Journalisation et surveillance dans AWS Key Management Service

Chaque appel à une opération d'API AWS KMS est capturé comme événement dans un journal AWS CloudTrail. Ces journaux enregistrent tous les appels d'API à partir de la console AWS KMS, ainsi que les appels effectués par AWS KMS et d'autres services AWS. Les appels d'API entre comptes, tels qu'un appel à utiliser une clé KMS dans un autre compteCompte AWS, sont enregistrés dans les CloudTrail journaux des deux comptes.

Lors du dépannage ou de l'audit, vous pouvez utiliser le journal pour reconstruire le cycle de vie d'une clé KMS. Vous pouvez également afficher sa gestion et son utilisation de la clé KMS dans les opérations de chiffrement. Pour plus d’informations, consultez Enregistrement AWS KMS API des appels avec AWS CloudTrail.

Contrôlez vos fichiers journaux, stockez-les et accédez-y à partir d'AWS CloudTrail ou d'autres sources. Pour plus d'informations, consultez le guide de CloudWatch l'utilisateur Amazon.

CarAWS KMS, CloudWatch stocke des informations utiles qui vous aident à éviter les problèmes liés à vos clés KMS et aux ressources qu'elles protègent. Pour plus d’informations, consultez Surveillez KMS les touches avec Amazon CloudWatch.

AWS KMSgénère EventBridge des événements lorsque votre clé KMS est pivotée ou supprimée ou lorsque le contenu clé importé de votre clé KMS expire. Recherchez les événements AWS KMS (opérations d'API) et acheminez-les vers un ou plusieurs fonctions ou flux cibles pour capturer les informations de l'état. Pour plus d'informations, consultez Surveillez KMS les touches avec Amazon EventBridge le guide de EventBridge l'utilisateur Amazon.

Vous pouvez surveiller vos clés KMS à l'aide de CloudWatch métriques, qui collectent et traitent les données brutes pour AWS KMS en faire des indicateurs de performance. Les données sont enregistrées à intervalles de deux semaines afin que vous puissiez visualiser les tendances des informations actuelles et historiques. Cela vous aide à comprendre comment vos clés KMS sont utilisées et comment leur utilisation évolue au fil du temps. Pour plus d'informations sur l'utilisation de CloudWatch métriques pour surveiller les clés KMS, consultezAWS KMS métriques et dimensions.

Surveillez les évolutions d'une seule métrique pendant la période que vous spécifiez. Ensuite, prenez des mesures en fonction de la valeur de la métrique par rapport à un seuil sur un certain nombre de périodes. Par exemple, vous pouvez créer une CloudWatch alarme qui se déclenche lorsque quelqu'un essaie d'utiliser une clé KMS dont la suppression est programmée dans le cadre d'une opération cryptographique. Cela indique que la clé KMS est toujours utilisée et ne devrait probablement pas être supprimée. Pour plus d’informations, consultez Créez une alarme qui détecte l'utilisation d'une KMS clé en attente de suppression.

Vous pouvez surveiller votre utilisation AWS KMS par rapport aux normes et aux meilleures pratiques de l'industrie de la sécurité à l'aide de AWS Security Hub. Security Hub utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité. Pour plus d'informations, consultez Concepts AWS Key Management Service dans le Guide de l'utilisateur AWS Security Hub.