

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Surveillez les clés KMS avec Amazon CloudWatch
<a name="monitoring-cloudwatch"></a>

Vous pouvez suivre votre AWS KMS keys utilisation d'[Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), un AWS service qui collecte et traite les données brutes pour AWS KMS en faire des indicateurs lisibles en temps quasi réel. Ces données sont enregistrées pour une durée de deux semaines pour que vous puissiez accéder aux informations historiques, et mieux comprendre l'utilisation de vos clés KMS et leur évolution au fil du temps.

Vous pouvez utiliser Amazon CloudWatch pour vous avertir d'événements importants, tels que les suivants.
+ Les éléments de clé importés dans une clé KMS approchent de leur date d'expiration.
+ Une clé KMS en attente de suppression est toujours utilisée. 
+ Les éléments de clé dans une clé KMS ont effectué automatiquement une rotation.
+ Une clé KMS a été supprimée.

Vous pouvez également créer une CloudWatch alarme [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) qui vous avertit lorsque le taux de demandes atteint un certain pourcentage de la valeur du quota. Pour plus de détails, consultez [Gérer vos taux de demandes AWS KMS d'API à l'aide de Service Quotas et d'Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) dans le *blog sur la AWS sécurité*.

## AWS KMS métriques et dimensions
<a name="kms-metrics"></a>

AWS KMS prédéfinit CloudWatch les métriques Amazon pour vous permettre de surveiller plus facilement les données critiques et de créer des alarmes. Vous pouvez consulter les AWS KMS statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon. 

Cette section répertorie chaque AWS KMS métrique et les dimensions de chaque métrique, et fournit des conseils de base pour créer des CloudWatch alarmes basées sur ces métriques et dimensions.

**Note**  
**Nom du groupe de dimensions** :   
Pour afficher une métrique dans la CloudWatch console Amazon, dans la section **Metrics**, sélectionnez le nom du groupe de dimensions. Vous pouvez ensuite filtrer en fonction du **Metric name** (Nom de la métrique). Cette rubrique inclut le nom de la métrique et le nom du groupe de dimensions pour chaque métrique AWS KMS .

Vous pouvez consulter AWS KMS les statistiques à l'aide de l' CloudWatch API AWS Management Console et de l'Amazon. Pour plus d'informations, consultez la section [Afficher les statistiques disponibles](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) dans le *guide de CloudWatch l'utilisateur Amazon*. 

**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [Nuage HSMKey StoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)

### SuccessfulRequest
<a name="key-level-api-usage-metric"></a>

Nombre de demandes d'opérations cryptographiques réussies sur une clé KMS spécifique. En utilisant cette `SuccessfulRequest` métrique, vous pouvez appliquer un filtrage au niveau des clés à l'utilisation de AWS KMS l'API dans. CloudWatch La `Sum` statistique de cette métrique définit le nombre total de demandes réussies au cours de la période.

Utilisez cette métrique pour identifier les clés KMS qui consomment la plus grande partie de votre quota de demandes ou qui contribuent le plus aux frais d'API. Vous pouvez également créer une CloudWatch alarme basée sur la `SuccesfulRequest` métrique pour vous avertir des modèles d'utilisation anormaux de l' AWS KMS API. Ces alertes peuvent aider à identifier les flux de travail inefficaces susceptibles de dépasser involontairement vos quotas de demandes ou d'entraîner des frais imprévus.

**Dimensions pour `SuccessfulRequest`**


| Dimension | Description | 
| --- | --- | 
| KeyArn | Valeur pour chaque clé KMS. | 
| Opération | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques. | 

Pour les [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)opérations, la `SuccessfulRequest` métrique inclut des dimensions pour les clés KMS source et de destination.


| Dimension | Description | 
| --- | --- | 
| SourceKeyArn | Valeur de la clé KMS qui a déchiffré le texte chiffré. | 
| DestinationKeyArn | Valeur de la clé KMS qui a rechiffré les données. | 
| Opération | Valeur pour chaque opération AWS KMS d'API, dans ce cas, ReEncrypt. | 

### SecondsUntilKeyMaterialExpiration
<a name="key-material-expiration-metric"></a>

Nombre de secondes restant avant l'expiration du [contenu clé importé d'une clé](importing-keys.md) KMS dont la date d'expiration est la plus proche. Cette métrique n'est valide que pour les clés KMS avec des éléments de clé importés (dont l'[origine des éléments de clé](create-keys.md#key-origin) est `EXTERNAL`) et une date d'expiration.

