Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Créez des CloudWatch alarmes pour les magasins de clés externes

PDF
RSS
Mode de mise au point
Créez des CloudWatch alarmes pour les magasins de clés externes - AWS Key Management Service
Création d'une alarme pour l'expiration du certificatCréation d'une alarme pour l'expiration du délai de réponseCréez une alarme pour les erreurs réessayablesCréez une alarme pour les erreurs non réessayables

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez créer des CloudWatch alarmes Amazon en fonction des statistiques externes du magasin clé pour vous avertir lorsqu'une valeur métrique dépasse le seuil que vous avez spécifié. L'alarme peut envoyer le message à une rubrique Amazon Simple Notification Service (Amazon SNS) ou à une politique Amazon EC2Auto Scaling. Pour obtenir des informations détaillées sur les CloudWatch alarmes, consultez la section Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.

Avant de créer une CloudWatch alarme Amazon, vous avez besoin d'une rubrique Amazon SNS. Pour plus de détails, consultez la rubrique Création d'un Amazon SNS dans le guide de CloudWatch l'utilisateur Amazon.

Création d'une alarme pour l'expiration du certificat

Cette alarme utilise la XksProxyCertificateDaysToExpire métrique AWS KMS publiée sur CloudWatch pour enregistrer l'expiration prévue du certificat TLS associé à votre point de terminaison proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Nous vous recommandons de régler l'alerte pour qu'elle vous avertisse 10 jours avant l'expiration de votre certificat, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Créez l'alarme

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ Valeur
Sélectionner une métrique

Choisissez KMS, puis choisissez XKS Proxy Certificate Metrics (Métriques de certificat de proxy XKS).

Cochez la case à côté du XksProxyCertificateName que vous souhaitez surveiller.

Ensuite, choisissez Select metric (Sélectionner une métrique).
Statistique Minimum
Période 5 minutes
Type de seuil Statique
Chaque fois que … À chaque fois Lower que XksProxyCertificateDaysToExpirec'est le cas10.

Création d'une alarme pour l'expiration du délai de réponse

Cette alarme utilise la XksProxyLatency métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre de millisecondes nécessaires à un proxy de stockage de clés externe pour répondre à une demande. AWS KMS Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

AWS KMS attend du proxy de stockage de clés externe qu'il réponde à chaque demande dans un délai de 250 millisecondes. Nous vous recommandons de configurer une alerte pour vous avertir lorsque le proxy de votre magasin de clés externe met plus de 200 millisecondes à répondre, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Créez l'alarme

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ Valeur
Sélectionner une métrique

Choisissez KMS, puis choisissez XKS Proxy Latency Metrics (Métriques de latence de proxy XKS).

Cochez la case à côté du KmsOperation que vous souhaitez surveiller.

Ensuite, choisissez Select metric (Sélectionner une métrique).
Statistique Moyenne
Période 5 minutes
Type de seuil Statique
Chaque fois que … À chaque fois Greater que XksProxyLatencyc'est le cas200.

Créez une alarme pour les erreurs réessayables

Cette alarme utilise la XksProxyErrors métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Les erreurs récupérables réduisent votre pourcentage de fiabilité et peuvent indiquer des erreurs réseau. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ Valeur
Sélectionner une métrique

Choisissez l'onglet Query (Requête).

Choisissez AWS/KMS comme Namespace (Espace de noms).

Saisissez SUM(XksProxyErrors) comme Metric name (Nom de la métrique).

Saisissez ErrorType = Retryable pour Filter by (Filtrer par).

Cliquez sur Exécuter. Ensuite, choisissez Select metric (Sélectionner une métrique).
Étiquette Retryable errors
Période 1 minute
Type de seuil Statique
Chaque fois que … Chaque fois que q1 est Greater que 5.

Créez une alarme pour les erreurs non réessayables

Cette alarme utilise la XksProxyErrors métrique AWS KMS publiée sur CloudWatch pour enregistrer le nombre d'exceptions liées aux AWS KMS demandes adressées à votre proxy de stockage de clés externe. Vous ne pouvez pas créer une alerte unique pour tous les magasins de clés externes de votre compte ou une alerte pour les magasins de clés externes que vous pourriez créer à l'avenir.

Les erreurs non récupérables peuvent indiquer un problème de configuration de votre magasin de clés externe. Nous vous recommandons de définir une alerte pour vous avertir lorsque plus de cinq erreurs non récupérables sont enregistrées sur une période d'une minute, mais vous êtes invité à définir le seuil qui correspond le mieux à vos besoins.

Suivez les instructions de la section Création CloudWatch d'une alarme basée sur un seuil statique en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ Valeur
Sélectionner une métrique

Choisissez l'onglet Query (Requête).

Choisissez AWS/KMS comme Namespace (Espace de noms).

Saisissez SUM(XksProxyErrors) comme Metric name (Nom de la métrique).

Saisissez ErrorType = Non-retryable pour Filter by (Filtrer par).

Cliquez sur Exécuter. Ensuite, choisissez Select metric (Sélectionner une métrique).
Étiquette Non-retryable errors
Période 1 minute
Type de seuil Statique
Chaque fois que … Chaque fois que q1 est Greater que 5.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.