Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pantau tombol KMS dengan Amazon CloudWatch
Anda dapat memantau AWS KMS keys penggunaan [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), AWS layanan yang mengumpulkan dan memproses data mentah dari AWS KMS metrik yang dapat dibaca, mendekati waktu nyata. Data ini direkam untuk jangka waktu dua minggu sehingga Anda dapat mengakses informasi historis dan mendapatkan pemahaman yang lebih baik tentang penggunaan kunci KMS Anda dan perubahannya dari waktu ke waktu.
Anda dapat menggunakan Amazon CloudWatch untuk mengingatkan Anda tentang peristiwa penting, seperti yang berikut.
+ Materi kunci yang diimpor dalam kunci KMS mendekati tanggal kedaluwarsanya.
+ Kunci KMS yang tertunda penghapusan masih digunakan.
+ Materi kunci dalam kunci KMS diputar secara otomatis.
+ Kunci KMS telah dihapus.
Anda juga dapat membuat CloudWatch alarm [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) yang memberi tahu Anda ketika tingkat permintaan Anda mencapai persentase tertentu dari nilai kuota. Untuk detailnya, lihat [Mengelola tarif permintaan AWS KMS API Anda menggunakan Service Quotas dan Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) di Blog *AWS Keamanan*.
## AWS KMS metrik dan dimensi
AWS KMS menetapkan CloudWatch metrik Amazon untuk memudahkan Anda memantau data penting dan membuat alarm. Anda dapat melihat AWS KMS metrik menggunakan Konsol Manajemen AWS dan Amazon CloudWatch API.
Bagian ini mencantumkan setiap AWS KMS metrik dan dimensi untuk setiap metrik, dan memberikan beberapa panduan dasar untuk membuat CloudWatch alarm berdasarkan metrik dan dimensi ini.
**catatan**
**Nama grup dimensi**:
Untuk melihat metrik di CloudWatch konsol Amazon, di bagian **Metrik**, pilih nama grup dimensi. Kemudian Anda dapat memfilter dengan **nama Metrik**. Topik ini mencakup nama metrik dan nama grup dimensi untuk setiap AWS KMS metrik.
Anda dapat melihat AWS KMS metrik menggunakan CloudWatch API Amazon Konsol Manajemen AWS dan Amazon. Untuk informasi selengkapnya, lihat [Melihat metrik yang tersedia](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) di *Panduan CloudWatch Pengguna Amazon*.
**Topics**
+ [
### SuccessfulRequest
](#key-level-api-usage-metric)
+ [
### SecondsUntilKeyMaterialExpiration
](#key-material-expiration-metric)
+ [
### Awan HSMKey StoreThrottle
](#metric-throttling-cloudhsm)
+ [
### ExternalKeyStoreThrottle
](#metric-throttling)
+ [
### XksProxyCertificateDaysToExpire
](#metric-xks-proxy-certificate-days-to-expire)
+ [
### XksProxyCredentialAge
](#metric-xks-proxy-credential-age)
+ [
### XksProxyErrors
](#metric-xks-proxy-errors)
+ [
### XksExternalKeyManagerStates
](#metric-xks-ekm-states)
+ [
### XksProxyLatency
](#metric-xks-proxy-latency)
### SuccessfulRequest
Jumlah permintaan yang berhasil untuk operasi kriptografi pada kunci KMS tertentu. Dengan menggunakan `SuccessfulRequest` metrik, Anda dapat menerapkan pemfilteran tingkat kunci ke penggunaan AWS KMS API di. CloudWatch `Sum`Statistik untuk metrik ini mendefinisikan jumlah total permintaan yang berhasil selama periode tersebut.
