Melihat grafik Menafsirkan grafik Mengatur alarm

Memantau toko kunci eksternal

AWS KMSmengumpulkan metrik untuk setiap interaksi dengan toko kunci eksternal dan menerbitkannya di akun Anda. CloudWatch Metrik ini digunakan untuk menghasilkan grafik di bagian pemantauan halaman detail untuk setiap penyimpanan kunci eksternal. Topik berikut merinci cara menggunakan grafik untuk mengidentifikasi dan memecahkan masalah operasional dan konfigurasi yang memengaruhi penyimpanan kunci eksternal Anda. Sebaiknya gunakan CloudWatch metrik untuk menyetel alarm yang memberi tahu Anda saat penyimpanan kunci eksternal Anda tidak berfungsi seperti yang diharapkan. Untuk informasi selengkapnya, lihat Memantau dengan Amazon CloudWatch.

Melihat grafik

Anda dapat melihat grafik pada berbagai tingkat detail. Secara default, setiap grafik menggunakan rentang waktu tiga jam dan periode agregasi lima menit. Anda dapat menyesuaikan tampilan grafik di dalam konsol, tetapi perubahan Anda akan kembali ke pengaturan default ketika halaman detail penyimpanan kunci eksternal ditutup atau browser di-refresh. Untuk bantuan terkait CloudWatch terminologi Amazon, lihat CloudWatch Konsep Amazon.

Lihat detail titik data

Data dalam setiap grafik dikumpulkan berdasarkan AWS KMSmetrik. Untuk melihat informasi lebih lanjut tentang titik data tertentu, jeda mouse di atas titik data pada grafik garis. Ini akan menampilkan pop-up dengan informasi lebih lanjut tentang metrik dari mana grafik itu berasal. Setiap item daftar menampilkan nilai dimensi yang direkam pada titik data tersebut. Pop-up menampilkan nilai null (—) jika tidak ada data metrik yang tersedia untuk nilai dimensi pada titik data tersebut. Beberapa grafik merekam beberapa dimensi dan nilai untuk satu titik data. Grafik lain, seperti grafik reliabilitas, menggunakan data yang dikumpulkan oleh metrik untuk menghitung nilai unik. Setiap item daftar dikaitkan dengan warna grafik garis yang berbeda.

Ubah rentang waktu

Untuk mengubah rentang waktu, pilih salah satu rentang waktu yang telah ditentukan di sudut kanan atas bagian pemantauan. Rentang waktu yang telah ditentukan berkisar dari 1 jam hingga 1 minggu (1 jam, 3 jam, 12 jam, 1d, 3d, atau 1w). Ini menyesuaikan rentang waktu untuk semua grafik. Jika Anda ingin melihat satu grafik tertentu dalam rentang waktu yang berbeda, atau jika Anda ingin mengatur rentang waktu khusus, perbesar grafik atau lihat di CloudWatch konsol Amazon.

Memperbesar grafik

Anda dapat menggunakan fitur zoom peta mini untuk fokus pada bagian grafik garis dan bagian grafik yang ditumpuk tanpa mengubah antara tampilan yang diperbesar dan diperbesar. Misalnya, Anda dapat menggunakan fitur zoom peta mini untuk fokus pada puncak dalam grafik, sehingga Anda dapat membandingkan lonjakan dengan grafik lain di bagian pemantauan dari garis waktu yang sama.

Pilih dan seret pada area grafik yang ingin Anda fokuskan, dan kemudian lepaskan seretannya.
Untuk mengatur ulang zoom, pilih ikon Atur ulang zoom, yang terlihat seperti kaca pembesar dengan simbol minus (-) di dalamnya.

Memperbesar grafik

Untuk memperbesar grafik, pilih ikon menu di sudut kanan atas grafik individual dan pilih Perbesar. Anda juga dapat memilih ikon perbesar yang muncul di sebelah ikon menu saat Anda mengarahkan kursor ke grafik.

Memperbesar grafik memungkinkan Anda untuk memodifikasi tampilan grafik lebih lanjut dengan menentukan periode yang berbeda, rentang waktu khusus, atau interval penyegaran. Perubahan ini akan kembali ke pengaturan default saat Anda menutup tampilan yang diperbesar.

