Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillez KMS les touches avec Amazon CloudWatch
Vous pouvez suivre votre AWS KMS keys utilisation d'Amazon CloudWatch, un AWS service qui collecte et traite les données brutes pour AWS KMS en faire des indicateurs lisibles en temps quasi réel. Ces données sont enregistrées pendant une période de deux semaines afin que vous puissiez accéder aux informations historiques et mieux comprendre l'utilisation de vos KMS clés et leur évolution au fil du temps.
Vous pouvez utiliser Amazon CloudWatch pour vous avertir d'événements importants, tels que les suivants.
-
Le contenu clé importé d'une KMS clé approche de sa date d'expiration.
-
Une KMS clé en attente de suppression est toujours utilisée.
-
Le matériau clé d'une KMS clé était automatiquement pivoté.
-
Une KMS clé a été supprimée.
Vous pouvez également créer une CloudWatch alarme Amazon qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez Gérer vos taux de AWS KMS API demandes à l'aide de Service Quotas et d'Amazon CloudWatch
AWS KMS métriques et dimensions
AWS KMS prédéfinit CloudWatch les métriques Amazon pour vous permettre de surveiller plus facilement les données critiques et de créer des alarmes. Vous pouvez consulter les AWS KMS statistiques à l'aide du AWS Management Console et de l'Amazon CloudWatch API.
Cette section répertorie chaque AWS KMS métrique et les dimensions de chaque métrique, et fournit des conseils de base pour créer des CloudWatch alarmes basées sur ces métriques et dimensions.
Note
Nom du groupe de dimensions :
Pour afficher une métrique dans la CloudWatch console Amazon, dans la section Metrics, sélectionnez le nom du groupe de dimensions. Vous pouvez ensuite filtrer en fonction du Metric name (Nom de la métrique). Cette rubrique inclut le nom de la métrique et le nom du groupe de dimensions pour chaque métrique AWS KMS .
Vous pouvez consulter AWS KMS les statistiques à l'aide du AWS Management Console et de l'Amazon CloudWatch API. Pour plus d'informations, consultez la section Afficher les statistiques disponibles dans le guide de CloudWatch l'utilisateur Amazon.
Rubriques
SecondsUntilKeyMaterialExpiration
Nombre de secondes restant avant l'expiration du contenu clé importé d'une KMS clé. Cette métrique n'est valide que pour les KMS clés dont le matériel clé est importé (origine du matériau cléEXTERNAL) et dont la date d'expiration est spécifiée.
Utilisez cette métrique pour effectuer le suivi du temps restant avant l'expiration de vos éléments de clé importés. Lorsque cette durée tombe en dessous d'un seuil que vous définissez, vous pouvez réimporter les éléments de clé avec une nouvelle date d'expiration. La SecondsUntilKeyMaterialExpiration métrique est spécifique à une KMS clé. Vous ne pouvez pas utiliser cette métrique pour surveiller plusieurs KMS clés ou KMS les clés que vous pourriez créer à l'avenir. Pour obtenir de l'aide sur la création CloudWatch d'une alarme pour surveiller cette métrique, consultezCréer une CloudWatch alarme en cas d'expiration du matériel clé importé.
Minimum est la statistique la plus utile pour cette métrique. Elle indique le plus petit temps restant pour tous les points de données de la période statistique spécifiée. La seule unité valide pour cette métrique est Seconds.
Nom du groupe de dimensions : Per-Key Metrics (Métriques par clé)
| Dimension | Description ; en rapport avec AWS |
|---|---|
| KeyId | Valeur pour chaque KMS clé. |
Lorsque vous planifiez la suppression d'une KMS clé, AWS KMS impose un délai d'attente avant de supprimer la KMS clé. Vous pouvez utiliser la période d'attente pour vous assurer que vous n'avez pas besoin de la KMS clé maintenant ou à l'avenir. Vous pouvez également configurer une CloudWatch alarme pour vous avertir si une personne ou une application tente d'utiliser la KMS clé lors d'une opération cryptographique pendant la période d'attente. Si vous recevez une notification suite à une telle alarme, vous souhaiterez peut-être annuler la suppression de la KMS clé.
