Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pemantauan adalah bagian penting untuk memahami ketersediaan, keadaan, dan penggunaan Anda AWS KMS keys di dalam AWS KMS dan menjaga keandalan, ketersediaan, dan kinerja AWS solusi Anda. Mengumpulkan data pemantauan dari semua bagian solusi AWS akan membantu Anda melakukan debug pada gagal beberapa titik jika ada yang terjadi. Sebelum Anda mulai memantau kunci KMS Anda, buatlah rencana pemantauan yang mencakup jawaban atas pertanyaan-pertanyaan berikut:
-
Apa tujuan pemantauan Anda?
-
Sumber daya apa yang akan Anda pantau?
-
Seberapa sering Anda akan memantau sumber daya ini?
-
Alat pemantauan apa yang akan Anda gunakan?
-
Siapa yang akan melakukan tugas pemantauan?
-
Siapa yang harus diberi tahu ketika terjadi sesuatu?
Langkah selanjutnya adalah memantau kunci KMS Anda dari waktu ke waktu untuk menetapkan dasar untuk AWS KMS penggunaan normal dan harapan di lingkungan Anda. Saat Anda memantau kunci KMS Anda, simpan data pemantauan historis sehingga Anda dapat membandingkannya dengan data saat ini, mengidentifikasi pola dan anomali normal, dan merancang metode untuk mengatasi masalah.
Misalnya, Anda dapat memantau aktivitas AWS KMS API dan peristiwa yang memengaruhi kunci KMS Anda. Saat data berada di atas atau di bawah norma yang telah ditetapkan, Anda mungkin perlu menyelidiki atau mengambil tindakan korektif.
Untuk menetapkan baseline pola normal, pantau item berikut:
-
AWS KMS Aktivitas API untuk operasi pesawat data. Ini adalah operasi kriptografi yang menggunakan kunci KMS, seperti Dekripsi, Enkripsi, dan. ReEncryptGenerateDataKey
-
AWS KMS Aktivitas API untuk operasi pesawat kontrol yang penting bagi Anda. Operasi ini mengelola kunci KMS, dan Anda mungkin ingin memantau mereka yang mengubah ketersediaan kunci KMS (seperti ScheduleKeyDeletion,,,, CancelKeyDeletionDisableKey, EnableKeyImportKeyMaterial, dan DeleteImportedKeyMaterial) atau mengubah kontrol akses kunci KMS (seperti PutKeyPolicydan). RevokeGrant
-
AWS KMS Metrik lainnya (seperti jumlah waktu yang tersisa hingga materi kunci impor Anda kedaluwarsa) dan peristiwa (seperti kedaluwarsa materi kunci yang diimpor atau penghapusan atau rotasi kunci kunci KMS).
Alat pemantauan
AWS menyediakan berbagai alat yang dapat Anda gunakan untuk memantau kunci KMS Anda. Anda dapat mengonfigurasi beberapa alat ini untuk melakukan pemantauan untuk Anda, sementara beberapa alat memerlukan intervensi manual. Kami menyarankan agar Anda mengautomasi tugas pemantauan sebanyak mungkin.
Alat pemantauan otomatis
Anda dapat menggunakan alat pemantauan otomatis berikut untuk melihat kunci KMS Anda dan melaporkan ketika sesuatu telah berubah.
-
AWS CloudTrail Pemantauan Log - Bagikan file log antar akun, pantau file CloudTrail log secara real time dengan mengirimkannya ke CloudWatch Log, menulis aplikasi pemrosesan log dengan Pustaka CloudTrail Pemrosesan, dan validasi bahwa file log Anda tidak berubah setelah pengiriman oleh CloudTrail. Untuk informasi selengkapnya, lihat Bekerja dengan File CloudTrail Log di Panduan AWS CloudTrail Pengguna.
-
CloudWatch Alarm Amazon — Tonton satu metrik selama periode waktu yang Anda tentukan, dan lakukan satu atau beberapa tindakan berdasarkan nilai metrik relatif terhadap ambang batas tertentu selama beberapa periode waktu. Tindakannya adalah pemberitahuan yang dikirim ke topik Amazon Simple Notification Service (Amazon SNS) atau kebijakan Amazon Auto EC2 Scaling. CloudWatch alarm tidak memanggil tindakan hanya karena mereka berada dalam keadaan tertentu; negara harus telah berubah dan dipertahankan untuk sejumlah periode tertentu. Untuk informasi selengkapnya, lihat Pantau tombol KMS dengan Amazon CloudWatch.
-
Amazon EventBridge — Cocokkan acara dan arahkan ke satu atau beberapa fungsi atau aliran target untuk menangkap informasi status dan, jika perlu, membuat perubahan atau mengambil tindakan korektif. Untuk informasi selengkapnya, lihat Pantau tombol KMS dengan Amazon EventBridge dan Panduan EventBridge Pengguna Amazon.
-
Amazon CloudWatch Logs — Pantau, simpan, dan akses file log Anda dari AWS CloudTrail atau sumber lain. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon CloudWatch Logs.
Alat pemantauan manual
Bagian penting lainnya dari pemantauan kunci KMS melibatkan pemantauan secara manual item yang tidak CloudWatch tercakup oleh alarm dan peristiwa. AWS Dasbor AWS KMS CloudWatch AWS Trusted Advisor,,, dan lainnya memberikan at-a-glance pandangan tentang keadaan AWS lingkungan Anda.
Anda dapat menyesuaikan halaman kunci yang dikelola Pelanggan di AWS KMS konsol
-
ID Kunci
-
Status
-
Tanggal pembuatan
-
Tanggal kedaluwarsa (untuk kunci KMS dengan bahan kunci impor)
-
Asal
-
ID toko kunci kustom (untuk kunci KMS di toko kunci kustom)
Dasbor CloudWatch konsol
-
Alarm dan status saat ini
-
Grafik alarm dan sumber daya
-
Status kesehatan layanan
Selain itu, Anda dapat menggunakan CloudWatch untuk melakukan hal berikut:
-
Membuat dasbor yang disesuaikan untuk memantau layanan yang penting bagi Anda
-
Data metrik grafik untuk memecahkan masalah dan mengungkap tren
-
Cari dan telusuri semua metrik AWS sumber daya Anda
-
Membuat dan mengedit alarm untuk menerima notifikasi terkait masalah
AWS Trusted Advisor dapat membantu Anda memantau AWS sumber daya Anda untuk meningkatkan kinerja, keandalan, keamanan, dan efektivitas biaya. Empat Trusted Advisor cek tersedia untuk semua pengguna; lebih dari 50 cek tersedia untuk pengguna dengan paket dukungan Bisnis atau Perusahaan. Untuk informasi selengkapnya, lihat AWS Trusted Advisor