Utilisez cette métrique pour savoir combien de temps il reste avant l'expiration de vos documents clés importés dont la date d'expiration est la plus proche. Lorsque ce délai tombe en dessous d'un seuil que vous définissez, vous devez réimporter le matériel clé avec une nouvelle date d'expiration pour que la clé KMS reste utilisable. La métrique `SecondsUntilKeyMaterialExpiration` est spécifique à une clé KMS. Vous ne pouvez pas utiliser cette métrique pour surveiller plusieurs clés KMS ou les clés KMS que vous pourriez créer ultérieurement. Pour obtenir de l'aide sur la création CloudWatch d'une alarme pour surveiller cette métrique, consultez[Créer une CloudWatch alarme en cas d'expiration du matériel clé importé](imported-key-material-expiration-alarm.md).

`Minimum` est la statistique la plus utile pour cette métrique. Elle indique le plus petit temps restant pour tous les points de données de la période statistique spécifiée. La seule unité valide pour cette métrique est `Seconds`.

**Nom du groupe de dimensions** : **Per-Key Metrics** (Métriques par clé)


**Dimensions pour `SecondsUntilKeyMaterialExpiration`**  

| Dimension | Description ; en rapport avec AWS | 
| --- | --- | 
| KeyId | Valeur pour chaque clé KMS. | 

Lorsque vous [planifiez la suppression](deleting-keys.md) d'une clé KMS, AWS KMS applique une période d'attente avant de supprimer la clé KMS. Vous pouvez utiliser la période d'attente pour vous assurer de ne pas avoir besoin de la clé KMS maintenant ni par la suite. Vous pouvez également configurer une CloudWatch alarme pour vous avertir si une personne ou une application tente d'utiliser la clé KMS lors d'une [opération cryptographique](kms-cryptography.md#cryptographic-operations) pendant la période d'attente. Si vous recevez une notification de ce type d'alarme, vous pouvez annuler la suppression de la clé KMS.

Pour obtenir des instructions, veuillez consulter [Créez une alarme qui détecte l'utilisation d'une clé KMS en attente de suppression](deleting-keys-creating-cloudwatch-alarm.md).

### Nuage HSMKey StoreThrottle
<a name="metric-throttling-cloudhsm"></a>

Nombre de demandes d'opérations cryptographiques sur des clés KMS dans chaque magasin de AWS CloudHSM clés qui AWS KMS limite (répond par un). `ThrottlingException` Cette métrique s'applique uniquement aux magasins AWS CloudHSM clés.

La `CloudHSMKeyStoreThrottle` métrique s'applique uniquement aux clés KMS d'un magasin de AWS CloudHSM clés et uniquement aux demandes d'[opérations cryptographiques](kms-cryptography.md#cryptographic-operations). AWS KMS [limite ces demandes lorsque le taux de demandes](throttling.md) dépasse le [quota de demandes de stockage de clés personnalisé pour votre magasin](requests-per-second.md#rps-key-stores) de AWS CloudHSM clés. Cette métrique inclut également la régulation par le AWS CloudHSM cluster.

**Nom du groupe de dimensions** : **Keystore Throttle Metrics** (Métriques de limitation du magasin de clés)


| Dimension | Description | 
| --- | --- | 
| CustomKeyStoreId | Valeur pour chaque magasin de AWS CloudHSM clés. | 
| KmsOperation | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques sur les clés KMS dans un magasin de AWS CloudHSM clés. | 
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés est AWS CloudHSM SYMMETRIC\$1DEFAULT. | 

### ExternalKeyStoreThrottle
<a name="metric-throttling"></a>

Nombre de demandes d'opérations cryptographiques sur des clés KMS dans chaque magasin de clés externe qui AWS KMS limite (répond par un). `ThrottlingException` Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md). 

La `ExternalKeyStoreThrottle` métrique s'applique uniquement aux clés KMS dans un magasin de clés externe et uniquement aux demandes d'[opérations cryptographiques](kms-cryptography.md#cryptographic-operations). AWS KMS [limite ces demandes lorsque le taux de demandes](throttling.md) dépasse le [quota de demandes de stockage de clés personnalisé pour votre magasin](requests-per-second.md#rps-key-stores) de clés externe. Cette métrique n'inclut pas la limitation par votre proxy de magasin de clés externe ou votre gestionnaire de clés externe. 