Ubah periode

Pilih menu opsi Periode. Secara default, menu ini menampilkan nilai: 5 menit.
Pilih periode, periode yang telah ditentukan berkisar dari 1 detik hingga 30 hari.

Misalnya, Anda dapat memilih tampilan satu menit, yang dapat berguna ketika pemecahan masalah. Atau, pilih tampilan satu jam yang kurang terperinci. Hal ini dapat berguna ketika melihat rentang waktu yang lebih luas (misalnya, 3 hari) sehingga Anda dapat melihat tren dari waktu ke waktu. Untuk informasi selengkapnya, lihat Periode di Panduan CloudWatch Pengguna Amazon.

Ubah rentang waktu atau zona waktu

Pilih salah satu rentang waktu yang telah ditentukan, yang berkisar dari 1 jam hingga 1 minggu (1 jam, 3 jam, 12 jam, 1d, 3d, atau 1w). Atau, Anda dapat memilih Kustom untuk mengatur rentang waktu Anda sendiri.
Pilih Kustom
1. Rentang waktu: pilih tab Absolute di sudut kiri atas kotak. Gunakan pemilih kalender atau kotak bidang teks untuk menentukan rentang waktu.
2. Zona waktu: pilih dropdown di sudut kanan atas kotak. Anda dapat mengubah zona waktu ke UTC atau zona waktu lokal.
Setelah Anda menentukan rentang waktu, pilih Terapkan.

Ubah seberapa sering data dalam grafik Anda di-refresh

Pilih menu Refresh options di pojok kanan atas.
Pilih interval penyegaran (Mati, 10 Detik, 1 Menit, 2 Menit, 5 Menit, atau 15 Menit).

Lihat grafik di konsol Amazon CloudWatch

Grafik di bagian pemantauan berasal dari metrik yang telah ditentukan sebelumnya yang AWS KMS diterbitkan ke Amazon. CloudWatch Anda dapat membukanya di dalam CloudWatch konsol dan menyimpannya ke CloudWatch dasbor. Jika Anda memiliki beberapa toko kunci eksternal, Anda dapat membuka grafik masing-masing CloudWatch dan menyimpannya ke satu dasbor untuk membandingkan kesehatan dan penggunaannya.

Tambahkan ke CloudWatch dasbor

Pilih Tambahkan ke dasbor di sudut kanan atas untuk menambahkan semua grafik ke CloudWatch dasbor Amazon. Anda dapat memilih dasbor yang ada atau membuat yang baru. Untuk informasi tentang penggunaan dasbor ini untuk membuat tampilan grafik dan alarm yang disesuaikan, lihat Menggunakan CloudWatchdasbor Amazon di Panduan Pengguna Amazon CloudWatch .

Lihat dalam CloudWatch metrik

Pilih ikon menu di sudut kanan atas grafik individual dan pilih Lihat dalam metrik untuk melihat grafik ini di CloudWatch konsol Amazon. Dari CloudWatch konsol, Anda dapat menambahkan grafik tunggal ini ke dasbor dan mengubah rentang waktu, periode, dan interval penyegaran. Untuk informasi selengkapnya, lihat, Membuat grafik metrik di CloudWatch Panduan Pengguna Amazon.

Menafsirkan grafik

AWS KMSmenyediakan beberapa grafik untuk memantau kesehatan toko kunci eksternal Anda di dalam AWS KMS konsol. Grafik ini secara otomatis dikonfigurasi dan berasal dari AWS KMSmetrik.

Data grafik dikumpulkan sebagai bagian dari panggilan yang Anda lakukan ke penyimpanan kunci eksternal dan kunci eksternal Anda. Anda mungkin melihat data mengisi grafik selama rentang waktu yang Anda tidak melakukan panggilan apa pun, data ini berasal dari GetHealthStatus panggilan berkala yang AWS KMS membuat atas nama Anda untuk memeriksa status proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda. Jika grafik Anda menampilkan pesan Tidak ada data yang tersedia, maka tidak ada panggilan yang direkam selama rentang waktu tersebut atau penyimpanan kunci eksternal Anda dalam DISCONNECTEDkeadaan. Anda mungkin dapat mengidentifikasi waktu penyimpanan kunci eksternal Anda terputus dengan menyesuaikan tampilan Anda ke rentang waktu yang lebih luas.

