Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillez les clés KMS avec Amazon CloudWatch
Vous pouvez suivre votre AWS KMS keys utilisation d'Amazon CloudWatch, un AWS service qui collecte et traite les données brutes pour AWS KMS en faire des indicateurs lisibles en temps quasi réel. Ces données sont enregistrées pour une durée de deux semaines pour que vous puissiez accéder aux informations historiques, et mieux comprendre l'utilisation de vos clés KMS et leur évolution au fil du temps.
Vous pouvez utiliser Amazon CloudWatch pour vous avertir d'événements importants, tels que les suivants.
-
Les éléments de clé importés dans une clé KMS approchent de leur date d'expiration.
-
Une clé KMS en attente de suppression est toujours utilisée.
-
Les éléments de clé dans une clé KMS ont effectué automatiquement une rotation.
-
Une clé KMS a été supprimée.
Vous pouvez également créer une CloudWatch alarme Amazon qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez Gérer vos taux de demandes AWS KMS d'API à l'aide de Service Quotas et d'Amazon CloudWatch
AWS KMS métriques et dimensions
AWS KMS prédéfinit CloudWatch les métriques Amazon pour vous permettre de surveiller plus facilement les données critiques et de créer des alarmes. Vous pouvez consulter les AWS KMS statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon.
Cette section répertorie chaque AWS KMS métrique et les dimensions de chaque métrique, et fournit des conseils de base pour créer des CloudWatch alarmes basées sur ces métriques et dimensions.
Note
Nom du groupe de dimensions :
Pour afficher une métrique dans la CloudWatch console Amazon, dans la section Metrics, sélectionnez le nom du groupe de dimensions. Vous pouvez ensuite filtrer en fonction du Metric name (Nom de la métrique). Cette rubrique inclut le nom de la métrique et le nom du groupe de dimensions pour chaque métrique AWS KMS .
Vous pouvez consulter AWS KMS les statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon. Pour plus d'informations, consultez la section Afficher les statistiques disponibles dans le guide de CloudWatch l'utilisateur Amazon.
Rubriques
SecondsUntilKeyMaterialExpiration
Le nombre de secondes restantes avant l'expiration des éléments de clé importés dans une clé KMS. Cette métrique n'est valide que pour les clés KMS avec des éléments de clé importés (dont l'origine des éléments de clé est EXTERNAL) et une date d'expiration.
Utilisez cette métrique pour effectuer le suivi du temps restant avant l'expiration de vos éléments de clé importés. Lorsque cette durée tombe en dessous d'un seuil que vous définissez, vous pouvez réimporter les éléments de clé avec une nouvelle date d'expiration. La métrique SecondsUntilKeyMaterialExpiration est spécifique à une clé KMS. Vous ne pouvez pas utiliser cette métrique pour surveiller plusieurs clés KMS ou les clés KMS que vous pourriez créer ultérieurement. Pour obtenir de l'aide sur la création CloudWatch d'une alarme afin de surveiller cette métrique, consultezCréer une CloudWatch alarme en cas d'expiration du matériel clé importé.
Minimum est la statistique la plus utile pour cette métrique. Elle indique le plus petit temps restant pour tous les points de données de la période statistique spécifiée. La seule unité valide pour cette métrique est Seconds.
Nom du groupe de dimensions : Per-Key Metrics (Métriques par clé)
| Dimension | Description ; en rapport avec AWS |
|---|---|
| KeyId | Valeur pour chaque clé KMS. |
Lorsque vous planifiez la suppression d'une clé KMS, AWS KMS applique une période d'attente avant de supprimer la clé KMS. Vous pouvez utiliser la période d'attente pour vous assurer de ne pas avoir besoin de la clé KMS maintenant ni par la suite. Vous pouvez également configurer une CloudWatch alarme pour vous avertir si une personne ou une application tente d'utiliser la clé KMS lors d'une opération cryptographique pendant la période d'attente. Si vous recevez une notification de ce type d'alarme, vous pouvez annuler la suppression de la clé KMS.
Pour obtenir des instructions, consultez Créez une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression.
