de API. Esta métrica se aplica únicamente a operaciones criptográficas. |
En el caso de [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)las operaciones, la `SuccessfulRequest` métrica incluye dimensiones para las claves KMS de origen y destino.
| Dimensión | Description (Descripción) |
| --- | --- |
| SourceKeyArn | Valor de la clave de KMS que descifró el texto cifrado. |
| DestinationKeyArn | Valor de la clave de KMS que volvió a cifrar los datos. |
| Operación | Valor para cada operación de AWS KMS API, en este caso, ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
La cantidad de segundos que restan hasta la primera fecha de caducidad del [material de clave importado](importing-keys.md) de una clave de KMS. Esta métrica es válida solo para las claves de KMS con material de clave importado (un [origen de material de clave](create-keys.md#key-origin) de `EXTERNAL`) y una fecha de caducidad.
Utilice esta métrica para realizar un seguimiento del tiempo que resta hasta la primera fecha de caducidad del material de claves importado. Cuando ese tiempo cae por debajo de un umbral que usted define, debe volver a importar el material de claves con una nueva fecha de caducidad para mantener la clave de KMS en uso. La métrica `SecondsUntilKeyMaterialExpiration` es específica de una clave de KMS. No puede usar esta métrica para supervisar varias claves de KMS o claves de KMS que pueda crear en el futuro. Si necesita ayuda para crear una CloudWatch alarma para supervisar esta métrica, consulte[Cree una CloudWatch alarma de caducidad del material clave importado](imported-key-material-expiration-alarm.md).
La estadística más útil para esta métrica es `Minimum`, que le indica la menor cantidad de tiempo restante para todos los puntos de datos en el período estadístico especificado. La única unidad válida para esta métrica es `Seconds`.
**Nombre del grupo de dimensiones**: **Per-Key Metrics**
**Dimensiones para `SecondsUntilKeyMaterialExpiration`**
| Dimensión | Descripción; relacionada con AWS |
| --- | --- |
| KeyId | Valor para cada clave de KMS. |
Al programar una [eliminación de claves](deleting-keys.md) de una clave KMS, AWS KMS aplica un periodo de espera antes de eliminar la clave KMS. Puede usar el periodo de espera para asegurarse de que no necesita la clave KMS ni ahora ni en el futuro. También puede configurar una CloudWatch alarma para que le avise si una persona o aplicación intenta utilizar la clave KMS en una [operación criptográfica](kms-cryptography.md#cryptographic-operations) durante el período de espera. Si recibe una notificación de una alarma de este tipo, puede cancelar la eliminación de la clave KMS.
Para obtener instrucciones, consulte [Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS](deleting-keys-creating-cloudwatch-alarm.md).
### Nube HSMKey StoreThrottle
El número de solicitudes de operaciones criptográficas en las claves de KMS de cada almacén de AWS CloudHSM claves que se AWS KMS limita (responde con una). `ThrottlingException` Esta métrica solo se aplica a los almacenes de claves AWS CloudHSM .
La `CloudHSMKeyStoreThrottle` métrica se aplica solo a las claves de KMS de un almacén de AWS CloudHSM claves y solo a las solicitudes de [operaciones criptográficas](kms-cryptography.md#cryptographic-operations). AWS KMS [limita estas solicitudes cuando la tasa de solicitudes](throttling.md) supera la [cuota de solicitudes del almacén de claves personalizado de su AWS CloudHSM almacén](requests-per-second.md#rps-key-stores) de claves. Esta métrica también incluye la limitación por clúster. AWS CloudHSM
**Nombre del grupo de dimensiones**: **Keystore Throttle Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de AWS CloudHSM claves. |
| KmsOperation | Valor para cada operación AWS KMS de API. Esta métrica se aplica solo a las operaciones criptográficas en las claves de KMS en un almacén de claves de AWS CloudHSM . |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves es AWS CloudHSM SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
El número de solicitudes de operaciones criptográficas en las claves de KMS en cada almacén de claves externo que se limita (responde con AWS KMS un). `ThrottlingException` Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
[La `ExternalKeyStoreThrottle` métrica solo se aplica a las claves KMS de un almacén de claves externo y solo a las solicitudes de operaciones criptográficas.](kms-cryptography.md#cryptographic-operations) AWS KMS [limita estas solicitudes cuando la tasa de solicitudes](throttling.md) supera la [cuota de solicitudes del almacén de claves personalizado del almacén](requests-per-second.md#rps-key-stores) de claves externo. Esta métrica no incluye la limitación por parte del proxy del almacén de claves externo ni del administrador de claves externo.