Utilisez cette métrique pour revoir et ajuster la valeur de votre quota de demandes personnalisé en magasin de clés. Si cette métrique indique que AWS KMS vos demandes pour ces clés KMS sont fréquemment limitées, vous pouvez envisager de demander une augmentation de la valeur du quota de demandes de stockage de clés personnalisé. Si vous avez besoin d'aide, consultez [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Demande d'augmentation de quota) dans le *Guide de l'utilisateur Service Quotas*. 

Si vous obtenez très fréquemment des erreurs `KMSInvalidStateException` avec un message expliquant que la requête a été rejetée « en raison d'un taux de requêtes très élevé » ou que la requête a été rejetée « car le proxy de magasin de clés externe n'a pas répondu à temps », cela peut indiquer que votre gestionnaire de clés externe ou votre proxy de magasin de clés externe ne peut pas suivre le rythme du taux de requêtes actuel. Si possible, réduisez votre taux de requêtes. Vous pouvez également envisager de demander une diminution de la valeur de votre quota de requêtes du magasin de clés personnalisé. La diminution de cette valeur de quota peut augmenter la régulation (et la valeur `ExternalKeyStoreThrottle` métrique), mais cela indique que les demandes excédentaires AWS KMS sont rejetées rapidement avant qu'elles ne soient envoyées à votre proxy de stockage de clés externe ou à votre gestionnaire de clés externe. Pour solliciter une réduction de quota, accédez au [Centre AWS Support](https://console.aws.amazon.com/support/home) et créez une demande.

**Nom du groupe de dimensions** : **Keystore Throttle Metrics** (Métriques de limitation du magasin de clés)


| Dimension | Description | 
| --- | --- | 
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. | 
| KmsOperation | Valeur pour chaque opération AWS KMS d'API. Cette métrique s'applique uniquement aux opérations cryptographiques sur les clés KMS dans un magasin de clés externe. | 
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC\$1DEFAULT. | 

### XksProxyCertificateDaysToExpire
<a name="metric-xks-proxy-certificate-days-to-expire"></a>

Nombre de jours avant l'expiration du certificat TLS de votre [point de terminaison du proxy de magasin de clés externe](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`). Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).

Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit de l'expiration prochaine de votre certificat TLS. Lorsque le certificat expire, AWS KMS impossible de communiquer avec le proxy de stockage de clés externe. Toutes les données protégées par des clés KMS dans votre magasin de clés externe deviennent inaccessibles jusqu'à ce que vous renouveliez le certificat. 

Une alerte de certificat informe de l'expiration d'un certificat qui pourrait vous empêcher d'accéder à vos ressources chiffrées. Réglez l'alerte pour donner à votre organisation le temps de renouveler le certificat avant qu'il n'expire.

**Nom du groupe de dimensions** : **XKS Proxy Certificate Metrics** (Métriques du certificat du proxy XKS)


| Dimension | Description | 
| --- | --- | 
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. | 
| CertificateName | Nom du sujet (CN) dans le certificat TLS. | 

Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).

### XksProxyCredentialAge
<a name="metric-xks-proxy-credential-age"></a>

Nombre de jours écoulés depuis que les [informations d'identification pour l'authentification de proxy](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) du magasin de clés externe actuel ont été associées au magasin de clés externe. Ce décompte commence lorsque vous saisissez les informations d'identification pour l'authentification dans le cadre de la création ou de la mise à jour de votre magasin de clés externe. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).

Cette valeur est conçue pour vous rappeler l'âge de vos informations d'identification pour l'authentification. Toutefois, étant donné que nous commençons le décompte lorsque vous associez les informations d'identification à votre magasin de clés externe, et non lorsque vous créez vos informations d'identification pour l'authentification sur le proxy de votre magasin de clés externe, cela peut ne pas être un indicateur précis de l'âge des informations d'identification sur le proxy.

Utilisez cette métrique pour créer une CloudWatch alarme qui vous rappelle de changer vos informations d'identification d'authentification du proxy de stockage de clés externe.

**Nom du groupe de dimensions** : **Per-Keystore Metrics** (Métriques par magasin de clés)


| Dimension | Description | 
| --- | --- | 
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. | 

Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).