Gunakan metrik ini untuk mengidentifikasi kunci KMS mana yang menggunakan porsi terbesar dari kuota permintaan Anda atau berkontribusi paling banyak terhadap biaya API. Anda juga dapat membuat CloudWatch alarm berdasarkan `SuccesfulRequest` metrik untuk memberi tahu Anda tentang pola penggunaan AWS KMS API yang tidak normal. Peringatan ini dapat membantu mengidentifikasi alur kerja yang tidak efisien yang mungkin secara tidak sengaja melebihi kuota permintaan Anda atau menimbulkan biaya tak terduga.
**Dimensi untuk `SuccessfulRequest`**
| Dimensi | Deskripsi |
| --- | --- |
| KeyArn | Nilai untuk setiap kunci KMS. |
| Operasi | Nilai untuk setiap operasi AWS KMS API. Metrik ini hanya berlaku untuk operasi kriptografi. |
Untuk [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)operasi, `SuccessfulRequest` metrik mencakup dimensi untuk kunci KMS sumber dan tujuan.
| Dimensi | Deskripsi |
| --- | --- |
| SourceKeyArn | Nilai untuk kunci KMS yang mendekripsi ciphertext. |
| DestinationKeyArn | Nilai untuk kunci KMS yang mengenkripsi ulang data. |
| Operasi | Nilai untuk setiap operasi AWS KMS API, dalam hal ini, ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
Jumlah detik yang tersisa hingga [bahan kunci impor yang paling awal kedaluwarsa dalam kunci KMS](importing-keys.md). Metrik ini hanya berlaku untuk kunci KMS dengan bahan kunci impor ([asal bahan utama](create-keys.md#key-origin)`EXTERNAL`) dan tanggal kedaluwarsa.
Gunakan metrik ini untuk melacak berapa banyak waktu yang tersisa sebelum materi kunci impor Anda yang paling awal kedaluwarsa berakhir. Ketika waktu itu jatuh di bawah ambang batas yang Anda tentukan, Anda harus mengimpor ulang materi kunci dengan tanggal kedaluwarsa baru agar kunci KMS tetap dapat digunakan. `SecondsUntilKeyMaterialExpiration`Metrik khusus untuk kunci KMS. Anda tidak dapat menggunakan metrik ini untuk memantau beberapa kunci KMS atau kunci KMS yang mungkin Anda buat di masa mendatang. Untuk bantuan dalam membuat CloudWatch alarm untuk memantau metrik ini, lihat[Buat CloudWatch alarm untuk kedaluwarsa materi kunci yang diimpor](imported-key-material-expiration-alarm.md).
Statistik yang paling berguna untuk metrik ini adalah`Minimum`, yang memberi tahu Anda jumlah waktu terkecil yang tersisa untuk semua titik data dalam periode statistik yang ditentukan. Satu-satunya unit yang valid untuk metrik ini adalah `Seconds`.
**Nama grup dimensi**: **Metrik Per-Kunci**
**Dimensi untuk `SecondsUntilKeyMaterialExpiration`**
| Dimensi | Deskripsi; terkait dengan AWS |
| --- | --- |
| KeyId | Nilai untuk setiap kunci KMS. |
Saat Anda [menjadwalkan penghapusan](deleting-keys.md) kunci KMS, AWS KMS memberlakukan masa tunggu sebelum menghapus kunci KMS. Anda dapat menggunakan masa tunggu untuk memastikan bahwa Anda tidak memerlukan kunci KMS sekarang atau di masa depan. Anda juga dapat mengonfigurasi CloudWatch alarm untuk memperingatkan Anda jika seseorang atau aplikasi mencoba menggunakan kunci KMS dalam [operasi kriptografi](kms-cryptography.md#cryptographic-operations) selama masa tunggu. Jika Anda menerima pemberitahuan dari alarm semacam itu, Anda mungkin ingin membatalkan penghapusan kunci KMS.
Untuk petunjuk, lihat [Buat alarm yang mendeteksi penggunaan kunci KMS tertunda penghapusan](deleting-keys-creating-cloudwatch-alarm.md).