Topik

Total permintaan
Keandalan
Latensi
5 pengecualian teratas
Hari sertifikat untuk kedaluwarsa

Total permintaan

Jumlah total AWS KMS permintaan yang diterima untuk penyimpanan kunci eksternal tertentu selama rentang waktu tertentu. Gunakan grafik ini untuk menentukan apakah Anda berisiko mengalami pelambatan.

AWS KMSmerekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika Anda mendekati 540.000 panggilan dalam periode lima menit, Anda berisiko mengalami pelambatan.

Anda dapat memantau jumlah permintaan untuk operasi kriptografi pada kunci KMS di penyimpanan kunci eksternal Anda yang AWS KMS dibatasi dengan metrik. ExternalKeyStoreThrottle

Jika Anda mendapatkan KMSInvalidStateException kesalahan yang sangat sering dengan pesan yang menjelaskan bahwa permintaan ditolak “karena tingkat permintaan yang sangat tinggi,” itu mungkin menunjukkan bahwa manajer kunci eksternal atau proxy penyimpanan kunci eksternal Anda tidak dapat mengimbangi tingkat permintaan saat ini. Jika memungkinkan, turunkan tingkat permintaan Anda. Anda juga dapat mempertimbangkan untuk meminta penurunan nilai kuota permintaan toko kunci kustom Anda. Penurunan nilai kuota ini dapat meningkatkan pembatasan, tetapi ini menunjukkan bahwa AWS KMS menolak permintaan berlebih dengan cepat sebelum dikirim ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk meminta pengurangan kuota, silakan kunjungi AWS SupportPusat dan buat kasus.

Grafik permintaan total berasal dari XksProxyErrors metrik, yang mengumpulkan data tentang respons yang berhasil dan tidak berhasil yang AWS KMS diterima dari proxy penyimpanan kunci eksternal Anda. Saat Anda melihat titik data tertentu, pop-up menampilkan nilai CustomKeyStoreId dimensi di samping jumlah total AWS KMS permintaan yang direkam pada titik data tersebut. CustomKeyStoreIdAkan selalu sama.

Keandalan

Persentase AWS KMS permintaan yang proxy penyimpanan kunci eksternal mengembalikan respons yang berhasil atau kesalahan yang tidak dapat dicoba ulang. Gunakan grafik ini untuk mengevaluasi kesehatan operasional proxy penyimpanan kunci eksternal Anda.

Ketika grafik menampilkan nilai kurang dari 100%, ini menunjukkan kasus di mana proxy tidak merespons atau merespons dengan kesalahan yang dapat dicoba ulang. Ini dapat menunjukkan masalah dengan jaringan, lambatnya proxy penyimpanan kunci eksternal atau manajer kunci eksternal, atau bug implementasi.

Jika permintaan menyertakan kredensi buruk dan proxy Anda merespons denganAuthenticationFailedException, grafik akan tetap menunjukkan keandalan 100% karena proxy mengidentifikasi nilai yang salah dalam permintaan API proxy penyimpanan kunci eksternal, dan oleh karena itu kegagalan diharapkan terjadi. Jika persentase grafik reliabilitas Anda 100%, maka proxy penyimpanan kunci eksternal Anda merespons seperti yang diharapkan. Jika grafik menampilkan nilai kurang dari 100%, maka proxy merespons dengan kesalahan yang dapat dicoba ulang atau habis waktu. Misalnya, jika proxy merespons dengan ThrottlingException karena tingkat permintaan yang sangat tinggi, itu akan menampilkan persentase keandalan yang lebih rendah karena proxy tidak dapat mengidentifikasi masalah tertentu dalam permintaan yang menyebabkannya gagal. Ini karena kesalahan yang dapat dicoba ulang kemungkinan merupakan masalah sementara yang dapat diselesaikan dengan mencoba kembali permintaan.

Respons kesalahan berikut akan menurunkan persentase keandalan. Anda dapat menggunakan 5 pengecualian teratas grafik dan XksProxyErrors metrik untuk memantau lebih lanjut seberapa sering proxy Anda mengembalikan setiap kesalahan yang dapat dicoba ulang.

