Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Pantau tombol KMS dengan Amazon CloudWatch

PDF
RSS
Mode fokus
Pantau tombol KMS dengan Amazon CloudWatch - AWS Key Management Service
AWS KMS metrik dan dimensi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda dapat memantau AWS KMS keys penggunaan Amazon CloudWatch, AWS layanan yang mengumpulkan dan memproses data mentah dari AWS KMS metrik yang dapat dibaca, mendekati waktu nyata. Data ini direkam untuk jangka waktu dua minggu sehingga Anda dapat mengakses informasi historis dan mendapatkan pemahaman yang lebih baik tentang penggunaan kunci KMS Anda dan perubahannya dari waktu ke waktu.

Anda dapat menggunakan Amazon CloudWatch untuk mengingatkan Anda tentang peristiwa penting, seperti yang berikut.

  • Materi kunci yang diimpor dalam kunci KMS mendekati tanggal kedaluwarsanya.

  • Kunci KMS yang tertunda penghapusan masih digunakan.

  • Materi kunci dalam kunci KMS diputar secara otomatis.

  • Kunci KMS telah dihapus.

Anda juga dapat membuat CloudWatch alarm Amazon yang memberi tahu Anda ketika tingkat permintaan Anda mencapai persentase tertentu dari nilai kuota. Untuk detailnya, lihat Mengelola tarif permintaan AWS KMS API Anda menggunakan Service Quotas dan Amazon CloudWatch di Blog AWS Keamanan.

AWS KMS metrik dan dimensi

AWS KMS menetapkan CloudWatch metrik Amazon untuk memudahkan Anda memantau data penting dan membuat alarm. Anda dapat melihat AWS KMS metrik menggunakan AWS Management Console dan Amazon CloudWatch API.

Bagian ini mencantumkan setiap AWS KMS metrik dan dimensi untuk setiap metrik, dan memberikan beberapa panduan dasar untuk membuat CloudWatch alarm berdasarkan metrik dan dimensi ini.

catatan

Nama grup dimensi:

Untuk melihat metrik di CloudWatch konsol Amazon, di bagian Metrik, pilih nama grup dimensi. Kemudian Anda dapat memfilter dengan nama Metrik. Topik ini mencakup nama metrik dan nama grup dimensi untuk setiap AWS KMS metrik.

Anda dapat melihat AWS KMS metrik menggunakan CloudWatch API Amazon AWS Management Console dan Amazon. Untuk informasi selengkapnya, lihat Melihat metrik yang tersedia di Panduan CloudWatch Pengguna Amazon.

SecondsUntilKeyMaterialExpiration

Jumlah detik yang tersisa sampai bahan kunci yang diimpor dalam kunci KMS kedaluwarsa. Metrik ini hanya berlaku untuk kunci KMS dengan bahan kunci impor (asal bahan utamaEXTERNAL) dan tanggal kedaluwarsa.

Gunakan metrik ini untuk melacak waktu yang tersisa hingga materi kunci impor Anda kedaluwarsa. Ketika waktu itu jatuh di bawah ambang batas yang Anda tentukan, Anda mungkin ingin mengimpor ulang materi kunci dengan tanggal kedaluwarsa baru. SecondsUntilKeyMaterialExpirationMetrik khusus untuk kunci KMS. Anda tidak dapat menggunakan metrik ini untuk memantau beberapa kunci KMS atau kunci KMS yang mungkin Anda buat di masa mendatang. Untuk bantuan dalam membuat CloudWatch alarm untuk memantau metrik ini, lihatBuat CloudWatch alarm untuk kedaluwarsa materi kunci yang diimpor.

Statistik yang paling berguna untuk metrik ini adalahMinimum, yang memberi tahu Anda jumlah waktu terkecil yang tersisa untuk semua titik data dalam periode statistik yang ditentukan. Satu-satunya unit yang valid untuk metrik ini adalah Seconds.

Nama grup dimensi: Metrik Per-Kunci

Dimensi untuk SecondsUntilKeyMaterialExpiration
Dimensi Deskripsi; terkait dengan AWS
KeyId Nilai untuk setiap kunci KMS.