### XksProxyErrors
<a name="metric-xks-proxy-errors"></a>

Le nombre d'exceptions liées aux AWS KMS demandes adressées à votre [proxy de stockage de clés externe](keystore-external.md#concept-xks-proxy). Ce décompte inclut les exceptions auxquelles le proxy de stockage de clés externe revient AWS KMS et les erreurs de délai d'expiration qui se produisent lorsque le proxy de stockage de clés externe ne répond pas AWS KMS dans l'intervalle de 250 millisecondes. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).

Utilisez cette métrique pour effectuer le suivi du taux d'erreurs des clés KMS dans votre magasin de clés externe. Elle révèle les erreurs les plus fréquentes, ce qui vous permet de hiérarchiser vos efforts d'ingénierie. Par exemple, les clés KMS qui génèrent des taux élevés d'erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Pour consulter la configuration de votre magasin de clés externe, veuillez consulter la rubrique [Afficher les magasins de clés externes](view-xks-keystore.md). Pour modifier les paramètres de votre clé externe, veuillez consulter la rubrique [Modifier les propriétés du magasin de clés externe](update-xks-keystore.md).

**Nom du groupe de dimensions** : **XKS Proxy Error Metrics** (Métriques d'erreurs du proxy XKS)


| Dimension | Description | 
| --- | --- | 
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. | 
| KmsOperation | Valeur pour chaque opération AWS KMS d'API qui a généré une demande au proxy XKS. | 
| XksOperation | Valeur pour chaque [opération de l'API du proxy de magasin de clés externe](keystore-external.md#concept-proxy-apis). | 
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC\$1DEFAULT. | 
| ErrorType | Valeurs :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/monitoring-cloudwatch.html) | 
| ExceptionName |  Valeurs : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/kms/latest/developerguide/monitoring-cloudwatch.html)  | 

Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).

### XksExternalKeyManagerStates
<a name="metric-xks-ekm-states"></a>

Décompte du nombre d'[instances de gestionnaire de clés externe](keystore-external.md#concept-ekm) dans chacun des états suivants : `Active`, `Degraded` et `Unavailable`. Les informations relatives à cette métrique proviennent du proxy de magasin de clés externe associé à chaque magasin de clés externe. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).

Les états des instances de gestionnaire de clés externe associées à un magasin de clés externe sont les suivants. Chaque proxy de magasin de clés externe peut utiliser des indicateurs différents pour mesurer l'état de votre gestionnaire de clés externe. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe.
+ `Active` : le gestionnaire de clés externe est sain.
+ `Degraded` : le gestionnaire de clés externe est défectueux, mais il peut toujours traiter le trafic.
+ `Unavailable` : le gestionnaire de clés externe ne peut pas traiter le trafic.

Utilisez cette métrique pour créer une CloudWatch alarme qui vous avertit en cas de dégradation ou d'indisponibilité d'instances de gestionnaire de clés externes. Pour déterminer quelles instances de gestionnaire de clés externe se trouvent dans chaque état, consultez les journaux du proxy de votre magasin de clés externe.

**Nom du groupe de dimensions** : **XKS External Key Manager Metrics** (Métriques du gestionnaire de clés externe XKS)


| Dimension | Description | 
| --- | --- | 
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. | 
| XksExternalKeyManagerState | Valeur pour chaque état. | 

Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).

### XksProxyLatency
<a name="metric-xks-proxy-latency"></a>

Nombre de millisecondes nécessaires à un proxy de magasin de clés externe pour répondre à une requête  AWS KMS . Si le délai de la requête a expiré, la valeur enregistrée est la limite de délai d'expiration de 250 millisecondes. Cette métrique ne s'applique qu'aux [magasins de clés externes](keystore-external.md).

Utilisez cette métrique pour évaluer les performances de votre proxy de magasin de clés externe et de votre gestionnaire de clés externe. Par exemple, si le proxy expire fréquemment lors des opérations de chiffrement et de déchiffrement, consultez votre administrateur de proxy externe. 

Les réponses lentes peuvent également indiquer que votre gestionnaire de clés externe ne peut pas gérer le trafic de demandes actuel. AWS KMS recommande que votre gestionnaire de clés externe soit capable de traiter jusqu'à 1 800 demandes d'opérations cryptographiques par seconde. Si votre gestionnaire de clés externe ne peut pas gérer le taux de 1 800 requêtes par seconde, pensez à demander une diminution de votre [quota de requêtes de clés KMS dans un magasin de clés personnalisé](requests-per-second.md#rps-key-stores). Les requêtes d'opérations cryptographiques utilisant les clés KMS de votre magasin de clés externe échoueront rapidement, avec une [exception de limitation](throttling.md), au lieu d'être traitées puis rejetées par le proxy de votre magasin de clés externe ou le gestionnaire de clés externe.