InternalException
DependencyTimeoutException
ThrottlingException
XksProxyUnreachableException

Grafik reliabilitas berasal dari XksProxyErrors metrik, yang mengumpulkan data tentang respons yang berhasil dan tidak berhasil yang AWS KMS diterima dari proxy penyimpanan kunci eksternal Anda. Persentase reliabilitas hanya akan lebih rendah jika respons memiliki ErrorType nilaiRetryable. Saat Anda melihat titik data tertentu, pop-up menampilkan nilai CustomKeyStoreId dimensi di samping persentase keandalan untuk AWS KMS permintaan yang direkam pada titik data tersebut. CustomKeyStoreIdAkan selalu sama.

Sebaiknya gunakan XksProxyErrors metrik untuk membuat CloudWatch alarm yang memberi tahu Anda tentang potensi masalah jaringan dengan memberi tahu Anda ketika lebih dari lima kesalahan yang dapat dicoba ulang direkam dalam periode satu menit. Untuk informasi selengkapnya, lihat Membuat CloudWatch alarm Amazon untuk kesalahan yang dapat dicoba ulang.

Latensi

Jumlah milidetik yang diperlukan untuk proxy penyimpanan kunci eksternal untuk menanggapi AWS KMS permintaan. Gunakan grafik ini untuk mengevaluasi kinerja proxy penyimpanan kunci eksternal dan manajer kunci eksternal Anda.

AWS KMSmengharapkan proxy penyimpanan kunci eksternal untuk menanggapi setiap permintaan dalam 250 milidetik. Dalam kasus batas waktu jaringan, AWS KMS akan mencoba lagi permintaan sekali. Jika proxy gagal untuk kedua kalinya, latensi yang direkam adalah batas batas waktu gabungan untuk kedua upaya permintaan dan grafik akan menampilkan sekitar 500 milidetik. Dalam semua kasus lain di mana proxy tidak merespons dalam batas waktu 250 milidetik, latensi yang direkam adalah 250 milidetik. Jika proxy sering habis waktu pada operasi enkripsi dan dekripsi, konsultasikan dengan administrator proxy eksternal Anda. Untuk bantuan memecahkan masalah latensi, lihat. Kesalahan latensi dan batas waktu

Respons lambat mungkin juga menunjukkan bahwa pengelola kunci eksternal Anda tidak dapat menangani lalu lintas permintaan saat ini. AWS KMSmerekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika pengelola kunci eksternal Anda tidak dapat menangani tarif 1800 permintaan per detik, pertimbangkan untuk meminta penurunan kuota permintaan Anda untuk kunci KMS di toko kunci khusus. Permintaan untuk operasi kriptografi menggunakan kunci KMS di toko kunci eksternal Anda akan gagal dengan cepat dengan pengecualian pelambatan, daripada diproses dan kemudian ditolak oleh proxy penyimpanan kunci eksternal atau manajer kunci eksternal Anda.

Grafik latensi berasal dari XksProxyLatency metrik. Saat Anda melihat titik data tertentu, pop-up menampilkan nilai yang sesuai KmsOperation dan XksOperation dimensi di samping latensi rata-rata yang direkam untuk operasi pada titik data tersebut. Item daftar diurutkan dari latensi tertinggi ke terendah.

Sebaiknya gunakan XksProxyLatency metrik untuk membuat CloudWatch alarm yang memberi tahu Anda saat latensi Anda mendekati batas waktu tunggu. Untuk informasi selengkapnya, lihat Membuat CloudWatch alarm Amazon untuk batas waktu respons.

5 pengecualian teratas

Lima pengecualian teratas untuk operasi kriptografi dan manajemen yang gagal selama rentang waktu tertentu. Gunakan grafik ini untuk melacak kesalahan yang paling sering terjadi, sehingga Anda dapat memprioritaskan upaya teknik Anda.

Jumlah ini mencakup pengecualian yang AWS KMS diterima dari proxy penyimpanan kunci eksternal dan XksProxyUnreachableException yang AWS KMS kembali secara internal ketika tidak dapat menjalin komunikasi dengan proxy penyimpanan kunci eksternal.

