Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitora le chiavi KMS con Amazon CloudWatch
Puoi monitorare i tuoi dati AWS KMS keys utilizzando Amazon CloudWatch, un AWS servizio che raccoglie ed elabora dati grezzi AWS KMS trasformandoli in metriche leggibili quasi in tempo reale. Questi dati sono registrati per un periodo di due settimane, in modo da accedere a informazioni cronologiche e comprendere meglio l'utilizzo delle chiavi KMS e le loro modifiche nel corso del tempo.
Puoi usare Amazon CloudWatch per avvisarti di eventi importanti, come i seguenti.
-
Il materiale chiave importato in una chiave KMS si avvicina alla data di scadenza.
-
Viene ancora utilizzata una chiave KMS in attesa di eliminazione.
-
Il materiale chiave di una chiave KMS è stato ruotato automaticamente.
-
È stata eliminata una chiave KMS.
Puoi anche creare un CloudWatch allarme Amazon che ti avvisi quando la frequenza delle richieste raggiunge una determinata percentuale del valore di quota. Per i dettagli, consulta Gestisci le tariffe di richiesta AWS KMS API utilizzando Service Quotas e Amazon CloudWatch
AWS KMS metriche e dimensioni
AWS KMS predefinisce i CloudWatch parametri di Amazon per semplificare il monitoraggio dei dati critici e la creazione di allarmi. Puoi visualizzare le AWS KMS metriche utilizzando l' CloudWatch API AWS Management Console e Amazon.
Questa sezione elenca ogni AWS KMS metrica e le relative dimensioni e fornisce alcune linee guida di base per la creazione di CloudWatch allarmi basati su tali metriche e dimensioni.
Nota
Nome del gruppo di dimensioni:
Per visualizzare una metrica nella CloudWatch console Amazon, nella sezione Metriche, seleziona il nome del gruppo di dimensioni. Quindi, puoi filtrare in base a Metric name (Nome parametro). Questo argomento include il nome del parametro e il nome del gruppo di dimensioni per ogni parametro AWS KMS .
Puoi visualizzare le AWS KMS metriche utilizzando l' CloudWatch API AWS Management Console e Amazon. Per ulteriori informazioni, consulta Visualizza i parametri disponibili nella Amazon CloudWatch User Guide.
Argomenti
SecondsUntilKeyMaterialExpiration
Il numero di secondi rimanenti fino alla scadenza del materiale della chiave importato in una chiave KMS. Questo parametro è valido solo per le chiavi KMS con un materiale della chiave importato (un'origine del materiale della chiave di EXTERNAL) e una data di scadenza.
Utilizza questo parametro per tenere traccia del tempo che rimane fino alla scadenza del materiale della chiave importato. Quando questo periodo di tempo scende al di sotto di una soglia definita, puoi reimportare il materiale della chiave con una nuova data di scadenza. Il parametro SecondsUntilKeyMaterialExpiration è specifico per una chiave KMS. Non puoi utilizzare questo parametro per monitorare più chiavi KMS o chiavi KMS che potresti creare in futuro. Per assistenza sulla creazione di un CloudWatch allarme per monitorare questa metrica, consulta. Crea un CloudWatch allarme per la scadenza del materiale chiave importato
La statistica più utile per questo parametro è Minimum, che indica la quantità minima di tempo rimanente per tutti i punti dati nel periodo statistico specificato. L'unica unità valida per questo periodo è Seconds.
Nome del gruppo di dimensioni: Per-Key Metrics (Parametri per chiave)
| Dimensione | Descrizione; correlata a AWS |
|---|---|
| KeyId | Valore per ogni chiave KMS. |
Quando programmi l'eliminazione di una chiave KMS, AWS KMS applica un periodo di attesa prima di procedere all'eliminazione. È possibile usare il periodo di attesa per assicurarsi che la chiave KMS non sia necessaria ora o in futuro. È inoltre possibile configurare un CloudWatch allarme per avvisare l'utente se una persona o un'applicazione tenta di utilizzare la chiave KMS in un'operazione crittografica durante il periodo di attesa. Se si riceve una notifica da parte di un allarme, è possibile annullare l'eliminazione della chiave KMS.