Saat Anda menjadwalkan penghapusan kunci KMS, AWS KMS memberlakukan masa tunggu sebelum menghapus kunci KMS. Anda dapat menggunakan masa tunggu untuk memastikan bahwa Anda tidak memerlukan kunci KMS sekarang atau di masa depan. Anda juga dapat mengonfigurasi CloudWatch alarm untuk memperingatkan Anda jika seseorang atau aplikasi mencoba menggunakan kunci KMS dalam operasi kriptografi selama masa tunggu. Jika Anda menerima pemberitahuan dari alarm semacam itu, Anda mungkin ingin membatalkan penghapusan kunci KMS.

Untuk petunjuk, silakan lihat Buat alarm yang mendeteksi penggunaan kunci KMS tertunda penghapusan.

Awan HSMKey StoreThrottle

Jumlah permintaan untuk operasi kriptografi pada kunci KMS di setiap penyimpanan AWS CloudHSM kunci yang AWS KMS melambat (merespons dengan a). ThrottlingException Metrik ini hanya berlaku untuk toko AWS CloudHSM utama.

CloudHSMKeyStoreThrottleMetrik hanya berlaku untuk kunci KMS di penyimpanan AWS CloudHSM kunci dan hanya untuk permintaan operasi kriptografi. AWS KMS membatasi permintaan ini ketika tingkat permintaan melebihi kuota permintaan toko kunci kustom untuk toko kunci Anda AWS CloudHSM . Metrik ini juga mencakup pelambatan oleh cluster. AWS CloudHSM

Nama grup dimensi: Keystore Throttle Metrics

Dimensi Deskripsi
CustomKeyStoreId Nilai untuk setiap toko AWS CloudHSM kunci.
KmsOperation Nilai untuk setiap operasi AWS KMS API. Metrik ini hanya berlaku untuk operasi kriptografi pada kunci KMS di toko AWS CloudHSM kunci.
KeySpec Nilai untuk setiap jenis kunci KMS. Satu-satunya spesifikasi kunci yang didukung untuk kunci KMS di toko AWS CloudHSM kunci adalah SYMMETRIC_DEFAULT.

ExternalKeyStoreThrottle

Jumlah permintaan untuk operasi kriptografi pada kunci KMS di setiap penyimpanan kunci eksternal yang AWS KMS melambat (merespons dengan a). ThrottlingException Metrik ini hanya berlaku untuk penyimpanan kunci eksternal.

ExternalKeyStoreThrottleMetrik hanya berlaku untuk kunci KMS di penyimpanan kunci eksternal dan hanya untuk permintaan operasi kriptografi. AWS KMS membatasi permintaan ini ketika tingkat permintaan melebihi kuota permintaan toko kunci kustom untuk penyimpanan kunci eksternal Anda. Metrik ini tidak termasuk pembatasan oleh proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda.

Gunakan metrik ini untuk meninjau dan menyesuaikan nilai kuota permintaan toko kunci kustom Anda. Jika metrik ini menunjukkan bahwa AWS KMS sering membatasi permintaan Anda untuk kunci KMS ini, Anda dapat mempertimbangkan untuk meminta peningkatan nilai kuota permintaan penyimpanan kunci kustom Anda. Untuk bantuan, lihat Meminta peningkatan kuota dalam Panduan Pengguna Service Quotas.

Jika Anda mendapatkan KMSInvalidStateException kesalahan yang sangat sering dengan pesan yang menjelaskan bahwa permintaan ditolak “karena tingkat permintaan yang sangat tinggi” atau permintaan ditolak “karena proxy penyimpanan kunci eksternal tidak merespons tepat waktu,” itu mungkin menunjukkan bahwa manajer kunci eksternal Anda atau proxy penyimpanan kunci eksternal tidak dapat mengimbangi tingkat permintaan saat ini. Jika memungkinkan, turunkan tingkat permintaan Anda. Anda juga dapat mempertimbangkan untuk meminta penurunan nilai kuota permintaan toko kunci kustom Anda. Penurunan nilai kuota ini dapat meningkatkan pembatasan (dan nilai ExternalKeyStoreThrottle metrik), tetapi ini menunjukkan bahwa AWS KMS menolak permintaan berlebih dengan cepat sebelum dikirim ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk meminta pengurangan kuota, silakan kunjungi AWS Support Pusat dan buat kasus.