Tingkat kesalahan yang dapat dicoba ulang yang tinggi mungkin mengindikasikan kesalahan jaringan, sementara tingkat kesalahan yang tidak dapat dicoba ulang yang tinggi mungkin mengindikasikan masalah dengan konfigurasi penyimpanan kunci eksternal Anda. Misalnya, lonjakan AuthenticationFailedExceptions menunjukkan perbedaan antara kredensyal otentikasi yang dikonfigurasi AWS KMS dan proxy penyimpanan kunci eksternal. Untuk melihat konfigurasi penyimpanan kunci eksternal Anda, lihatMelihat toko kunci eksternal. Untuk mengedit pengaturan penyimpanan kunci eksternal Anda, lihatMengedit properti penyimpanan kunci eksternal.

Pengecualian yang AWS KMS diterima dari proxy penyimpanan kunci eksternal berbeda dari pengecualian yang AWS KMS dikembalikan ketika operasi gagal. AWS KMSoperasi kriptografi mengembalikan sebuah KMSInvalidStateException untuk semua kegagalan yang terkait dengan konfigurasi eksternal atau status koneksi dari penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan teks pesan kesalahan yang menyertainya.

Tabel berikut menunjukkan pengecualian yang dapat muncul di 5 grafik pengecualian teratas dan pengecualian terkait yang AWS KMS kembali kepada Anda.

Jenis kesalahan Pengecualian ditampilkan dalam grafik Pengecualian yang AWS KMS kembali kepada Anda

Tidak dapat dicoba

Jenis kesalahan	Pengecualian ditampilkan dalam grafik	Pengecualian yang AWS KMS kembali kepada Anda
Tidak dapat dicoba	`AccessDeniedException` Untuk bantuan penyelesaian masalah, lihat Masalah otorisasi proxy.	`CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`AuthenticationFailedException` Untuk bantuan penyelesaian masalah, lihat Kesalahan kredensi otentikasi.	`XksProxyIncorrectAuthenticationCredentialException`dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. `CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Dicoba ulang	`DependencyTimeoutException` Untuk bantuan penyelesaian masalah, lihat Kesalahan latensi dan batas waktu.	`XksProxyUriUnreachableException`dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. `CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Dicoba ulang	`InternalException` Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat berkomunikasi dengan manajer kunci eksternal. Verifikasi bahwa konfigurasi proxy penyimpanan kunci eksternal sudah benar dan pengelola kunci eksternal tersedia.	`XksProxyInvalidResponseException`dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. `CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`InvalidCiphertextException` Untuk bantuan penyelesaian masalah, lihat Kesalahan dekripsi.	`KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`InvalidKeyUsageException` Untuk bantuan penyelesaian masalah, lihat Kesalahan operasi kriptografi untuk kunci eksternal.	`XksKeyInvalidConfigurationException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`InvalidStateException` Untuk bantuan penyelesaian masalah, lihat Kesalahan operasi kriptografi untuk kunci eksternal.	`XksKeyInvalidConfigurationException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`InvalidUriPathException` Untuk bantuan penyelesaian masalah, lihat Kesalahan konfigurasi umum.	`XksProxyInvalidConfigurationException`dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. `CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`KeyNotFoundException` Untuk bantuan penyelesaian masalah, lihat Kesalahan kunci eksternal.	`XksKeyNotFoundException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Dicoba ulang	`ThrottlingException` Proxy penyimpanan kunci eksternal menolak permintaan karena tingkat permintaan yang sangat tinggi. Kurangi frekuensi panggilan Anda menggunakan tombol KMS di toko kunci eksternal ini.	`XksProxyUriUnreachableException`dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. `CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`UnsupportedOperationException` Untuk bantuan penyelesaian masalah, lihat Kesalahan operasi kriptografi untuk kunci eksternal.	`XksKeyInvalidResponseException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Tidak dapat dicoba	`ValidationException` Untuk bantuan penyelesaian masalah, lihat Masalah proxy.	`XksProxyInvalidResponseException`dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. `CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.
Dicoba ulang	`XksProxyUnreachableException` Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan bahwa jalur URI dan titik akhir URI atau nama layanan VPC sudah benar di penyimpanan kunci eksternal Anda.	`XksProxyUriUnreachableException`dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. `CustomKeyStoreInvalidStateException`dalam menanggapi `CreateKey` operasi. `KMSInvalidStateException`dalam menanggapi operasi kriptografi.

AccessDeniedException

Untuk bantuan penyelesaian masalah, lihat Masalah otorisasi proxy.

CustomKeyStoreInvalidStateExceptiondalam menanggapi CreateKey operasi.