Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Monitorear AWS KMS keys
El monitoreo es una parte importante para entender la disponibilidad, el estado y el uso de su AWS KMS keys en AWS KMS y mantener la fiabilidad, la disponibilidad y el rendimiento de las soluciones de AWS. La recopilación de los datos de monitoreo de todas las partes de su solución de AWS le ayudará a depurar un error que se produce en distintas partes del código, en caso de que ocurra. No obstante, antes de comenzar a monitorizar las claves KMS, debe crear un plan de monitorización que incluya respuestas a las siguientes preguntas:
-
¿Cuáles son los objetivos de la supervisión?
-
¿Qué recursos va a supervisar?
-
¿Con qué frecuencia va a supervisar estos recursos?
-
¿Qué herramientas de monitorización va a utilizar?
-
¿Quién se encargará de realizar las tareas de monitoreo?
-
¿Quién debería recibir una notificación cuando suceda algo?
El siguiente paso es monitorear las claves KMS a lo largo del tiempo para establecer un punto de referencia para el uso normal de AWS KMS y las expectativas en su entorno. A medida que monitorice las claves KMS, almacene los datos de monitorización históricos para que pueda compararlos con los datos actuales, identificar los patrones normales y las anomalías, así como desarrollar métodos para la resolución de problemas.
Por ejemplo, puede monitorear la actividad de la API de AWS KMS y los eventos que afectan a su clave KMS. Cuando los datos están por encima o por debajo de las normas establecidas, es posible que efectuar una investigación o adoptar medidas correctivas.
Para establecer un punto de referencia para los patrones normales, monitorice los elementos siguientes:
-
Actividad de la API de AWS KMS para las operaciones de plano de datos. Estas son las operaciones criptográficas que utilizan una clave KMS, como Decrypt, Encrypt, ReEncrypt y GenerateDataKey.
-
La actividad de la API de AWS KMS para las operaciones de plano de control que considera importantes. Estas operaciones administran una clave KMS y usted puede monitorizar las que cambian la disponibilidad de una clave KMS (como ScheduleKeyDeletion, CancelKeyDeletion, DisableKey, EnableKey, ImportKeyMaterial y DeleteImportedKeyMaterial) o cambiar el control de acceso de una clave KMS (como PutKeyPolicy y RevokeGrant).
-
Otras métricas AWS KMS (como la cantidad de tiempo restante hasta que venza el material de claves importado) y eventos (como el vencimiento del material de claves importado o la eliminación de la rotación de claves de una clave KMS).
Herramientas de monitoreo
AWS proporciona varias herramientas que puede utilizar para monitorear sus claves KMS. Puede configurar algunas de estas herramientas para que monitoricen por usted, pero otras herramientas requieren intervención manual. Le recomendamos que automatice las tareas de monitorización en la medida de lo posible.
Herramientas de monitoreo automatizadas
Puede utilizar las siguientes herramientas de monitorización automatizada para monitorizar sus claves KMS e informar cuando haya algún cambio.
-
Monitoreo de registros de AWS CloudTrail: comparta archivos de registro entre cuentas, monitoree los archivos de registro de CloudTrail en tiempo real enviándolos a CloudWatch Logs, escriba aplicaciones de procesamiento de registros con la Biblioteca de procesamiento de CloudTrail, y compruebe que los archivos de registro no hayan cambiado después de que CloudTrail los entregara. Para obtener más información, consulte Uso de archivos de registro de CloudTrail en la Guía del usuario de AWS CloudTrail.
-
Alarmas de Amazon CloudWatch: vigile una métrica durante un periodo de tiempo especificado y realice una o varias acciones según el valor que tenga la métrica en comparación con un determinado umbral durante una serie de periodos de tiempo. La acción es una notificación enviada a un tema de Amazon Simple Notification Service (Amazon SNS) o a una política de Amazon EC2 Auto Scaling. Las alarmas de CloudWatch no invocan acciones tan solo por tener un estado determinado; es necesario que el estado haya cambiado y se mantenga durante un número específico de periodos. Para obtener más información, consulte Monitorización de claves KMS con Amazon CloudWatch.
-
Amazon EventBridge: seleccione los eventos y diríjalos hacia uno o varios flujos o funciones de destino para capturar información de estado, si fuera necesario, realizar cambios o aplicar medidas correctivas. Para obtener más información, consulte Monitorización de claves KMS con Amazon EventBridge y la Guía del usuario de Amazon EventBridge.
-
Registros de Amazon CloudWatch: monitorice, almacene y obtenga acceso a los archivos de registro de AWS CloudTrail u otras fuentes. Para obtener más información, consulte la Guía del usuario de Registros de Amazon CloudWatch.
Herramientas de monitoreo manuales
Otra parte importante del monitoreo de las claves KMS implica la monitorización manual de estos elementos que no cubren las alarmas y los eventos de CloudWatch. AWS KMS, CloudWatch, AWS Trusted Advisor y otros paneles de AWS proporcionan una vista rápida del estado de su entorno de AWS.
Puede personalizar las Claves administradas por AWS y las páginas Customer Managed Keys (Claves administradas por el cliente) de la consola de AWS KMS
-
ID de clave
-
Status
-
Fecha de creación
-
Fecha de vencimiento (para las claves KMS con material de claves importado)
-
Origen
-
ID de almacén de claves personalizado (para las claves KMS en almacenes de claves personalizados)
El panel de la consola de CloudWatch
-
Alarmas y estado actual
-
Gráficos de alarmas y recursos
-
Estado de los servicios
Además, puede utilizar CloudWatch para hacer lo siguiente:
-
Crear paneles personalizados para monitorizar los servicios que le interesan
-
Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias
-
Buscar y examinar todas sus métricas de recursos de AWS.
-
Crear y editar las alarmas de notificación de problemas
AWS Trusted Advisor puede ayudarlo a monitorear los recursos de AWS para mejorar el rendimiento, la fiabilidad, la seguridad y la rentabilidad. Hay cuatro comprobaciones de Trusted Advisor disponibles para todos los usuarios y hay más de 50 comprobaciones disponibles para usuarios con un plan de soporte Business o Enterprise. Para obtener más información, consulte AWS Trusted Advisor