Usa esta métrica para revisar y ajustar el valor de la cuota de solicitudes de su almacén de claves personalizado. Si esta métrica indica que las solicitudes de estas claves de KMS AWS KMS se limitan con frecuencia, podría considerar la posibilidad de solicitar un aumento en el valor de la cuota de solicitudes del almacén de claves personalizado. Para conocer más detalles, consulte [Solicitud de un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*.
Si con frecuencia recibe errores `KMSInvalidStateException` con un mensaje que explica que la solicitud fue rechazada “debido a una tasa de solicitudes muy alta” o “debido a que el proxy del almacén de claves externo no respondió a tiempo”, podría indicar que su administrador de claves externo o el proxy de almacén de claves externo no puede seguir el ritmo de la tasa de solicitudes actual. Si es posible, reduzca el porcentaje de solicitudes. También podría considerar solicitar una disminución en el valor de la cuota de solicitudes del almacén de claves personalizado. Reducir este valor de cuota puede aumentar la limitación (y el valor de la `ExternalKeyStoreThrottle` métrica), pero indica que AWS KMS se está rechazando el exceso de solicitudes rápidamente antes de enviarlas al proxy del almacén de claves externo o al administrador de claves externo. Para solicitar una reducción de la cuota, visite el [Centro de AWS Support](https://console.aws.amazon.com/support/home) y crea un caso.
**Nombre del grupo de dimensiones**: **Keystore Throttle Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de API AWS KMS . Esta métrica se aplica solo a las operaciones criptográficas en las claves de KMS en un almacén de claves externo. |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación de clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
El número de días que faltan para que venza el certificado TLS del [punto de conexión del proxy del almacén de claves externo](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`). Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Usa esta métrica para crear una CloudWatch alarma que te notifique la próxima caducidad de tu certificado TLS. Cuando el certificado caduque, AWS KMS no podrá comunicarse con el proxy del almacén de claves externo. No se podrá acceder a todos los datos protegidos por las claves de KMS en su almacén de claves externo hasta que renueve el certificado.
Una alarma previene que caduque la certificación que le puede impedir a usted acceder a sus recursos encriptados. Configure la alarma para que su organización tenga tiempo de renovar el certificado antes de que venza.
**Nombre del grupo de dimensiones**: **XKS Proxy Certificate Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| CertificateName | Nombre del sujeto (CN) en el certificado TLS. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksProxyCredentialAge
La cantidad de días que transcurrieron desde que la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) del almacén de claves externo actual (`XksProxyAuthenticationCredential`) se asoció con el almacén de claves externo. Este recuento comienza cuando introduce la credencial de autenticación como parte para crear o actualizar su almacén de claves externo. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Este valor está diseñado para recordarle la antigüedad de su credencial de autenticación. Sin embargo, dado que empezamos el recuento cuando asocia la credencial a su almacén de claves externo, no cuando crea su credencial de autenticación en el proxy del almacén de claves externo, es posible que este no sea un indicador preciso de la antigüedad de las credenciales en el proxy.
Utilice esta métrica para crear una CloudWatch alarma que le recuerde que debe cambiar la credencial de autenticación del proxy del almacén de claves externo.