Per istruzioni, consulta Crea un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione.
Cloud HSMKey StoreThrottle
Il numero di richieste di operazioni crittografiche sulle chiavi KMS in ogni AWS CloudHSM archivio di chiavi che AWS KMS rallenta (risponde con un). ThrottlingException Questa metrica si applica solo agli archivi di chiavi. AWS CloudHSM
La CloudHSMKeyStoreThrottle metrica si applica solo alle chiavi KMS in un AWS CloudHSM archivio di chiavi e solo alle richieste di operazioni crittografiche. AWS KMS limita queste richieste quando il tasso di richiesta supera la quota di richieste dell'archivio chiavi personalizzato per il tuo archivio di chiavi. AWS CloudHSM Questa metrica include anche la limitazione da parte del cluster. AWS CloudHSM
Nome del gruppo di dimensioni: Keystore Throttle Metrics (Parametri di limitazione del keystore)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio di chiavi AWS CloudHSM . |
| KmsOperation | Valore per ogni operazione AWS KMS API. Questa metrica si applica solo alle operazioni crittografiche sulle chiavi KMS in un AWS CloudHSM archivio di chiavi. |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica specifica chiave supportata per le chiavi KMS in un AWS CloudHSM archivio di chiavi è SYMMETRIC_DEFAULT. |
ExternalKeyStoreThrottle
Il numero di richieste di operazioni crittografiche sulle chiavi KMS in ogni archivio di chiavi esterno che rallenta (risponde con un). AWS KMS ThrottlingException Questo parametro si applica solo agli archivi delle chiave esterne.
La ExternalKeyStoreThrottle metrica si applica solo alle chiavi KMS in un archivio di chiavi esterno e solo alle richieste di operazioni crittografiche. AWS KMS limita queste richieste quando la frequenza delle richieste supera la quota di richieste dell'archivio chiavi personalizzato per l'archivio di chiavi esterno. Questo parametro non include la limitazione (della larghezza di banda della rete) da parte del proxy dell'archivio delle chiavi esterne o del gestore delle chiavi esterne.
Utilizza questa metrica per rivedere e modificare il valore della quota di richieste di archiviazione chiavi personalizzate. Se questa metrica indica che spesso AWS KMS limita le richieste per queste chiavi KMS, potresti prendere in considerazione la possibilità di richiedere un aumento del valore della quota di richieste di archiviazione chiavi personalizzate. Per ricevere assistenza, consulta Richiesta di un aumento di quota nella Guida per l'utente delle Service Quotas.
Se ricevi frequentemente errori KMSInvalidStateException con un messaggio che descrive il rifiuto della richiesta "a causa di un tasso di richieste molto elevato" o "perché il proxy dell'archivio delle chiavi esterne non ha risposto in tempo", ciò potrebbe indicare che il gestore delle chiavi esterne o il proxy non è in grado di sostenere la frequenza di richieste corrente. Se possibile, riduci il tasso di richiesta. Potresti anche prendere in considerazione la possibilità di richiedere una riduzione del valore della quota di richiesta dell'archivio delle chiavi personalizzate. La riduzione di questo valore di quota potrebbe aumentare la limitazione (e il valore ExternalKeyStoreThrottle metrico), ma indica che ciò significa rifiutare rapidamente le richieste in eccesso prima che AWS KMS vengano inviate al proxy dell'archivio chiavi esterno o al gestore di chiavi esterno. Per richiedere una riduzione della quota, consulta la sezione Centro Supporto AWS
Nome del gruppo di dimensioni: Keystore Throttle Metrics (Parametri di limitazione del keystore)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni operazione API. AWS KMS Questa metrica si applica solo alle operazioni crittografiche sulle chiavi KMS in un archivio di chiavi esterno. |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica specifica della chiave supportata per le chiavi KMS in un archivio delle chiavi esterne è SYMMETRIC_DEFAULT. |
XksProxyCertificateDaysToExpire
Il numero di giorni che mancano alla scadenza del certificato TLS per l'endpoint proxy dell'archivio delle chiavi esterne (XksProxyUriEndpoint). Questo parametro si applica solo agli archivi delle chiave esterne.
