Visualización de los gráficos Interpretación de los gráficos

Monitoreo de almacenes de claves externos

AWS KMS recopila métricas para cada interacción con un almacén de claves externo y las publica en su cuenta de CloudWatch. Estas métricas se utilizan para generar los gráficos en la sección de seguimiento de la página de detalles para cada almacén de claves externo. El siguiente tema detalla cómo usar los gráficos para identificar y solucionar problemas operativos y de configuración que afectan su almacén de claves externo. Recomendamos usar las métricas de CloudWatch para configurar alarmas que lo notifiquen cuando su almacén de claves externo no funciona como se esperaba. Para obtener más información, consulte Monitorización con Amazon CloudWatch.

Visualización de los gráficos

Puede ver los gráficos en diferentes niveles de detalle. De forma predeterminada, cada gráfico utiliza un intervalo de tiempo de tres horas y un periodo de agregación de cinco minutos. Puede ajustar la vista del gráfico dentro de la consola, pero sus cambios volverán a la configuración predeterminada cuando se cierre la página de detalles del almacén de claves externo o se actualice el navegador. Para obtener ayuda con la terminología de Amazon CloudWatch, consulte los conceptos de Amazon CloudWatch.

Visualización de detalles de puntos de datos

Los datos de cada gráfico se recopilan mediante métricas de AWS KMS. Para ver más información sobre un punto de datos específico, coloque el ratón sobre el punto de datos del gráfico lineal. Esto mostrará una ventana emergente con más información sobre la métrica de la que se derivó el gráfico. Cada elemento de la lista muestra el valor de dimensión registrado en ese punto de datos. La ventana emergente muestra un valor nulo (–) si no hay datos métricos disponibles para el valor de la dimensión en ese punto de datos. Algunos gráficos registran varias dimensiones y valores para un único punto de datos. Otros gráficos, como el gráfico de fiabilidad, utilizan los datos recopilados por la métrica para calcular un valor único. Cada elemento de la lista está asociado con un color de gráfico de líneas diferente.

Modificación del intervalo de tiempo

Para modificar el intervalo de tiempo, seleccione uno de los intervalos de tiempo predefinidos en la esquina superior derecha de la sección de monitoreo. Los intervalos de tiempo predefinidos abarcan de 1 hora a 1 semana (1 h, 3 h, 12 h, 1 día, 3 días o 1 sem.). Esto ajusta el intervalo de tiempo de todos los gráficos. Si desea ver un gráfico específico en un intervalo de tiempo diferente, o si desea establecer un intervalo de tiempo personalizado, amplíe el gráfico o véalo en la consola de Amazon CloudWatch.

Acercar un gráfico

Puede usar la función de zoom del minimapa para enfocarse en secciones de gráficos de líneas y porciones apiladas de los gráficos sin cambiar entre vistas ampliadas y alejadas. Por ejemplo, puede usar la función de zoom del minimapa para enfocarse en un pico en un gráfico, de modo que pueda comparar el pico con otros gráficos en la sección de monitoreo de la misma línea de tiempo.

Elija y arrastre el área del gráfico en la que desea centrarse y, a continuación, suéltela.
Para restablecer el tamaño del gráfico, elija el icono Reset zoom (Restablecer el zoom) que parece una lupa con un símbolo menos (-) en su interior.

Ampliación de un gráfico

Para ampliar un gráfico, seleccione el icono de menú situado en la esquina superior derecha de un gráfico individual y, a continuación, seleccione Enlarge (Ampliar). También puede seleccionar el icono de ampliación que aparece junto al icono del menú al pasar el ratón sobre un gráfico.

Al ampliar un gráfico, puede modificar aún más la vista de un gráfico especificando un periodo diferente, un intervalo de tiempo personalizado o un intervalo de actualización. Estos cambios volverán a la configuración predeterminada cuando cierre la vista ampliada.