**Nom du groupe de dimensions** : **XKS Proxy Latency Metrics** (Métriques de latence de proxy XKS)


| Dimension | Description | 
| --- | --- | 
| CustomKeyStoreId | Valeur pour chaque magasin de clés externe. | 
| KmsOperation | Valeur pour chaque opération AWS KMS d'API qui a généré une demande au proxy XKS. | 
| XksOperation | Valeur pour chaque [opération de l'API du proxy de magasin de clés externe](keystore-external.md#concept-proxy-apis). | 
| KeySpec | Valeur pour chaque type de clé KMS. La seule [spécification de clé](create-keys.md#key-spec) prise en charge pour les clés KMS dans un magasin de clés externe est SYMMETRIC\$1DEFAULT. | 

Vous pouvez créer des CloudWatch alarmes en fonction des métriques relatives aux banques de clés externes et aux clés KMS des banques de clés externes. Pour obtenir des instructions, veuillez consulter [Surveillez les magasins de clés externes](xks-monitoring.md).

# Créer une CloudWatch alarme en cas d'expiration du matériel clé importé
<a name="imported-key-material-expiration-alarm"></a>

Vous pouvez créer une CloudWatch alarme qui vous avertit lorsque le contenu clé importé d'une clé KMS approche de son expiration. Par exemple, l'alarme peut vous notifier lorsque le délai d'expiration est inférieur à 30 jours.

Lorsque vous [importez des éléments de clé dans une clé KMS](importing-keys.md), vous pouvez éventuellement spécifier une date et heure à laquelle les éléments de clé doivent expirer. Lorsque le contenu clé expire, il est AWS KMS supprimé et la clé KMS devient inutilisable. Pour utiliser la clé KMS à nouveau, vous devez [réimporter les éléments de clé](importing-keys-import-key-material.md#reimport-key-material). Toutefois, si vous réimportez les éléments de clé avant qu'ils n'expirent, vous pouvez éviter de perturber les processus qui utilisent cette clé KMS.

Cette alarme utilise la [`SecondsUntilKeyMaterialExpires`métrique](monitoring-cloudwatch.md#key-material-expiration-metric) AWS KMS publiée sur CloudWatch pour les clés KMS dont le contenu clé importé expire. Chaque alarme utilise cette métrique pour surveiller les éléments de clé importés pour une clé KMS particulière. Vous ne pouvez pas créer une alarme unique pour toutes les clés KMS dont les éléments de clé expire ou une alarme pour les clés KMS que vous pourriez créer ultérieurement.

**Exigences**

Les ressources suivantes sont requises pour une CloudWatch alarme qui surveille l'expiration du matériel clé importé.
+ Une clé KMS dont les éléments de clé importés expirent. 
+ Une rubrique Amazon SNS Pour plus de détails, consultez [la rubrique Création d'un Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) dans le guide de * CloudWatch l'utilisateur Amazon*.

**Créez l'alarme**

Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Sélectionner une métrique |  Choisissez **KMS**, puis choisissez **Per-Key Metrics**. Choisissez la ligne contenant la clé KMS et la métrique `SecondsUntilKeyMaterialExpires`. Ensuite, choisissez **Select metric** (Sélectionner une métrique). La liste **Métriques** affiche les métriques `SecondsUntilKeyMaterialExpires` uniquement pour les clés KMS dont les éléments de clé importés expirent. Si vous ne disposez pas de clés KMS avec ces propriétés dans le compte et la région, cette liste est vide.  | 
| Statistique | Minimum | 
| Period | 1 minute | 
| Type de seuil | Statique | 
| Chaque fois que … | Chaque fois que metric-name c'est supérieur à 1 | 

# Créez des CloudWatch alarmes pour les magasins de clés externes
<a name="xks-alarms"></a>

Vous pouvez créer des CloudWatch alarmes Amazon en fonction des statistiques externes du magasin clé pour vous avertir lorsqu'une valeur métrique dépasse le seuil que vous avez spécifié. L'alerte peut envoyer le message à une [rubrique Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) ou à une [politique Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work). Pour obtenir des informations détaillées sur les CloudWatch alarmes, consultez la section [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *dans le guide de CloudWatch l'utilisateur Amazon*.