Usa questa metrica per creare un CloudWatch allarme che ti avvisi della scadenza imminente del tuo certificato TLS. Quando il certificato scade, AWS KMS non è possibile comunicare con il proxy dell'archivio chiavi esterno. Tutti i dati protetti dalle chiavi KMS nell'archivio delle chiavi esterne diventano inaccessibili fino al rinnovo del certificato.
Dal momento che la scadenza di un certificato potrebbe impedirti di accedere alle risorse crittografate, un avviso relativo al certificato potrebbe risultare utile. Configura l'allarme in modo che l'organizzazione abbia la possibilità di rinnovare il certificato prima della sua scadenza.
Nome del gruppo di dimensioni: XKS Proxy Certificate Metrics (Parametri del certificato proxy XKS)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| CertificateName | Nome del soggetto (CN) nel certificato TLS. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi KMS degli archivi di chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksProxyCredentialAge
Il numero di giorni trascorsi dell'associazione delle credenziali di autenticazione proxy (XksProxyAuthenticationCredential) all'archivio delle chiavi esterne. Questo conteggio inizia quando inserisci le credenziali di autenticazione come parte della creazione o dell'aggiornamento dell'archivio delle chiavi esterne. Questo parametro si applica solo agli archivi delle chiave esterne.
Questo valore è progettato per ricordarti l'età delle credenziali di autenticazione. Tuttavia, poiché il conteggio inizia dal momento in cui associ le credenziali all'archivio delle chiavi esterne e non dalla loro data di creazione, l'indicazione dell'età potrebbe non essere accurata.
Utilizza questa metrica per creare un CloudWatch allarme che ti ricordi di ruotare le credenziali di autenticazione proxy dell'archivio chiavi esterno.
Nome del gruppo di dimensioni: Per-Keystore Metrics (Parametri per keystore)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
Puoi creare CloudWatch allarmi in base alle metriche per gli archivi di chiavi esterni e le chiavi KMS negli archivi di chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksProxyErrors
Il numero di eccezioni relative alle AWS KMS richieste al proxy dell'archivio chiavi esterno. Questo conteggio include le eccezioni a cui restituisce il proxy dell'archivio chiavi esterno AWS KMS e gli errori di timeout che si verificano quando il proxy dell'archivio chiavi esterno non risponde AWS KMS entro l'intervallo di timeout di 250 millisecondi. Questo parametro si applica solo agli archivi delle chiave esterne.
Utilizza questo parametro per tenere traccia del tasso di errore delle chiavi KMS nell'archivio delle chiavi esterne. Rivela gli errori più frequenti, in modo da consentirti di assegnare priorità diverse agli interventi tecnici. Ad esempio, le chiavi KMS che generano alti tassi di errori irreversibili potrebbero indicare un problema con la configurazione dell'archivio delle chiavi esterne. Per visualizzare la configurazione dell'archivio delle chiavi esterne, consulta Visualizza gli archivi di chiavi esterni. Per modificare le impostazioni dell'archivio delle chiavi esterne, consulta Modifica delle proprietà dell'archivio chiavi esterno.