Nama grup dimensi: Keystore Throttle Metrics

Dimensi Deskripsi
CustomKeyStoreId Nilai untuk setiap penyimpanan kunci eksternal.
KmsOperation Nilai untuk setiap operasi AWS KMS API. Metrik ini hanya berlaku untuk operasi kriptografi pada kunci KMS di penyimpanan kunci eksternal.
KeySpec Nilai untuk setiap jenis kunci KMS. Satu-satunya spesifikasi kunci yang didukung untuk kunci KMS di penyimpanan kunci eksternal adalah SYMMETRIC_DEFAULT.

XksProxyCertificateDaysToExpire

Jumlah hari hingga sertifikat TLS untuk titik akhir proxy penyimpanan kunci eksternal Anda (XksProxyUriEndpoint) kedaluwarsa. Metrik ini hanya berlaku untuk penyimpanan kunci eksternal.

Gunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda tentang kedaluwarsa sertifikat TLS Anda yang akan datang. Ketika sertifikat kedaluwarsa, AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Semua data yang dilindungi oleh kunci KMS di toko kunci eksternal Anda menjadi tidak dapat diakses sampai Anda memperbarui sertifikat.

Alarm sertifikat mencegah kedaluwarsa sertifikat yang mungkin mencegah Anda mengakses sumber daya terenkripsi Anda. Atur alarm untuk memberi waktu kepada organisasi Anda untuk memperbarui sertifikat sebelum kedaluwarsa.

Nama grup dimensi: Metrik Sertifikat Proxy XKS

Dimensi Deskripsi
CustomKeyStoreId Nilai untuk setiap penyimpanan kunci eksternal.
CertificateName Nama subjek (CN) dalam sertifikat TLS.

Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, silakan lihat Pantau toko kunci eksternal.

XksProxyCredentialAge

Jumlah hari sejak kredensi proxy penyimpanan kunci eksternal saat ini (XksProxyAuthenticationCredential) dikaitkan dengan penyimpanan kunci eksternal. Hitungan ini dimulai ketika Anda memasukkan kredensi otentikasi sebagai bagian dari membuat atau memperbarui toko kunci eksternal Anda. Metrik ini hanya berlaku untuk penyimpanan kunci eksternal.

Nilai ini dirancang untuk mengingatkan Anda tentang usia kredensi otentikasi Anda. Namun, karena kami memulai penghitungan ketika Anda mengaitkan kredensi dengan penyimpanan kunci eksternal Anda, bukan saat Anda membuat kredensi otentikasi pada proxy penyimpanan kunci eksternal Anda, ini mungkin bukan indikator akurat usia kredensi pada proxy.

Gunakan metrik ini untuk membuat CloudWatch alarm yang mengingatkan Anda untuk memutar kredensi otentikasi proxy penyimpanan kunci eksternal Anda.

Nama grup dimensi: Metrik Per-Keystore

Dimensi Deskripsi
CustomKeyStoreId Nilai untuk setiap penyimpanan kunci eksternal.

Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, silakan lihat Pantau toko kunci eksternal.

XksProxyErrors

Jumlah pengecualian yang terkait dengan AWS KMS permintaan ke proxy penyimpanan kunci eksternal Anda. Jumlah ini mencakup pengecualian yang dikembalikan oleh proxy penyimpanan kunci eksternal AWS KMS dan kesalahan batas waktu yang terjadi ketika proxy penyimpanan kunci eksternal tidak merespons AWS KMS dalam interval waktu tunggu 250 milidetik. Metrik ini hanya berlaku untuk penyimpanan kunci eksternal.

Gunakan metrik ini untuk melacak tingkat kesalahan kunci KMS di toko kunci eksternal Anda. Ini mengungkapkan kesalahan yang paling sering, sehingga Anda dapat memprioritaskan upaya teknik Anda. Misalnya, kunci KMS yang menghasilkan tingkat kesalahan non-retryable yang tinggi mungkin menunjukkan masalah dengan konfigurasi penyimpanan kunci eksternal Anda. Untuk melihat konfigurasi penyimpanan kunci eksternal Anda, lihatLihat toko kunci eksternal. Untuk mengedit pengaturan penyimpanan kunci eksternal Anda, lihatEdit properti penyimpanan kunci eksternal.