Nuage HSMKey StoreThrottle
Nombre de demandes d'opérations cryptographiques sur des clés KMS dans chaque magasin de AWS CloudHSM clés qui AWS KMS limite (répond par un). ThrottlingException Cette métrique s'applique uniquement aux magasins AWS CloudHSM clés.
La CloudHSMKeyStoreThrottle métrique s'applique uniquement aux clés KMS d'un magasin de AWS CloudHSM
clés et uniquement aux demandes d'opérations cryptographiques. AWS KMS limite ces demandes lorsque le taux de demandes dépasse le quota de demandes de stockage de clés personnalisé pour votre magasin de AWS CloudHSM clés. Cette métrique inclut également la régulation par le AWS CloudHSM cluster.
Nom du groupe de dimensions : Keystore Throttle Metrics (Métriques de limitation du magasin de clés)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de AWS CloudHSM clés. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques sur les clés KMS dans un magasin de AWS CloudHSM clés. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule spécification de clé prise en charge pour les clés KMS dans un magasin de clés est AWS CloudHSM SYMMETRIC_DEFAULT. |
ExternalKeyStoreThrottle
Nombre de demandes d'opérations cryptographiques sur des clés KMS dans chaque magasin de clés externe qui AWS KMS limite (répond par un). ThrottlingException Cette métrique ne s'applique qu'aux magasins de clés externes.
La ExternalKeyStoreThrottle métrique s'applique uniquement aux clés KMS dans un magasin de clés externe et uniquement aux demandes d'opérations cryptographiques. AWS KMS limite ces demandes lorsque le taux de demandes dépasse le quota de demandes de stockage de clés personnalisé pour votre magasin de clés externe. Cette métrique n'inclut pas la limitation par votre proxy de magasin de clés externe ou votre gestionnaire de clés externe.
Utilisez cette métrique pour revoir et ajuster la valeur de votre quota de demandes personnalisé en magasin de clés. Si cette métrique indique que AWS KMS vos demandes pour ces clés KMS sont fréquemment limitées, vous pouvez envisager de demander une augmentation de la valeur du quota de demandes de stockage de clés personnalisé. Si vous avez besoin d'aide, consultez Requesting a quota increase (Demande d'augmentation de quota) dans le Guide de l'utilisateur Service Quotas.
Si vous obtenez très fréquemment des erreurs KMSInvalidStateException avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé » ou que la requête a été rejetée « car le proxy de magasin de clés externe n'a pas répondu à temps », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peut pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. La diminution de cette valeur de quota peut augmenter la régulation (et la valeur ExternalKeyStoreThrottle métrique), mais cela indique que les demandes excédentaires AWS KMS sont rejetées rapidement avant qu'elles ne soient envoyées à votre proxy de stockage de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au Centre AWS Support
Nom du groupe de dimensions : Keystore Throttle Metrics (Métriques de limitation du magasin de clés)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques sur les clés KMS dans un magasin de clés externe. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule spécification de clé prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC_DEFAULT. |
XksProxyCertificateDaysToExpire
Nombre de jours avant l'expiration du certificat TLS de votre point de terminaison du proxy de magasin de clés externe (XksProxyUriEndpoint). Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit de l'expiration prochaine de votre certificat TLS. Lorsque le certificat expire, AWS KMS impossible de communiquer avec le proxy de stockage de clés externe. Toutes les données protégées par des clés KMS dans votre magasin de clés externe deviennent inaccessibles jusqu'à ce que vous renouveliez le certificat.
Une alerte de certificat informe de l'expiration d'un certificat qui pourrait vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire.
Nom du groupe de dimensions : XKS Proxy Certificate Metrics (Métriques du certificat du proxy XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| CertificateName | Nom du sujet (CN) dans le certificat TLS. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksProxyCredentialAge
Nombre de jours écoulés depuis que les informations d'identification pour l'authentification de proxy (XksProxyAuthenticationCredential) du magasin de clés externe actuel ont été associées au magasin de clés externe. Ce décompte commence lorsque vous saisissez les informations d'identification pour l'authentification dans le cadre de la création ou de la mise à jour de votre magasin de clés externe. Cette métrique ne s'applique qu'aux magasins de clés externes.