Modificación del periodo

Seleccione el menú Period options (Opciones de periodo). De forma predeterminada, este menú muestra el valor: 5 minutos.
Elija un periodo, los periodos predefinidos van de 1 segundo a 30 días.

Por ejemplo, puede elegir una vista de un minuto, que puede ser útil a la hora de solucionar problemas. O bien puede elegir una vista menos detallada de una hora. Esto puede ser útil cuando desee ver un intervalo de tiempo mayor (por ejemplo, tres días) para poder identificar las tendencias a lo largo del tiempo. Para obtener más información, consulte Periodos en la Guía del usuario de Amazon CloudWatch.

Modificación del intervalo de tiempo o la zona horaria

Seleccione uno de los intervalos de tiempo predefinidos, que van desde 1 hora hasta 1 semana (1 h, 3 h, 12 h, 1 día, 3 días o 1 semana). También puede elegir Custom (Personalizado) para establecer su propio intervalo de tiempo.
Elija Custom (Personalizado).
1. Intervalo de tiempo: seleccione la pestaña Absolute (Absoluto) en la esquina superior izquierda del cuadro. Utilice el selector de calendario o los cuadros de campos de texto para especificar el intervalo de tiempo.
2. Zona horaria: elija el menú desplegable ubicado en la esquina superior derecha del cuadro. Puede cambiar la zona horaria a UTC (UTC) o Local time zone (Zona horaria local).
Después de especificar un intervalo de tiempo, seleccione Apply (Aplicar).

Modifique la frecuencia con la que se actualizan los datos de su gráfico

Elija el menú Refresh options (Opciones de actualización) en la esquina superior derecha.
Elija un intervalo de actualización [Off (desactivado), 10 seconds (10 segundos), 1 minute (1 minuto), 2 minutes (2 minutes), 5 minutes (5 minutos) o 15 minutes(15 minutos)].

Ver gráficos en la consola de Amazon CloudWatch

Los gráficos en la sección de monitoreo se derivan de métricas predefinidas que AWS KMS publica en Amazon CloudWatch. Puede abrirlos en la consola de CloudWatch y guardarlos en los paneles de CloudWatch. Si tiene varios almacenes de claves externos, puede abrir sus gráficos respectivos en CloudWatch y guardarlos en un único panel para comparar su estado y su uso.

Agregar al panel de CloudWatch

Seleccione Add to dashboard (Agregar al panel) en la esquina superior derecha para agregar todos los gráficos a un panel de Amazon CloudWatch. Puede seleccionar un tablero existente o crear uno nuevo. Para obtener información sobre el uso de este panel para crear vistas personalizadas de gráficos y alarmas, consulte Uso de paneles de Amazon CloudWatch en la Guía del usuario de Amazon CloudWatch.

Visualización de métricas de CloudWatch

Seleccione el icono de menú en la esquina superior derecha de un gráfico individual y elija View in metrics (Visualización de métricas) para ver este gráfico en la consola de Amazon CloudWatch. Desde la consola de CloudWatch, puede agregar este gráfico único a un panel y modificar los intervalos de tiempo, los periodos y los intervalos de actualización. Para obtener más información, consulte Representación gráfica de métricas en la Guía del usuario de Amazon CloudWatch.

Interpretación de los gráficos

AWS KMS proporciona varios gráficos para monitorear el estado del almacén de claves externo en la consola de AWS KMS. Estos gráficos se configuran automáticamente y se derivan de las métricas de AWS KMS.

Los datos del gráfico se recopilan como parte de las llamadas que realiza a su almacén de claves externo y claves externas. Es posible que vea datos que completan los gráficos durante un intervalo de tiempo en el que no realizó ninguna llamada, estos datos provienen de las llamadas periódicas a GetHealthStatus que AWS KMS realiza en su nombre para verificar el estado de su proxy de almacén de claves externo y administrador de claves externo. Si sus gráficos muestran el mensaje No data available (No hay datos disponibles), entonces no hubo llamadas registradas durante ese intervalo de tiempo o su almacén de claves externo está en un estado DISCONNECTED. Es posible que pueda identificar la hora en que se desconectó su almacén de claves externo ajustando su vista a un intervalo de tiempo más amplio.