**Nombre del grupo de dimensiones**: **Per-Keystore Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksProxyErrors
El número de excepciones relacionadas con AWS KMS las solicitudes a su [proxy de almacén de claves externo](keystore-external.md#concept-xks-proxy). Este recuento incluye las excepciones a las que vuelve el proxy del almacén de claves externo AWS KMS y los errores de tiempo de espera que se producen cuando el proxy del almacén de claves externo no responde AWS KMS dentro del intervalo de tiempo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Puede utilizar esta métrica para realizar un seguimiento del porcentaje de errores de claves de KMS en su almacén de claves externo. Revela los errores más frecuentes, para que pueda priorizar sus esfuerzos de ingeniería. Por ejemplo, las claves de KMS que generan altas tasas de errores no reintentables pueden indicar un problema con la configuración de su almacén de claves externo. Para ver la configuración de su almacén de claves externo, consulte [Visualización de almacenes de claves externos](view-xks-keystore.md). Para editar la configuración de su almacén de claves externo, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
**Nombre del grupo de dimensiones**: **XKS Proxy Error Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de AWS KMS API que generó una solicitud al proxy XKS. |
| XksOperation | Valor para cada [operación de la API del proxy del almacén de claves externo](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación de clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC\$1DEFAULT. |
| ErrorType | Valores:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Valores: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/monitoring-cloudwatch.html) |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksExternalKeyManagerStates
Un recuento de la cantidad de [instancias de un administrador de claves externo](keystore-external.md#concept-ekm) en cada uno de los siguientes estados de condición: `Active`, `Degraded` y `Unavailable`. La información de esta métrica proviene del proxy del almacén de claves externo asociado a cada almacén de claves externo. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Los siguientes son los estados de condición para las instancias del administrador de claves externo asociadas a un almacén de claves externo. Cada proxy de almacén de claves externo puede utilizar diferentes indicadores para medir el estado de su administrador de claves externo. Para obtener más información, consulte la documentación del proxy del almacén de claves externo.
+ `Active`: el administrador de claves externo está en buen estado.
+ `Degraded`: el administrador de claves externo no está en buen estado, pero aún puede atender el tráfico.
+ `Unavailable`: el administrador de claves externo no puede atender el tráfico.
Utilice esta métrica para crear una CloudWatch alarma que le avise de las instancias del administrador de claves externo degradadas y no disponibles. Para determinar en qué estado se encuentra cada instancia del administrador de claves externo, consulte sus registros de proxy del almacén de claves externo.
**Nombre del grupo de dimensiones**: **XKS External Key Manager Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| XksExternalKeyManagerState | Valor para cada estado de condición. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
### XksProxyLatency
La cantidad de milisegundos que tarda un proxy del almacén de claves externo en responder a una solicitud de AWS KMS . Si se agotó el tiempo de espera de la solicitud, el valor registrado es un límite de tiempo de espera de 250 milisegundos. Esta métrica se aplica únicamente a los [almacenes de claves externos](keystore-external.md).
Utilice esta métrica para evaluar el rendimiento de su proxy de almacén de claves externo y de su administrador de claves externo. Por ejemplo, si el tiempo del proxy se agota con frecuencia en las operaciones de cifrado y descifrado, consulte a su administrador de proxy externo.
Las respuestas lentas también pueden indicar que tu administrador de claves externo no puede gestionar el tráfico de solicitudes actual. AWS KMS recomienda que su administrador de claves externo pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si su administrador de claves externo no puede gestionar la tasa de 1800 solicitudes por segundo, considere solicitar una reducción de su [cuota de solicitudes de claves de KMS en un almacén de claves personalizado](requests-per-second.md#rps-key-stores). Las solicitudes de operaciones criptográficas que utilizan las claves de KMS en su almacén de claves externo van a responder rápido a los errores con una [excepción de limitación](throttling.md), en lugar de ser procesadas y luego rechazadas por su proxy del almacén de claves externo o administrador de claves externo.