### Awan HSMKey StoreThrottle
Jumlah permintaan untuk operasi kriptografi pada kunci KMS di setiap penyimpanan AWS CloudHSM kunci yang AWS KMS melambat (merespons dengan a). `ThrottlingException` Metrik ini hanya berlaku untuk toko AWS CloudHSM utama.
`CloudHSMKeyStoreThrottle`Metrik hanya berlaku untuk kunci KMS di penyimpanan AWS CloudHSM kunci dan hanya untuk permintaan operasi [kriptografi](kms-cryptography.md#cryptographic-operations). AWS KMS [membatasi permintaan ini ketika tingkat permintaan melebihi kuota](throttling.md) [permintaan toko kunci kustom untuk toko kunci](requests-per-second.md#rps-key-stores) Anda AWS CloudHSM . Metrik ini juga mencakup pelambatan oleh cluster. AWS CloudHSM
**Nama grup dimensi**: **Keystore Throttle Metrics**
| Dimensi | Deskripsi |
| --- | --- |
| CustomKeyStoreId | Nilai untuk setiap toko AWS CloudHSM kunci. |
| KmsOperation | Nilai untuk setiap operasi AWS KMS API. Metrik ini hanya berlaku untuk operasi kriptografi pada kunci KMS di toko AWS CloudHSM kunci. |
| KeySpec | Nilai untuk setiap jenis kunci KMS. Satu-satunya [spesifikasi kunci yang didukung untuk kunci](create-keys.md#key-spec) KMS di toko AWS CloudHSM kunci adalah SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
Jumlah permintaan untuk operasi kriptografi pada kunci KMS di setiap penyimpanan kunci eksternal yang AWS KMS melambat (merespons dengan a). `ThrottlingException` Metrik ini hanya berlaku untuk [penyimpanan kunci eksternal](keystore-external.md).
`ExternalKeyStoreThrottle`Metrik hanya berlaku untuk kunci KMS di penyimpanan kunci eksternal dan hanya untuk permintaan operasi [kriptografi](kms-cryptography.md#cryptographic-operations). AWS KMS [membatasi permintaan ini ketika tingkat permintaan melebihi kuota](throttling.md) [permintaan toko kunci kustom](requests-per-second.md#rps-key-stores) untuk penyimpanan kunci eksternal Anda. Metrik ini tidak termasuk pembatasan oleh proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda.
Gunakan metrik ini untuk meninjau dan menyesuaikan nilai kuota permintaan toko kunci kustom Anda. Jika metrik ini menunjukkan bahwa AWS KMS sering membatasi permintaan Anda untuk kunci KMS ini, Anda dapat mempertimbangkan untuk meminta peningkatan nilai kuota permintaan penyimpanan kunci kustom Anda. Untuk bantuan, lihat [Meminta peningkatan kuota dalam Panduan](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) Pengguna *Service Quotas*.
Jika Anda mendapatkan `KMSInvalidStateException` kesalahan yang sangat sering dengan pesan yang menjelaskan bahwa permintaan ditolak “karena tingkat permintaan yang sangat tinggi” atau permintaan ditolak “karena proxy penyimpanan kunci eksternal tidak merespons tepat waktu,” itu mungkin menunjukkan bahwa manajer kunci eksternal Anda atau proxy penyimpanan kunci eksternal tidak dapat mengimbangi tingkat permintaan saat ini. Jika memungkinkan, turunkan tingkat permintaan Anda. Anda juga dapat mempertimbangkan untuk meminta penurunan nilai kuota permintaan toko kunci kustom Anda. Penurunan nilai kuota ini dapat meningkatkan pembatasan (dan nilai `ExternalKeyStoreThrottle` metrik), tetapi ini menunjukkan bahwa AWS KMS menolak permintaan berlebih dengan cepat sebelum dikirim ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk meminta pengurangan kuota, silakan kunjungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home) dan buat kasus.