Avant de créer une CloudWatch alarme Amazon, vous avez besoin d'une rubrique Amazon SNS. Pour plus de détails, consultez [la rubrique Création d'un Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) dans le guide de * CloudWatch l'utilisateur Amazon*.

**Topics**
+ [Créer une alarme pour l'expiration du certificat](#cert-expire-alarm)
+ [Création d'une alarme pour l'expiration du délai de réponse](#latency-alarm)
+ [Créez une alarme pour les erreurs réessayables](#retryable-errors-alarm)
+ [Créez une alarme pour les erreurs non réessayables](#nonretryable-errors-alarm)

## Créer une alarme pour l'expiration du certificat
<a name="cert-expire-alarm"></a>

Cette alarme utilise la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) métrique AWS KMS publiée sur CloudWatch pour enregistrer l'expiration prévue du certificat TLS associé à votre point de terminaison proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Nous vous recommandons de régler l'alerte pour qu'elle vous avertisse 10 jours avant l'expiration de votre certificat, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

**Créez l'alarme**

Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Sélectionner une métrique |  Choisissez **KMS**, puis choisissez **XKS Proxy Certificate Metrics** (Métriques de certificat de proxy XKS). Cochez la case à côté du `XksProxyCertificateName` que vous souhaitez surveiller. Ensuite, choisissez **Select metric** (Sélectionner une métrique).  | 
| Statistique | Minimum | 
| Period | 5 minutes | 
| Type de seuil | Statique | 
| Chaque fois que … | Chaque fois Lower que XksProxyCertificateDaysToExpirec'est le cas10. | 

## Création d'une alarme pour l'expiration du délai de réponse
<a name="latency-alarm"></a>

Cette alarme utilise la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre de millisecondes nécessaires à un proxy de stockage de clés externe pour répondre à une demande. AWS KMS Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

AWS KMS attend du proxy de stockage de clés externe qu'il réponde à chaque demande dans un délai de 250 millisecondes. Nous vous recommandons de configurer une alerte pour vous avertir lorsque le proxy de votre magasin de clés externe met plus de 200 millisecondes à répondre, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

**Créez l'alarme**

Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Sélectionner une métrique |  Choisissez **KMS**, puis choisissez **XKS Proxy Latency Metrics** (Métriques de latence de proxy XKS). Cochez la case à côté du `KmsOperation` que vous souhaitez surveiller.  Ensuite, choisissez **Select metric** (Sélectionner une métrique).  | 
| Statistique | Moyenne | 
| Period | 5 minutes | 
| Type de seuil | Statique | 
| Chaque fois que … | Chaque fois Greater que XksProxyLatencyc'est le cas200. | 

## Créez une alarme pour les erreurs réessayables
<a name="retryable-errors-alarm"></a>

Cette alarme utilise la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Les erreurs récupérables réduisent votre pourcentage de fiabilité et peuvent indiquer des erreurs réseau. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Sélectionner une métrique |  Choisissez l'onglet **Query** (Requête). Choisissez `AWS/KMS` comme **Namespace** (Espace de noms). Saisissez `SUM(XksProxyErrors)` comme **Metric name** (Nom de la métrique). Saisissez `ErrorType = Retryable` pour **Filter by** (Filtrer par). Cliquez sur **Exécuter**. Ensuite, choisissez **Select metric** (Sélectionner une métrique).  | 
| Étiquette | Retryable errors | 
| Period | 1 minute | 
| Type de seuil | Statique | 
| Chaque fois que … | Chaque fois que q1 est Greater que 5. | 

## Créez une alarme pour les erreurs non réessayables
<a name="nonretryable-errors-alarm"></a>

Cette alarme utilise la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Les erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs non récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Suivez les instructions de la [section Création CloudWatch d'une alarme basée sur un seuil statique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.


| Champ | Value | 
| --- | --- | 
| Sélectionner une métrique |  Choisissez l'onglet **Query** (Requête). Choisissez `AWS/KMS` comme **Namespace** (Espace de noms). Saisissez `SUM(XksProxyErrors)` comme **Metric name** (Nom de la métrique). Saisissez `ErrorType = Non-retryable` pour **Filter by** (Filtrer par). Cliquez sur **Exécuter**. Ensuite, choisissez **Select metric** (Sélectionner une métrique).  | 
| Étiquette | Non-retryable errors | 
| Period | 1 minute | 
| Type de seuil | Statique | 
| Chaque fois que … | Chaque fois que q1 est Greater que 5. |