Temas

Número total de solicitudes
Fiabilidad
Latencia
Las 5 excepciones principales
Días para el vencimiento del certificado

Número total de solicitudes

El número total de solicitudes de AWS KMS que se reciben para un almacén de claves externo específico durante un intervalo de tiempo determinado. Utilice este gráfico para determinar si corre el riesgo de sufrir una limitación.

AWS KMS recomienda que el administrador de claves externas pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si se acerca a las 540 000 llamadas en un periodo de cinco minutos, corre el riesgo de sufrir una limitación.

Puede monitorear la cantidad de solicitudes de operaciones criptográficas en las claves de KMS de su almacén de claves externo que AWS KMS limita con la métrica ExternalKeyStoreThrottle.

Si recibe errores KMSInvalidStateException muy frecuentes con un mensaje que explica que la solicitud fue rechazada “debido a una tasa de solicitudes muy alta”, podría indicar que su administrador de claves externo o el proxy del almacén de claves externo no pueden seguir el ritmo de la tasa de solicitudes actual. Si es posible, reduzca el porcentaje de solicitudes. También podría considerar solicitar una disminución en el valor de la cuota de solicitudes del almacén de claves personalizado. Reducir este valor de cuota puede aumentar la limitación, pero indica que AWS KMS está rechazando rápidamente el exceso de solicitudes antes de enviarlas a su proxy del almacén de claves externo o a un administrador de claves externo. Para solicitar una reducción de la cuota, visite el Centro AWS Support y cree un caso.

El gráfico del total de solicitudes se obtiene de la métrica XksProxyErrors, que recopila datos sobre las respuestas correctas y fallidas que AWS KMS recibe del proxy del almacén de claves externo. Al ver un punto de datos específico, la ventana emergente muestra el valor de la dimensión CustomKeyStoreId junto con el número total de solicitudes de AWS KMS registradas en ese punto de datos. El CustomKeyStoreId siempre será el mismo.

Fiabilidad

El porcentaje de solicitudes de AWS KMS para las que el proxy del almacén de claves externo devolvió una respuesta correcta o un error reintentable. Utilice este gráfico para evaluar el estado operativo de su proxy del almacén de claves externo.

Cuando el gráfico muestra un valor inferior al 100 %, indica los casos en los que el proxy no respondió o respondió con un error reintentable. Esto puede indicar problemas con la red, lentitud del proxy del almacén de claves externo o del administrador de claves externo, o errores de implementación.

Si la solicitud incluye una credencial incorrecta y su proxy responde con una AuthenticationFailedException, el gráfico seguirá indicando una fiabilidad del 100 % porque el proxy identificó un valor incorrecto en la solicitud de la API del proxy del almacén de claves externo y, por lo tanto, es de esperar que se produzca un error. Si el porcentaje del gráfico de fiabilidad es del 100 %, entonces el proxy del almacén de claves externo responde según lo esperado. Si el gráfico muestra un valor inferior al 100 %, el proxy respondió con un error reintentable o se agotó el tiempo de espera. Por ejemplo, si el proxy responde con una respuesta de ThrottlingException debido a una tasa de solicitudes muy alta, mostrará un porcentaje de fiabilidad más bajo porque el proxy no pudo identificar un problema específico en la solicitud que provocó el error. Esto se debe a que los errores reintentables son probablemente problemas transitorios que se pueden resolver reintentando la solicitud.

Las siguientes respuestas de error reducirán el porcentaje de fiabilidad. Puede usar el gráfico Las 5 excepciones principales y la métrica XksProxyErrors para controlar con más detalle la frecuencia con la que su proxy devuelve cada error reintentable.