**Nama grup dimensi**: **Keystore Throttle Metrics**
| Dimensi | Deskripsi |
| --- | --- |
| CustomKeyStoreId | Nilai untuk setiap penyimpanan kunci eksternal. |
| KmsOperation | Nilai untuk setiap operasi AWS KMS API. Metrik ini hanya berlaku untuk operasi kriptografi pada kunci KMS di penyimpanan kunci eksternal. |
| KeySpec | Nilai untuk setiap jenis kunci KMS. Satu-satunya [spesifikasi kunci yang didukung untuk kunci](create-keys.md#key-spec) KMS di penyimpanan kunci eksternal adalah SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
Jumlah hari hingga sertifikat TLS untuk [titik akhir proxy penyimpanan kunci eksternal](create-xks-keystore.md#require-endpoint) Anda (`XksProxyUriEndpoint`) kedaluwarsa. Metrik ini hanya berlaku untuk [penyimpanan kunci eksternal](keystore-external.md).
Gunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda tentang kedaluwarsa sertifikat TLS Anda yang akan datang. Ketika sertifikat kedaluwarsa, AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Semua data yang dilindungi oleh kunci KMS di toko kunci eksternal Anda menjadi tidak dapat diakses sampai Anda memperbarui sertifikat.
Alarm sertifikat mencegah kedaluwarsa sertifikat yang mungkin mencegah Anda mengakses sumber daya terenkripsi Anda. Atur alarm untuk memberi waktu kepada organisasi Anda untuk memperbarui sertifikat sebelum kedaluwarsa.
**Nama grup dimensi: Metrik** **Sertifikat Proxy XKS**
| Dimensi | Deskripsi |
| --- | --- |
| CustomKeyStoreId | Nilai untuk setiap penyimpanan kunci eksternal. |
| CertificateName | Nama subjek (CN) dalam sertifikat TLS. |
Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, lihat [Pantau toko kunci eksternal](xks-monitoring.md).
### XksProxyCredentialAge
Jumlah hari sejak [kredensi proxy](keystore-external.md#concept-xks-credential) penyimpanan kunci eksternal saat ini (`XksProxyAuthenticationCredential`) dikaitkan dengan penyimpanan kunci eksternal. Hitungan ini dimulai ketika Anda memasukkan kredensi otentikasi sebagai bagian dari membuat atau memperbarui toko kunci eksternal Anda. Metrik ini hanya berlaku untuk [penyimpanan kunci eksternal](keystore-external.md).
Nilai ini dirancang untuk mengingatkan Anda tentang usia kredensi otentikasi Anda. Namun, karena kami memulai penghitungan ketika Anda mengaitkan kredensi dengan penyimpanan kunci eksternal Anda, bukan saat Anda membuat kredensi otentikasi pada proxy penyimpanan kunci eksternal Anda, ini mungkin bukan indikator akurat usia kredensi pada proxy.
Gunakan metrik ini untuk membuat CloudWatch alarm yang mengingatkan Anda untuk memutar kredensi otentikasi proxy penyimpanan kunci eksternal Anda.
**Nama grup dimensi**: **Metrik Per-Keystore**
| Dimensi | Deskripsi |
| --- | --- |
| CustomKeyStoreId | Nilai untuk setiap penyimpanan kunci eksternal. |
Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, lihat [Pantau toko kunci eksternal](xks-monitoring.md).
### XksProxyErrors
Jumlah pengecualian yang terkait dengan AWS KMS permintaan ke [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) Anda. Jumlah ini mencakup pengecualian yang dikembalikan oleh proxy penyimpanan kunci eksternal AWS KMS dan kesalahan batas waktu yang terjadi ketika proxy penyimpanan kunci eksternal tidak merespons AWS KMS dalam interval waktu tunggu 250 milidetik. Metrik ini hanya berlaku untuk [penyimpanan kunci eksternal](keystore-external.md).