Cette valeur est conçue pour vous rappeler l'âge de vos informations d'identification pour l'authentification. Toutefois, étant donné que nous commençons le décompte lorsque vous associez les informations d'identification à votre magasin de clés externe, et non lorsque vous créez vos informations d'identification pour l'authentification sur le proxy de votre magasin de clés externe, cela peut ne pas être un indicateur précis de l'âge des informations d'identification sur le proxy.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous rappelle de changer vos informations d'identification d'authentification du proxy de stockage de clés externe.
Nom du groupe de dimensions : Per-Keystore Metrics (Métriques par magasin de clés)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksProxyErrors
Le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Ce décompte inclut les exceptions auxquelles le proxy de stockage de clés externe revient AWS KMS et les erreurs de délai d'expiration qui se produisent lorsque le proxy de stockage de clés externe ne répond pas AWS KMS dans l'intervalle de 250 millisecondes. Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour effectuer le suivi du taux d'erreurs des clés KMS dans votre magasin de clés externe. Elle révèle les erreurs les plus fréquentes, ce qui vous permet de hiérarchiser vos efforts d'ingénierie. Par exemple, les clés KMS qui génèrent des taux élevés d'erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique Afficher les magasins de clés externes. Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique Modifier les propriétés du magasin de clés externe.
Nom du groupe de dimensions : XKS Proxy Error Metrics (Métriques d'erreurs du proxy XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API qui a généré une demande au proxy XKS. |
| XksOperation | Valeur pour chaque opération de l'API du proxy de magasin de clés externe. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule spécification de clé prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC_DEFAULT. |
| ErrorType | Valeurs :
|
| ExceptionName |
Valeurs :
|
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksExternalKeyManagerStates
Décompte du nombre d'instances de gestionnaire de clés externe dans chacun des états suivants : Active, Degraded et Unavailable. Les informations relatives à cette métrique proviennent du proxy de magasin de clés externe associé à chaque magasin de clés externe. Cette métrique ne s'applique qu'aux magasins de clés externes.
Les états des instances de gestionnaire de clés externe associées à un magasin de clés externe sont les suivants. Chaque proxy de magasin de clés externe peut utiliser des indicateurs différents pour mesurer l'état de votre gestionnaire de clés externe. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe.
-
Active: le gestionnaire de clés externe est sain. -
Degraded: le gestionnaire de clés externe est défectueux, mais il peut toujours traiter le trafic. -
Unavailable: le gestionnaire de clés externe ne peut pas traiter le trafic.
Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit en cas de dégradation ou d'indisponibilité d'instances de gestionnaire de clés externes. Pour déterminer quelles instances de gestionnaire de clés externe se trouvent dans chaque état, consultez les journaux du proxy de votre magasin de clés externe.
Nom du groupe de dimensions : XKS External Key Manager Metrics (Métriques du gestionnaire de clés externe XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| XksExternalKeyManagerState | Valeur pour chaque état. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
XksProxyLatency
Nombre de millisecondes nécessaires à un proxy de magasin de clés externe pour répondre à une requête AWS KMS . Si le délai de la requête a expiré, la valeur enregistrée est la limite de délai d'expiration de 250 millisecondes. Cette métrique ne s'applique qu'aux magasins de clés externes.
Utilisez cette métrique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Par exemple, si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur de proxy externe.
Les réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de demandes actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 requêtes par seconde, pensez à demander une diminution de votre quota de requêtes de clés KMS dans un magasin de clés personnalisé. Les requêtes d'opérations cryptographiques utilisant les clés KMS de votre magasin de clés externe échoueront rapidement, avec une exception de limitation, au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou le gestionnaire de clés externe.
Nom du groupe de dimensions : XKS Proxy Latency Metrics (Métriques de latence de proxy XKS)
| Dimension | Description |
|---|---|
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. |
| KmsOperation | Valeur pour chaque opération AWS KMS d'API qui a généré une demande au proxy XKS. |
| XksOperation | Valeur pour chaque opération de l'API du proxy de magasin de clés externe. |
| KeySpec | Valeur pour chaque type de clé KMS. La seule spécification de clé prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC_DEFAULT. |
Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, consultez Surveillez les magasins de clés externes.