InternalException
DependencyTimeoutException
ThrottlingException
XksProxyUnreachableException

El gráfico de fiabilidad se obtiene de la métrica XksProxyErrors, que recopila datos sobre las respuestas correctas y fallidas que AWS KMS recibe del proxy del almacén de claves externo. El porcentaje de fiabilidad solo disminuirá si la respuesta tiene un valor de ErrorType de Retryable. Al ver un punto de datos específico, la ventana emergente muestra el valor de la dimensión CustomKeyStoreId junto con el porcentaje de fiabilidad de solicitudes de AWS KMS registradas en ese punto de datos. El CustomKeyStoreId siempre será el mismo.

Recomendamos utilizar la métrica XksProxyErrors para crear una alarma de CloudWatch que le notifique los posibles problemas de red y le avise cuando se registren más de cinco errores reintentables en un periodo de un minuto. Para obtener más información, consulte Creación de una alarma para los errores reintentables.

Latencia

La cantidad de milisegundos que tarda un proxy del almacén de claves externo en responder a una solicitud de AWS KMS. Utilice este gráfico para evaluar el rendimiento de su proxy del almacén de claves externo y de su administrador de claves externo.

AWS KMS espera que el proxy del almacén de claves externo responda a cada solicitud en 250 milisegundos. En el caso de que se agoten los tiempos de espera de la red, AWS KMS volverá a intentar la solicitud una vez. Si el proxy falla por segunda vez, la latencia registrada es el límite de tiempo de espera combinado para ambos intentos de solicitud y el gráfico mostrará aproximadamente 500 milisegundos. En todos los demás casos en los que el proxy no responde dentro del límite de tiempo de espera de 250 milisegundos, la latencia registrada es de 250 milisegundos. Si el proxy se agota con frecuencia en las operaciones de cifrado y descifrado, consulte a su administrador de proxy externo. Para obtener ayuda con la solución de problemas de latencia, consulte Errores de latencia y tiempo de espera.

Las respuestas lentas también pueden indicar que el administrador de claves externo no puede gestionar el tráfico de solicitudes actual. AWS KMS recomienda que su administrador de claves externo pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si su administrador de claves externo no puede gestionar la tasa de 1800 solicitudes por segundo, considere solicitar una reducción de su cuota de solicitudes de claves de KMS en un almacén de claves personalizado. Las solicitudes de operaciones criptográficas que utilizan las claves de KMS en su almacén de claves externo van a responder rápido a los errores con una excepción de limitación, en lugar de ser procesadas y luego rechazadas por su proxy del almacén de claves externo o administrador de claves externo.

El gráfico de latencia se realiza a partir de la métrica XksProxyLatency. Al consultar un punto de datos específico, la ventana emergente muestra los valores de dimensión KmsOperation y XksOperation correspondientes junto con la latencia promedio registrada para las operaciones en ese punto de datos. Los elementos de la lista se ordenan de mayor a menor latencia.

Se recomienda utilizar la métrica XksProxyLatency para crear una alarma de CloudWatch que lo notifique cuando la latencia se acerca al límite de tiempo de espera. Para obtener más información, consulte Creación de una alarma para el tiempo de espera de respuesta.

Las 5 excepciones principales

Las cinco excepciones principales para operaciones criptográficas y de administración fallidas durante un intervalo de tiempo determinado. Utilice este gráfico para realizar un seguimiento de los errores más frecuentes, de modo que pueda priorizar sus esfuerzos de ingeniería.

Este recuento incluye las excepciones que AWS KMS recibió del proxy del almacén de claves externo y la XksProxyUnreachableException que AWS KMS devuelve internamente cuando no puede establecer comunicación con el proxy del almacén de claves externo.