Gunakan metrik ini untuk melacak tingkat kesalahan kunci KMS di toko kunci eksternal Anda. Ini mengungkapkan kesalahan yang paling sering, sehingga Anda dapat memprioritaskan upaya teknik Anda. Misalnya, kunci KMS yang menghasilkan tingkat kesalahan non-retryable yang tinggi mungkin menunjukkan masalah dengan konfigurasi penyimpanan kunci eksternal Anda. Untuk melihat konfigurasi penyimpanan kunci eksternal Anda, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk mengedit pengaturan penyimpanan kunci eksternal Anda, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).
**Nama grup dimensi**: Metrik **Kesalahan Proksi XKS**
| Dimensi | Deskripsi |
| --- | --- |
| CustomKeyStoreId | Nilai untuk setiap penyimpanan kunci eksternal. |
| KmsOperation | Nilai untuk setiap operasi AWS KMS API yang menghasilkan permintaan ke proxy XKS. |
| XksOperation | Nilai untuk setiap [operasi API proxy penyimpanan kunci eksternal](keystore-external.md#concept-proxy-apis). |
| KeySpec | Nilai untuk setiap jenis kunci KMS. Satu-satunya [spesifikasi kunci yang didukung untuk kunci](create-keys.md#key-spec) KMS di penyimpanan kunci eksternal adalah SYMMETRIC\$1DEFAULT. |
| ErrorType | Nilai:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Nilai: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/monitoring-cloudwatch.html) |
Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, lihat [Pantau toko kunci eksternal](xks-monitoring.md).
### XksExternalKeyManagerStates
Hitungan jumlah [instance manajer kunci eksternal](keystore-external.md#concept-ekm) di masing-masing status kesehatan berikut:`Active`,`Degraded`, dan`Unavailable`. Informasi untuk metrik ini berasal dari proxy penyimpanan kunci eksternal yang terkait dengan setiap penyimpanan kunci eksternal. Metrik ini hanya berlaku untuk [penyimpanan kunci eksternal](keystore-external.md).
Berikut ini adalah status kesehatan untuk instance manajer kunci eksternal yang terkait dengan penyimpanan kunci eksternal. Setiap proxy penyimpanan kunci eksternal mungkin menggunakan indikator yang berbeda untuk mengukur status kesehatan manajer kunci eksternal Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal Anda.
+ `Active`: Manajer kunci eksternal sehat.
+ `Degraded`: Manajer kunci eksternal tidak sehat, tetapi masih dapat melayani lalu lintas
+ `Unavailable`: Manajer kunci eksternal tidak dapat melayani lalu lintas.
Gunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda tentang instans pengelola kunci eksternal yang terdegradasi dan tidak tersedia. Untuk menentukan instans pengelola kunci eksternal mana yang ada di setiap status, lihat log proxy penyimpanan kunci eksternal Anda.
**Nama grup dimensi: Metrik** **Manajer Kunci Eksternal XKS**
| Dimensi | Deskripsi |
| --- | --- |
| CustomKeyStoreId | Nilai untuk setiap penyimpanan kunci eksternal. |
| XksExternalKeyManagerState | Nilai untuk setiap kondisi kesehatan. |
Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, lihat [Pantau toko kunci eksternal](xks-monitoring.md).
### XksProxyLatency
Jumlah milidetik yang diperlukan untuk proxy penyimpanan kunci eksternal untuk menanggapi AWS KMS permintaan. Jika waktu permintaan habis, nilai yang dicatat adalah batas waktu tunggu 250 milidetik. Metrik ini hanya berlaku untuk [penyimpanan kunci eksternal](keystore-external.md).
Gunakan metrik ini untuk mengevaluasi kinerja proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda. Misalnya, jika proxy sering habis waktu pada operasi enkripsi dan dekripsi, konsultasikan dengan administrator proxy eksternal Anda.
