Registro y monitorización en AWS Key Management Service

Cada llamada a una operación de la API de AWS KMS se captura como un evento en un registro de AWS CloudTrail. Estos registros registran todas las llamadas a las API realizadas desde la consola AWS KMS, y las llamadas realizadas por AWS KMS y otros servicios de AWS. Las llamadas a la API entre cuentas, como una llamada para usar una clave KMS en un Cuenta de AWS diferente, se registran en los registros de CloudTrail de ambas cuentas.

Al solucionar problemas o auditar, puede utilizar el registro para reconstruir el ciclo de vida de una clave KMS. También puede ver su administración y uso de la clave KMS en operaciones criptográficas. Para obtener más información, consulte Registrar AWS KMS API llamadas con AWS CloudTrail.

Monitoree, almacene y tenga acceso a los archivos de registro de AWS CloudTrail u otras fuentes. Para más información, consulte la Guía del usuario de Amazon CloudWatch.

Para AWS KMS, CloudWatch almacena información útil que lo ayuda a evitar problemas con sus claves de KMS y los recursos que protegen. Para obtener más información, consulte Monitorización de claves KMS con Amazon CloudWatch.

AWS KMS genera eventos de EventBridge cuando su clave KMS rota o se elimina o el material de clave importado en su clave KMS caduca. Busque eventos de AWS KMS (operaciones de API) y diríjalos a una o más secuencias o funciones de destino para capturar información de estado. Para obtener más información, consulte Monitorización de claves KMS con Amazon EventBridge y la Guía del usuario de Amazon EventBridge.

Puede monitorizar sus claves KMS mediante métricas de CloudWatch, que recopilan y procesan los datos sin formato de AWS KMS métricas de rendimiento. Los datos se registran en intervalos de dos semanas para que pueda ver las tendencias de la información actual e histórica. Esto le ayuda a comprender cómo se utilizan sus claves KMS y cómo su uso cambia con el tiempo. Para obtener información sobre cómo utilizar métricas de CloudWatch para monitorear claves KMS, consulte Métricas y dimensiones de AWS KMS.

Vea solo un cambio de alarma durante el periodo especificado. Luego, realice una o varias acciones según el valor de la métrica con respecto a un umbral durante varios períodos. Por ejemplo, puede crear una alarma de CloudWatch que se activa cuando alguien intenta usar una clave KMS que está programada para eliminarse en una operación criptográfica. Esto indica que la clave KMS todavía se está utilizando y probablemente no debería eliminarse. Para obtener más información, consulte Cree una alarma que detecte el uso de una KMS clave pendiente de eliminación.

Puede supervisar el uso que hace de AWS KMS para comprobar si cumple con los estándares y las prácticas recomendadas del sector en materia de seguridad usando AWS Security Hub. Security Hub utiliza controles de seguridad para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarle a cumplir varios marcos de conformidad. Para obtener más información, consulte AWS Key Management Service controls en la Guía del usuario de AWS Security Hub.