Las altas tasas de errores reintentables pueden indicar errores de red, mientras que las altas tasas de errores no reintentables pueden indicar un problema con la configuración del almacén de claves externo. Por ejemplo, un pico en AuthenticationFailedExceptions indica una discrepancia entre las credenciales de autenticación configuradas en AWS KMS y el proxy del almacén de claves externo. Para ver la configuración de su almacén de claves externo, consulte Visualización de almacenes de claves externos. Para editar la configuración de su almacén de claves externo, consulte Edición de las propiedades del almacén de claves externo.

Las excepciones que recibe AWS KMS del proxy del almacén de claves externo son diferentes de las excepciones que se AWS KMS devuelve cuando se produce un error en una operación. Las operaciones criptográficas de AWS KMS devuelven un KMSInvalidStateException para todos los errores relacionados con la configuración externa o el estado de conexión del almacén de claves externo. Para identificar el problema, utilice el texto del mensaje de error adjunto.

La siguiente tabla muestra las excepciones que pueden aparecer en el gráfico de las 5 excepciones principales y las excepciones correspondientes que AWS KMS devuelve.

Tipo de error Excepción mostrada en el gráfico Excepción que AWS KMS devolvió

No reintentable

Tipo de error	Excepción mostrada en el gráfico	Excepción que AWS KMS devolvió
No reintentable	`AccessDeniedException` Para obtener ayuda sobre la resolución de problemas, consulte Problemas de autorización de proxy.	`CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`AuthenticationFailedException` Para obtener ayuda sobre la resolución de problemas, consulte Errores en las credenciales de autenticación.	`XksProxyIncorrectAuthenticationCredentialException` en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
Reintentable	`DependencyTimeoutException` Para obtener ayuda sobre la resolución de problemas, consulte Errores de latencia y tiempo de espera.	`XksProxyUriUnreachableException` en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
Reintentable	`InternalException` El proxy del almacén de claves externo rechazó la solicitud porque no puede comunicarse con el administrador de claves externo. Compruebe que la configuración del proxy del almacén de claves externo sea correcta y que el administrador de claves externo esté disponible.	`XksProxyInvalidResponseException` en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`InvalidCiphertextException` Para obtener ayuda sobre la resolución de problemas, consulte Errores de descifrado.	`KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`InvalidKeyUsageException` Para obtener ayuda sobre la resolución de problemas, consulte Errores de operación criptográfica para la clave externa.	`XksKeyInvalidConfigurationException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`InvalidStateException` Para obtener ayuda sobre la resolución de problemas, consulte Errores de operación criptográfica para la clave externa.	`XksKeyInvalidConfigurationException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`InvalidUriPathException` Para obtener ayuda sobre la resolución de problemas, consulte Errores de configuración general.	`XksProxyInvalidConfigurationException` en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`KeyNotFoundException` Para obtener ayuda sobre la resolución de problemas, consulte Errores de clave externa.	`XksKeyNotFoundException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
Reintentable	`ThrottlingException` El proxy del almacén de claves externo rechazó la solicitud debido a una tasa de solicitudes muy alta. Reduzca la frecuencia de las llamadas con las claves de KMS en este almacén de claves externo.	`XksProxyUriUnreachableException` en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`UnsupportedOperationException` Para obtener ayuda sobre la resolución de problemas, consulte Errores de operación criptográfica para la clave externa.	`XksKeyInvalidResponseException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
No reintentable	`ValidationException` Para obtener ayuda sobre la resolución de problemas, consulte Problemas con el proxy.	`XksProxyInvalidResponseException` en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.
Reintentable	`XksProxyUnreachableException` Si aparece este error varias veces, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red, y que su ruta URI y su nombre de servicio de VPC o URI de punto de conexión sean correctos en su almacén de claves externo.	`XksProxyUriUnreachableException` en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. `CustomKeyStoreInvalidStateException` en respuesta a operaciones `CreateKey`. `KMSInvalidStateException` en respuesta a operaciones criptográficas.

AccessDeniedException

Para obtener ayuda sobre la resolución de problemas, consulte Problemas de autorización de proxy.

CustomKeyStoreInvalidStateException en respuesta a operaciones CreateKey.