Respons lambat mungkin juga menunjukkan bahwa pengelola kunci eksternal Anda tidak dapat menangani lalu lintas permintaan saat ini. AWS KMS merekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika pengelola kunci eksternal Anda tidak dapat menangani tarif 1800 permintaan per detik, pertimbangkan untuk meminta penurunan [kuota permintaan Anda untuk kunci KMS di toko kunci khusus](requests-per-second.md#rps-key-stores). Permintaan untuk operasi kriptografi menggunakan kunci KMS di toko kunci eksternal Anda akan gagal dengan cepat dengan [pengecualian pelambatan](throttling.md), daripada diproses dan kemudian ditolak oleh proxy penyimpanan kunci eksternal atau manajer kunci eksternal Anda.
**Nama grup dimensi: Metrik** **Latensi Proxy XKS**
| Dimensi | Deskripsi |
| --- | --- |
| CustomKeyStoreId | Nilai untuk setiap penyimpanan kunci eksternal. |
| KmsOperation | Nilai untuk setiap operasi AWS KMS API yang menghasilkan permintaan ke proxy XKS. |
| XksOperation | Nilai untuk setiap [operasi API proxy penyimpanan kunci eksternal](keystore-external.md#concept-proxy-apis). |
| KeySpec | Nilai untuk setiap jenis kunci KMS. Satu-satunya [spesifikasi kunci yang didukung untuk kunci](create-keys.md#key-spec) KMS di penyimpanan kunci eksternal adalah SYMMETRIC\$1DEFAULT. |
Anda dapat membuat CloudWatch alarm berdasarkan metrik untuk penyimpanan kunci eksternal dan kunci KMS di toko kunci eksternal. Untuk petunjuk, lihat [Pantau toko kunci eksternal](xks-monitoring.md).
# Buat CloudWatch alarm untuk kedaluwarsa materi kunci yang diimpor
Anda dapat membuat CloudWatch alarm yang memberi tahu Anda ketika materi kunci yang diimpor dalam kunci KMS mendekati waktu kedaluwarsa. Misalnya, alarm dapat memberi tahu Anda ketika waktu kedaluwarsa kurang dari 30 hari lagi.
Saat Anda [mengimpor materi kunci ke kunci KMS](importing-keys.md), Anda dapat secara opsional menentukan tanggal dan waktu saat materi kunci kedaluwarsa. Ketika materi kunci kedaluwarsa, AWS KMS menghapus materi kunci dan kunci KMS menjadi tidak dapat digunakan. Untuk menggunakan kunci KMS lagi, Anda harus [mengimpor ulang materi kunci](importing-keys-import-key-material.md#reimport-key-material). Namun, jika Anda mengimpor ulang materi kunci sebelum kedaluwarsa, Anda dapat menghindari gangguan proses yang menggunakan kunci KMS tersebut.
Alarm ini menggunakan [`SecondsUntilKeyMaterialExpires`metrik](monitoring-cloudwatch.md#key-material-expiration-metric) yang AWS KMS diterbitkan CloudWatch untuk kunci KMS dengan materi kunci impor yang kedaluwarsa. Setiap alarm menggunakan metrik ini untuk memantau bahan kunci yang diimpor untuk kunci KMS tertentu. Anda tidak dapat membuat alarm tunggal untuk semua kunci KMS dengan materi kunci kedaluwarsa atau alarm untuk kunci KMS yang mungkin Anda buat di masa depan.
**Persyaratan**
Sumber daya berikut diperlukan untuk CloudWatch alarm yang memantau berakhirnya bahan kunci yang diimpor.
+ Kunci KMS dengan bahan kunci impor yang kedaluwarsa.
+ Topik Amazon SNS. Untuk detailnya, lihat [Membuat topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) di * CloudWatch Panduan Pengguna Amazon*.