**Nombre del grupo de dimensiones**: **XKS Proxy Latency Metrics**
| Dimensión | Description (Descripción) |
| --- | --- |
| CustomKeyStoreId | Valor para cada almacén de claves externo. |
| KmsOperation | Valor para cada operación de AWS KMS API que generó una solicitud al proxy XKS. |
| XksOperation | Valor para cada [operación de la API del proxy del almacén de claves externo](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de clave de KMS. La única [especificación de clave](create-keys.md#key-spec) admitida para las claves de KMS en un almacén de claves externo es SYMMETRIC\$1DEFAULT. |
Puede crear CloudWatch alarmas en función de las métricas de los almacenes de claves externos y de las claves de KMS de los almacenes de claves externos. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
# Cree una CloudWatch alarma de caducidad del material clave importado
Puede crear una CloudWatch alarma que le notifique cuando el material clave importado en una clave de KMS se acerca a su fecha de caducidad. Por ejemplo, la alarma puede avisarle cuando el plazo de caducidad esté a menos de 30 días.
Al [importar material de claves en una clave KMS](importing-keys.md), también puede especificar de manera opcional una fecha y una hora en la que vence el material de claves. Cuando el material clave caduca, lo AWS KMS elimina y la clave KMS queda inutilizable. Para volver a usar la clave KMS, debe [volver a importar el material de claves](importing-keys-import-key-material.md#reimport-key-material). Sin embargo, si vuelve a importar el material de claves antes de que caduque, puede evitar interrumpir los procesos que utilizan esa clave de KMS.
Esta alarma utiliza la [`SecondsUntilKeyMaterialExpires`métrica](monitoring-cloudwatch.md#key-material-expiration-metric) que se AWS KMS publica en el caso de las claves CloudWatch de KMS cuyo material clave importado caduque. Cada alarma usa esta métrica para supervisar el material de claves importado para una clave de KMS en particular. No puede crear una sola alarma para todas las claves de KMS con material de claves que caduque ni una alarma para las claves de KMS que pueda crear en el futuro.
**Requisitos**
Se necesitan los siguientes recursos para una CloudWatch alarma que supervise la caducidad del material clave importado.
+ Una clave KMS con material de claves importado que caduca.
+ Un tema de Amazon SNS. Para obtener más información, consulte el [tema Creación de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) en la Guía * CloudWatch del usuario de Amazon*.
**Crear la alarma**
Siga las instrucciones de Cómo [crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija **KMS** y, a continuación, seleccione **Per-Key Metrics** (Métricas por clave). Seleccione la fila con la clave de KMS y la métrica `SecondsUntilKeyMaterialExpires`. A continuación, elija **Select metric (Seleccionar métrica)**. La lista **Metrics** (Métricas) muestra la métrica `SecondsUntilKeyMaterialExpires` solo para claves KMS con material de claves importado que caduca. Si no tiene claves de KMS con estas propiedades en la cuenta y la región, esta lista está vacía. |
| Estadística | Mínimo |
| Periodo | 1 minuto |
| Tipo de umbral | Estático |
| Whenever… | Siempre que metric-name sea mayor que 1 |
# Cree CloudWatch alarmas para almacenes de claves externos
Puedes crear CloudWatch alarmas de Amazon basadas en métricas externas del almacén de claves para que te notifiquen cuando el valor de una métrica supere un umbral que hayas especificado. La alarma puede enviar el mensaje a un [tema de Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) o a una [política de Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work). Para obtener información detallada sobre CloudWatch las alarmas, consulta [Uso de CloudWatch las alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.
Antes de crear una CloudWatch alarma de Amazon, necesitas un tema de Amazon SNS. Para obtener más información, consulte el [tema Creación de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) en la Guía * CloudWatch del usuario de Amazon*.
**Topics**
+ [
## Creación de una alarma para el vencimiento del certificado
](#cert-expire-alarm)
+ [
## Creación de una alarma para el tiempo de espera de respuesta
](#latency-alarm)
+ [
## Creación de una alarma para los errores reintentables
](#retryable-errors-alarm)
+ [
## Creación de una alarma para los errores no reintentables
](#nonretryable-errors-alarm)
## Creación de una alarma para el vencimiento del certificado
Esta alarma utiliza la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) métrica que se AWS KMS publica CloudWatch para registrar la caducidad prevista del certificado TLS asociado al punto de conexión proxy del almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
Le recomendamos configurar la alarma para que le avise 10 días antes de que venza su certificado, pero debe establecer el umbral que mejor se adapte a sus necesidades.