Nama grup dimensi: Metrik Kesalahan Proksi XKS

Dimensi Deskripsi
CustomKeyStoreId Nilai untuk setiap penyimpanan kunci eksternal.
KmsOperation Nilai untuk setiap operasi AWS KMS API yang menghasilkan permintaan ke proxy XKS.
XksOperation Nilai untuk setiap operasi API proxy penyimpanan kunci eksternal.
KeySpec Nilai untuk setiap jenis kunci KMS. Satu-satunya spesifikasi kunci yang didukung untuk kunci KMS di penyimpanan kunci eksternal adalah SYMMETRIC_DEFAULT.
ErrorType Nilai:

  • Kesalahan yang dapat dicoba ulang: Kemungkinan bersifat sementara, seperti kesalahan jaringan.

  • Kesalahan yang tidak dapat dicoba ulang: Kemungkinan menunjukkan masalah dengan konfigurasi penyimpanan kunci khusus atau komponen eksternal.

  • N/A: Permintaan yang berhasil; tidak ada kesalahan
ExceptionName

Nilai:

  • Nama pengecualian

  • Tidak ada: Permintaan yang berhasil; tidak ada kesalahan

Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, silakan lihat Pantau toko kunci eksternal.

XksExternalKeyManagerStates

Hitungan jumlah instance manajer kunci eksternal di masing-masing status kesehatan berikut:Active,Degraded, danUnavailable. Informasi untuk metrik ini berasal dari proxy penyimpanan kunci eksternal yang terkait dengan setiap penyimpanan kunci eksternal. Metrik ini hanya berlaku untuk penyimpanan kunci eksternal.

Berikut ini adalah status kesehatan untuk instance manajer kunci eksternal yang terkait dengan penyimpanan kunci eksternal. Setiap proxy penyimpanan kunci eksternal mungkin menggunakan indikator yang berbeda untuk mengukur status kesehatan manajer kunci eksternal Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal Anda.

  • Active: Manajer kunci eksternal sehat.

  • Degraded: Manajer kunci eksternal tidak sehat, tetapi masih dapat melayani lalu lintas

  • Unavailable: Manajer kunci eksternal tidak dapat melayani lalu lintas.

Gunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda tentang instans pengelola kunci eksternal yang terdegradasi dan tidak tersedia. Untuk menentukan instance pengelola kunci eksternal mana yang ada di setiap status, lihat log proxy penyimpanan kunci eksternal Anda.

Nama grup dimensi: Metrik Manajer Kunci Eksternal XKS

Dimensi Deskripsi
CustomKeyStoreId Nilai untuk setiap penyimpanan kunci eksternal.
XksExternalKeyManagerState Nilai untuk setiap kondisi kesehatan.

Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, silakan lihat Pantau toko kunci eksternal.

XksProxyLatency

Jumlah milidetik yang diperlukan untuk proxy penyimpanan kunci eksternal untuk menanggapi AWS KMS permintaan. Jika waktu permintaan habis, nilai yang dicatat adalah batas waktu tunggu 250 milidetik. Metrik ini hanya berlaku untuk penyimpanan kunci eksternal.

Gunakan metrik ini untuk mengevaluasi kinerja proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda. Misalnya, jika proxy sering habis waktu pada operasi enkripsi dan dekripsi, konsultasikan dengan administrator proxy eksternal Anda.

Respons lambat mungkin juga menunjukkan bahwa pengelola kunci eksternal Anda tidak dapat menangani lalu lintas permintaan saat ini. AWS KMS merekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika pengelola kunci eksternal Anda tidak dapat menangani tarif 1800 permintaan per detik, pertimbangkan untuk meminta penurunan kuota permintaan Anda untuk kunci KMS di toko kunci khusus. Permintaan untuk operasi kriptografi menggunakan kunci KMS di toko kunci eksternal Anda akan gagal dengan cepat dengan pengecualian pelambatan, daripada diproses dan kemudian ditolak oleh proxy penyimpanan kunci eksternal atau manajer kunci eksternal Anda.

Nama grup dimensi: Metrik Latensi Proxy XKS

Dimensi Deskripsi
CustomKeyStoreId Nilai untuk setiap penyimpanan kunci eksternal.
KmsOperation Nilai untuk setiap operasi AWS KMS API yang menghasilkan permintaan ke proxy XKS.
XksOperation Nilai untuk setiap operasi API proxy penyimpanan kunci eksternal.
KeySpec Nilai untuk setiap jenis kunci KMS. Satu-satunya spesifikasi kunci yang didukung untuk kunci KMS di penyimpanan kunci eksternal adalah SYMMETRIC_DEFAULT.

Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk instruksi, lihat Pantau toko kunci eksternal.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.