**Buat alarm**
Ikuti petunjuk di [Buat CloudWatch alarm berdasarkan ambang statis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) menggunakan nilai yang diperlukan berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
| --- | --- |
| Pilih metrik | Pilih **KMS**, lalu pilih **Metrik Per-Key**. Pilih baris dengan tombol KMS dan `SecondsUntilKeyMaterialExpires` metrik. Kemudian pilih **Pilih metrik**. Daftar **Metrik** menampilkan `SecondsUntilKeyMaterialExpires` metrik hanya untuk kunci KMS dengan materi kunci impor yang kedaluwarsa. Jika Anda tidak memiliki kunci KMS dengan properti ini di akun dan Wilayah, daftar ini kosong. |
| Statistik | Minimum |
| Periode | 1 menit |
| Jenis ambang | Statis |
| Setiap kali... | Setiap kali metric-name lebih besar dari 1 |
# Buat CloudWatch alarm untuk penyimpanan kunci eksternal
Anda dapat membuat CloudWatch alarm Amazon berdasarkan metrik penyimpanan kunci eksternal untuk memberi tahu Anda bila nilai metrik melebihi ambang batas yang Anda tentukan. Alarm dapat mengirim pesan ke topik [Amazon Simple Notification Service (Amazon SNS) atau kebijakan Amazon EC2 Auto [Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html). Untuk informasi selengkapnya tentang CloudWatch alarm, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) di * CloudWatch Panduan Pengguna Amazon*.
Sebelum membuat CloudWatch alarm Amazon, Anda memerlukan topik Amazon SNS. Untuk detailnya, lihat [Membuat topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) di * CloudWatch Panduan Pengguna Amazon*.
**Topics**
+ [
## Buat alarm untuk kedaluwarsa sertifikat
](#cert-expire-alarm)
+ [
## Buat alarm untuk batas waktu respons
](#latency-alarm)
+ [
## Buat alarm untuk kesalahan yang dapat dicoba ulang
](#retryable-errors-alarm)
+ [
## Buat alarm untuk kesalahan yang tidak dapat dicoba ulang
](#nonretryable-errors-alarm)
## Buat alarm untuk kedaluwarsa sertifikat
Alarm ini menggunakan [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) metrik yang AWS KMS diterbitkan CloudWatch untuk merekam antisipasi kedaluwarsa sertifikat TLS yang terkait dengan titik akhir proxy penyimpanan kunci eksternal Anda. Anda tidak dapat membuat alarm tunggal untuk semua penyimpanan kunci eksternal di akun Anda atau alarm untuk penyimpanan kunci eksternal yang mungkin Anda buat di masa mendatang.
Sebaiknya atur alarm untuk mengingatkan Anda 10 hari sebelum sertifikat Anda ditetapkan kedaluwarsa, tetapi Anda harus menetapkan ambang batas yang paling sesuai dengan kebutuhan Anda.
**Buat alarm**
Ikuti petunjuk di [Buat CloudWatch alarm berdasarkan ambang statis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) menggunakan nilai yang diperlukan berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
| --- | --- |
| Pilih metrik | Pilih **KMS**, lalu pilih Metrik **Sertifikat Proxy XKS**. Pilih kotak centang di sebelah `XksProxyCertificateName` yang ingin Anda pantau. Kemudian pilih **Pilih metrik**. |
| Statistik | Minimum |
| Periode | 5 menit |
| Jenis ambang | Statis |
| Setiap kali... | Kapan pun XksProxyCertificateDaysToExpireLowerlebih dari10. |
## Buat alarm untuk batas waktu respons
Alarm ini menggunakan [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrik yang AWS KMS diterbitkan CloudWatch untuk merekam jumlah milidetik yang diperlukan untuk proxy penyimpanan kunci eksternal AWS KMS untuk menanggapi permintaan. Anda tidak dapat membuat alarm tunggal untuk semua penyimpanan kunci eksternal di akun Anda atau alarm untuk penyimpanan kunci eksternal yang mungkin Anda buat di masa mendatang.
AWS KMS mengharapkan proxy penyimpanan kunci eksternal untuk menanggapi setiap permintaan dalam 250 milidetik. Sebaiknya atur alarm untuk mengingatkan Anda ketika proxy penyimpanan kunci eksternal Anda membutuhkan waktu lebih dari 200 milidetik untuk merespons, tetapi Anda harus menetapkan ambang batas yang paling sesuai dengan kebutuhan Anda.