Nome del gruppo di dimensioni: XKS Proxy Error Metrics (Parametri di errore del proxy XKS)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni operazione AWS KMS API che ha generato una richiesta al proxy XKS. |
| XksOperation | Valore per ogni operazione API proxy dell'archivio delle chiavi esterne. |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica specifica della chiave supportata per le chiavi KMS in un archivio delle chiavi esterne è SYMMETRIC_DEFAULT. |
| ErrorType | Valori:
|
| ExceptionName |
Valori:
|
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi KMS degli archivi di chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksExternalKeyManagerStates
Conteggio del numero di istanze del gestore delle chiavi esterne in ciascuno dei seguenti stati di integrità: Active, Degraded e Unavailable. Le informazioni per questo parametro provengono dal proxy associato a ogni archivio delle chiavi esterne. Questo parametro si applica solo agli archivi delle chiave esterne.
Di seguito sono riportati gli stati di integrità delle istanze del gestore delle chiavi esterne associate a un archivio delle chiavi esterne. Ogni proxy dell'archivio delle chiavi esterne potrebbe utilizzare indicatori diversi per misurare gli stati di integrità del gestore delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del proxy dell'archivio delle chiavi esterne.
-
Active: il gestore delle chiavi esterne è integro. -
Degraded: il gestore delle chiavi esterne non è integro, ma può comunque servire il traffico -
Unavailable: il gestore delle chiavi esterne non è in grado di servire il traffico.
Utilizza questa metrica per creare un CloudWatch allarme che ti avvisi in caso di istanze di key manager esterne danneggiate e non disponibili. Per determinare lo stato di ogni istanza, consulta i log del proxy dell'archivio delle chiavi esterne.
Nome del gruppo di dimensioni: XKS External Key Manager Metrics (Parametri del gestore chiavi esterne di XKS)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| XksExternalKeyManagerState | Valore per ogni stato di integrità. |
Puoi creare CloudWatch allarmi in base alle metriche per gli archivi di chiavi esterni e le chiavi KMS negli archivi di chiavi esterni. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.
XksProxyLatency
Il numero di millisecondi necessari a un proxy dell'archivio delle chiavi esterne per rispondere a una richiesta AWS KMS . Se la richiesta è scaduta, il valore registrato è il limite di timeout di 250 millisecondi. Questo parametro si applica solo agli archivi delle chiave esterne.
Utilizza questo parametro per valutare le prestazioni del proxy dell'archivio delle chiavi esterne e del gestore delle chiavi esterne. Ad esempio, se il proxy è spesso prossimo al timeout per le operazioni di crittografia e decrittografia, rivolgiti all'amministratore del proxy.
Le risposte lente potrebbero anche indicare che il gestore delle chiavi esterno non è in grado di gestire il traffico di richieste corrente. AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se il gestore delle chiavi esterne non è in grado di gestire 1.800 richieste al secondo, prendi in considerazione la possibilità di richiedere una riduzione della quota di richieste per le chiavi KMS in un archivio delle chiavi personalizzate. Le richieste relative alle operazioni di crittografia che utilizzano le chiavi KMS nell'archivio delle chiavi esterne anticiperanno rapidamente l'errore (fail fast) con un'eccezione di limitazione (della larghezza di banda della rete), anziché essere elaborate e successivamente rifiutate dal proxy o dal gestore delle chiavi esterne.
Nome del gruppo di dimensioni: XKS Proxy Latency Metrics (Parametri di latenza del proxy XKS)
| Dimensione | Descrizione |
|---|---|
| CustomKeyStoreId | Valore per ogni archivio delle chiavi esterne. |
| KmsOperation | Valore per ogni operazione AWS KMS API che ha generato una richiesta al proxy XKS. |
| XksOperation | Valore per ogni operazione API proxy dell'archivio delle chiavi esterne. |
| KeySpec | Valore per ogni tipo di chiave KMS. L'unica specifica della chiave supportata per le chiavi KMS in un archivio delle chiavi esterne è SYMMETRIC_DEFAULT. |
È possibile creare CloudWatch allarmi in base alle metriche degli archivi di chiavi esterni e alle chiavi KMS degli archivi di chiavi esterni. Per istruzioni, consultare Monitora gli archivi di chiavi esterni.