**Crear la alarma**
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija **KMS** y, a continuación, elija **XKS Proxy Certificate Metrics** (Métricas del certificado de proxy XKS). Seleccione la casilla de verificación junto al `XksProxyCertificateName` que desea monitorear. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Estadística | Mínimo |
| Periodo | 5 minutos |
| Tipo de umbral | Estático |
| Whenever… | Siempre que XksProxyCertificateDaysToExpiresea Lower que10. |
## Creación de una alarma para el tiempo de espera de respuesta
Esta alarma utiliza la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrica en la que se AWS KMS publica CloudWatch para registrar el número de milisegundos que tarda un proxy de almacén de claves externo en responder a una AWS KMS solicitud. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
AWS KMS espera que el proxy del almacén de claves externo responda a cada solicitud en un plazo de 250 milisegundos. Recomendamos configurar una alarma para que le avise cuando su proxy del almacén de claves externo tarde más de 200 milisegundos en responder, pero debe establecer el umbral que mejor se adapte a sus necesidades.
**Crear la alarma**
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija **KMS** y, a continuación, elija **XKS Proxy Latency Metrics** (Métricas del certificado de proxy XKS). Seleccione la casilla de verificación junto al `KmsOperation` que desea monitorear. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Estadística | Media |
| Periodo | 5 minutos |
| Tipo de umbral | Estático |
| Whenever… | Siempre que XksProxyLatencysea Greater que200. |
## Creación de una alarma para los errores reintentables
Esta alarma utiliza la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica en la que se AWS KMS publica CloudWatch para registrar el número de excepciones relacionadas con AWS KMS las solicitudes al proxy del almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
Los errores reintentables reducirán el porcentaje de fiabilidad y pueden indicar errores de red. Le recomendamos configurar una alarma para que le avise cuando se registren más de cinco errores reintentables en un periodo de un minuto, pero debe establecer el umbral que mejor se adapte a sus necesidades.
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija la pestaña **Queries** (Consultas). Elija `AWS/KMS` para **Namespace** (Espacio de nombres). Ingrese `SUM(XksProxyErrors)` para **Metric name** (Nombre de la métrica). Ingrese `ErrorType = Retryable` para **Filter by** (Filtrar por). Seleccione **Ejecutar**. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Etiqueta | Retryable errors |
| Periodo | 1 minuto |
| Tipo de umbral | Estático |
| Whenever… | Siempre que q1 sea Greater que 5. |
## Creación de una alarma para los errores no reintentables
Esta alarma utiliza la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica que se AWS KMS publica CloudWatch para registrar el número de excepciones relacionadas con AWS KMS las solicitudes al proxy del almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.
Los errores no reintentables pueden indicar un problema con la configuración del almacén de claves externo. Le recomendamos configurar una alarma para que le avise cuando se registren más de cinco errores no reintentables en un periodo de un minuto, pero debe establecer el umbral que mejor se adapte a sus necesidades.
Siga las instrucciones de [Crear una CloudWatch alarma basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Seleccionar métrica | Elija la pestaña **Queries** (Consultas). Elija `AWS/KMS` para **Namespace** (Espacio de nombres). Ingrese `SUM(XksProxyErrors)` para **Metric name** (Nombre de la métrica). Ingrese `ErrorType = Non-retryable` para **Filter by** (Filtrar por). Seleccione **Ejecutar**. A continuación, elija **Select metric (Seleccionar métrica)**. |
| Etiqueta | Non-retryable errors |
| Periodo | 1 minuto |
| Tipo de umbral | Estático |
| Whenever… | Siempre que q1 sea Greater que 5. |