Pour obtenir des instructions, consultez Créez une alarme qui détecte l'utilisation d'une KMS clé en attente de suppression.
ExternalKeyStoreThrottle
Nombre de demandes d'opérations cryptographiques sur des KMS clés dans chaque magasin de clés externe qui se AWS KMS limite (répond par un). ThrottlingException Cette métrique ne s'applique qu'aux magasins de clés externes.
La ExternalKeyStoreThrottle métrique s'applique uniquement aux KMS clés d'un magasin de clés externe et uniquement aux demandes d'opérations cryptographiques et à l'DescribeKeyopération. AWS KMS limite ces demandes lorsque le taux de demandes dépasse le quota de demandes de stockage de clés personnalisé pour votre magasin de clés externe. Cette métrique n'inclut pas la limitation par votre proxy de magasin de clés externe ou votre gestionnaire de clés externe.
Utilisez cette métrique pour vérifier et ajuster la valeur du quota de demandes du magasin de clés personnalisé. Si cette métrique indique que AWS KMS vos demandes pour ces KMS clés sont fréquemment limitées, vous pouvez envisager de demander une augmentation de la valeur du quota de demandes de stockage de clés personnalisé. Si vous avez besoin d'aide, consultez Requesting a quota increase (Demande d'augmentation de quota) dans le Guide de l'utilisateur Service Quotas.
Si vous obtenez très fréquemment des erreurs KMSInvalidStateException avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé » ou que la requête a été rejetée « car le proxy de magasin de clés externe n'a pas répondu à temps », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peut pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. La diminution de cette valeur de quota peut augmenter la régulation (et la valeur ExternalKeyStoreThrottle métrique), mais cela indique que les demandes excédentaires AWS KMS sont rejetées rapidement avant qu'elles ne soient envoyées à votre proxy de stockage de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au Centre AWS Support
Nom du groupe de dimensions : Keystore Throttle Metrics (Métriques de limitation du magasin de clés)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque AWS KMS API opération. Cette métrique s'applique uniquement aux opérations cryptographiques et aux DescribeKey opérations sur KMS les clés d'un magasin de clés externe. |
| KeySpec | Valeur pour chaque type de KMS clé. La seule spécification de clé prise en charge pour KMS les clés d'un magasin de clés externe est SYMMETRIC _DEFAULT. |
XksProxyCertificateDaysToExpire
Nombre de jours avant l'expiration du TLS certificat de votre point de terminaison proxy de stockage de clés externe (XksProxyUriEndpoint). Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertira de l'expiration prochaine de votre TLS certificat. Lorsque le certificat expire, AWS KMS impossible de communiquer avec le proxy de stockage de clés externe. Toutes les données protégées par des KMS clés dans votre magasin de clés externe deviennent inaccessibles tant que vous n'avez pas renouvelé le certificat.
Une alerte de certificat informe de l'expiration d'un certificat qui pourrait vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire.
Nom du groupe de dimensions : XKSProxy Certificate Metrics
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| CertificateName | Nom du sujet (CN) dans le TLS certificat. |
Vous pouvez créer des CloudWatch alarmes en fonction des mesures relatives aux magasins de clés externes et aux KMS clés des magasins de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksProxyCredentialAge
Nombre de jours écoulés depuis que les informations d'identification pour l'authentification de proxy (XksProxyAuthenticationCredential) du magasin de clés externe actuel ont été associées au magasin de clés externe. Ce décompte commence lorsque vous saisissez les informations d'identification pour l'authentification dans le cadre de la création ou de la mise à jour de votre magasin de clés externe. Cette métrique ne s'applique qu'aux magasins de clés externes.
Cette valeur est conçue pour vous rappeler l'âge de vos informations d'identification pour l'authentification. Toutefois, étant donné que nous commençons le décompte lorsque vous associez les informations d'identification à votre magasin de clés externe, et non lorsque vous créez vos informations d'identification pour l'authentification sur le proxy de votre magasin de clés externe, cela peut ne pas être un indicateur précis de l'âge des informations d'identification sur le proxy.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous rappelle de changer vos informations d'identification d'authentification du proxy de stockage de clés externe.
