Creación de una alarma para el vencimiento del certificado Creación de una alarma para el tiempo de espera de respuesta Creación de una alarma para los errores reintentables Creación de una alarma para los errores no reintentables

Creación de alarmas de CloudWatch para almacenes de claves externos

Puede crear alarmas de Amazon CloudWatch basadas en métricas de un almacén de claves externo para que lo notifiquen cuando el valor de una métrica supere el umbral que haya especificado. La alarma puede enviar el mensaje a un tema de Amazon Simple Notification Service (Amazon SNS) o a una política de Amazon EC2 Auto Scaling. Para obtener información detallada acerca de las alarmas de CloudWatch, consulte Uso de las alarmas de Amazon CloudWatch en la Guía del usuario de Amazon CloudWatch.

Antes de crear una alarma de Amazon CloudWatch, necesita un tema de Amazon SNS. Para obtener más información, consulte Creación de un tema de Amazon SNS en la Guía del usuario de Amazon CloudWatch.

Temas

Creación de una alarma para el vencimiento del certificado
Creación de una alarma para el tiempo de espera de respuesta
Creación de una alarma para los errores reintentables
Creación de una alarma para los errores no reintentables

Creación de una alarma para el vencimiento del certificado

Esta alarma utiliza la métrica XksProxyCertificateDaysToExpire que AWS KMS publica en CloudWatch para registrar el vencimiento previsto del certificado TLS asociado al punto de conexión del proxy de su almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.

Le recomendamos configurar la alarma para que le avise 10 días antes de que venza su certificado, pero debe establecer el umbral que mejor se adapte a sus necesidades.

Crear la alarma

Siga las instrucciones de Create CloudWatch alarm based on a static threshold (Creación de una alarma de CloudWatch basada en un umbral estático). Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.

Campo	Valor
Seleccionar métrica	Elija KMS y, a continuación, elija XKS Proxy Certificate Metrics (Métricas del certificado de proxy XKS). Seleccione la casilla de verificación junto al `XksProxyCertificateName` que desea monitorear. A continuación, elija Select metric (Seleccionar métrica).
Estadística	Mínimo
Período	5 minutos
Tipo de umbral	Estático
Whenever…	Siempre que XksProxyCertificateDaysToExpire sea `Lower` que `10`.

Creación de una alarma para el tiempo de espera de respuesta

Esta alarma utiliza la métrica XksProxyLatency que AWS KMS publica en CloudWatch para registrar la cantidad de milisegundos que tarda un proxy del almacén de claves externo en responder a una solicitud de AWS KMS. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.

AWS KMS espera que el proxy del almacén de claves externo responda a cada solicitud en 250 milisegundos. Recomendamos configurar una alarma para que le avise cuando su proxy del almacén de claves externo tarde más de 200 milisegundos en responder, pero debe establecer el umbral que mejor se adapte a sus necesidades.

Crear la alarma

Campo	Valor
Seleccionar métrica	Elija KMS y, a continuación, elija XKS Proxy Latency Metrics (Métricas del certificado de proxy XKS). Seleccione la casilla de verificación junto al `KmsOperation` que desea monitorear. A continuación, elija Select metric (Seleccionar métrica).
Estadística	Media
Período	5 minutos
Tipo de umbral	Estático
Whenever…	Siempre que XksProxyLatency sea `Greater` que `200`.

Creación de una alarma para los errores reintentables

Esta alarma utiliza la métrica XksProxyErrors que AWS KMS publica en CloudWatch para registrar el número de excepciones relacionadas con las solicitudes de AWS KMS al proxy de su almacén de claves externo. No puede crear una sola alarma para todos los almacenes de claves externos de su cuenta ni una alarma para los almacenes de claves externos que pueda crear en el futuro.

Los errores reintentables reducirán el porcentaje de fiabilidad y pueden indicar errores de red. Le recomendamos configurar una alarma para que le avise cuando se registren más de cinco errores reintentables en un periodo de un minuto, pero debe establecer el umbral que mejor se adapte a sus necesidades.

Campo	Valor
Seleccionar métrica	Elija la pestaña Queries (Consultas). Elija `AWS/KMS` para Namespace (Espacio de nombres). Ingrese `SUM(XksProxyErrors)` para Metric name (Nombre de la métrica). Ingrese `ErrorType = Retryable` para Filter by (Filtrar por). Elija Ejecutar. A continuación, elija Select metric (Seleccionar métrica).
Etiqueta	`Errores reintentables`
Período	1 minuto
Tipo de umbral	Estático
Whenever…	Siempre que q1 sea `Greater` que `5`.

Creación de una alarma para los errores no reintentables

Los errores no reintentables pueden indicar un problema con la configuración del almacén de claves externo. Le recomendamos configurar una alarma para que le avise cuando se registren más de cinco errores no reintentables en un periodo de un minuto, pero debe establecer el umbral que mejor se adapte a sus necesidades.

Campo	Valor
Seleccionar métrica	Elija la pestaña Queries (Consultas). Elija `AWS/KMS` para Namespace (Espacio de nombres). Ingrese `SUM(XksProxyErrors)` para Metric name (Nombre de la métrica). Ingrese `ErrorType = Non-retryable` para Filter by (Filtrar por). Elija Ejecutar. A continuación, elija Select metric (Seleccionar métrica).
Etiqueta	`Errores no reintentables`
Período	1 minuto
Tipo de umbral	Estático
Whenever…	Siempre que q1 sea `Greater` que `5`.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de una alarma de CloudWatch para el vencimiento del material de claves importado

Monitorización de claves KMS con Amazon EventBridge