**Buat alarm**
Ikuti petunjuk di [Buat CloudWatch alarm berdasarkan ambang statis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) menggunakan nilai yang diperlukan berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
| --- | --- |
| Pilih metrik | Pilih **KMS**, lalu pilih Metrik **Latensi Proxy XKS**. Pilih kotak centang di sebelah `KmsOperation` yang ingin Anda pantau. Kemudian pilih **Pilih metrik**. |
| Statistik | Rata-rata |
| Periode | 5 menit |
| Jenis ambang | Statis |
| Setiap kali... | Kapan pun XksProxyLatencyGreaterlebih dari200. |
## Buat alarm untuk kesalahan yang dapat dicoba ulang
Alarm ini menggunakan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik yang AWS KMS diterbitkan CloudWatch untuk mencatat jumlah pengecualian yang terkait dengan AWS KMS permintaan ke proxy penyimpanan kunci eksternal Anda. Anda tidak dapat membuat alarm tunggal untuk semua penyimpanan kunci eksternal di akun Anda atau alarm untuk penyimpanan kunci eksternal yang mungkin Anda buat di masa mendatang.
Kesalahan yang dapat dicoba ulang akan menurunkan persentase keandalan Anda dan dapat menunjukkan kesalahan jaringan. Kami merekomendasikan pengaturan alarm untuk mengingatkan Anda ketika lebih dari lima kesalahan yang dapat dicoba ulang dicatat dalam periode satu menit, tetapi Anda harus menetapkan ambang batas yang paling sesuai dengan kebutuhan Anda.
Ikuti petunjuk di [Buat CloudWatch alarm berdasarkan ambang statis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) menggunakan nilai yang diperlukan berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
| --- | --- |
| Pilih metrik | Pilih tab **Kueri**. Pilih `AWS/KMS` untuk **Namespace**. Masukkan `SUM(XksProxyErrors)` **nama Metrik**. Masukkan `ErrorType = Retryable` untuk **Filter oleh**. Pilih **Jalankan**. Kemudian pilih **Pilih metrik**. |
| Label | Retryable errors |
| Periode | 1 menit |
| Jenis ambang | Statis |
| Setiap kali... | Setiap kali q1 adalah Greater dari5. |
## Buat alarm untuk kesalahan yang tidak dapat dicoba ulang
Alarm ini menggunakan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik yang AWS KMS diterbitkan CloudWatch untuk mencatat jumlah pengecualian yang terkait dengan AWS KMS permintaan ke proxy penyimpanan kunci eksternal Anda. Anda tidak dapat membuat alarm tunggal untuk semua penyimpanan kunci eksternal di akun Anda atau alarm untuk penyimpanan kunci eksternal yang mungkin Anda buat di masa mendatang.
Kesalahan yang tidak dapat dicoba ulang dapat menunjukkan masalah dengan konfigurasi penyimpanan kunci eksternal Anda. Kami merekomendasikan pengaturan alarm untuk mengingatkan Anda ketika lebih dari lima kesalahan yang tidak dapat dicoba ulang dicatat dalam periode satu menit, tetapi Anda harus menetapkan ambang batas yang paling sesuai dengan kebutuhan Anda.
Ikuti petunjuk di [Buat CloudWatch alarm berdasarkan ambang statis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) menggunakan nilai yang diperlukan berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
| --- | --- |
| Pilih metrik | Pilih tab **Kueri**. Pilih `AWS/KMS` untuk **Namespace**. Masukkan `SUM(XksProxyErrors)` **nama Metrik**. Masukkan `ErrorType = Non-retryable` untuk **Filter oleh**. Pilih **Jalankan**. Kemudian pilih **Pilih metrik**. |
| Label | Non-retryable errors |
| Periode | 1 menit |
| Jenis ambang | Statis |
| Setiap kali... | Setiap kali q1 adalah Greater dari5. |