Nom du groupe de dimensions : Per-Keystore Metrics (Métriques par magasin de clés)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
Vous pouvez créer des CloudWatch alarmes en fonction des mesures relatives aux magasins de clés externes et aux KMS clés des magasins de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksProxyErrors
Le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Ce décompte inclut les exceptions auxquelles le proxy de stockage de clés externe revient AWS KMS et les erreurs de délai d'expiration qui se produisent lorsque le proxy de stockage de clés externe ne répond pas AWS KMS dans l'intervalle de 250 millisecondes. Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour suivre le taux d'erreur des KMS clés dans votre magasin de clés externe. Elle révèle les erreurs les plus fréquentes, ce qui vous permet de hiérarchiser vos efforts d'ingénierie. Par exemple, KMS les clés qui génèrent un taux élevé d'erreurs non réessayables peuvent indiquer un problème de configuration de votre magasin de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique Afficher les magasins de clés externes. Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique Modifier les propriétés du magasin de clés externe.
Nom du groupe de dimensions : XKSProxy Error Metrics
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque AWS KMS API opération qui a généré une demande au XKS proxy. |
| XksOperation | Valeur pour chaque APIopération proxy de stockage de clés externe. |
| KeySpec | Valeur pour chaque type de KMS clé. La seule spécification de clé prise en charge pour KMS les clés d'un magasin de clés externe est SYMMETRIC _DEFAULT. |
| ErrorType | Valeurs :
|
| ExceptionName |
Valeurs :
|
Vous pouvez créer des CloudWatch alarmes en fonction des mesures relatives aux magasins de clés externes et aux KMS clés des magasins de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksExternalKeyManagerStates
Décompte du nombre d'instances de gestionnaire de clés externe dans chacun des états suivants : Active, Degraded et Unavailable. Les informations relatives à cette métrique proviennent du proxy de magasin de clés externe associé à chaque magasin de clés externe. Cette métrique ne s'applique qu'aux magasins de clés externes.
Les états des instances de gestionnaire de clés externe associées à un magasin de clés externe sont les suivants. Chaque proxy de magasin de clés externe peut utiliser des indicateurs différents pour mesurer l'état de votre gestionnaire de clés externe. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe.
-
Active: le gestionnaire de clés externe est sain. -
Degraded: le gestionnaire de clés externe est défectueux, mais il peut toujours traiter le trafic. -
Unavailable: le gestionnaire de clés externe ne peut pas traiter le trafic.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit en cas de dégradation ou d'indisponibilité d'instances de gestionnaire de clés externes. Pour déterminer quelles instances de gestionnaire de clés externe se trouvent dans chaque état, consultez les journaux du proxy de votre magasin de clés externe.
Nom du groupe de dimensions : XKSExternal Key Manager Metrics
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| XksExternalKeyManagerState | Valeur pour chaque état. |
Vous pouvez créer des CloudWatch alarmes en fonction des mesures relatives aux magasins de clés externes et aux KMS clés des magasins de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksProxyLatency
Nombre de millisecondes nécessaires à un proxy de magasin de clés externe pour répondre à une requête AWS KMS . Si le délai de la requête a expiré, la valeur enregistrée est la limite de délai d'expiration de 250 millisecondes. Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Par exemple, si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur de proxy externe.
Les réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de demandes actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 demandes par seconde, envisagez de demander une diminution de votre quota de demandes de KMS clés dans un magasin de clés personnalisé. Les demandes d'opérations cryptographiques utilisant les KMS clés de votre magasin de clés externe échoueront rapidement avec une exception de limitation, au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou votre gestionnaire de clés externe.
Nom du groupe de dimensions : XKSProxy Latency Metrics
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque AWS KMS API opération qui a généré une demande au XKS proxy. |
| XksOperation | Valeur pour chaque APIopération proxy de stockage de clés externe. |
| KeySpec | Valeur pour chaque type de KMS clé. La seule spécification de clé prise en charge pour KMS les clés d'un magasin de clés externe est SYMMETRIC _DEFAULT. |
Vous pouvez créer des CloudWatch alarmes en fonction des mesures relatives aux magasins de clés externes et aux KMS clés des magasins de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
