Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitora gli archivi di chiavi esterni
AWS KMS raccoglie le metriche per ogni interazione con un archivio di chiavi esterno e le pubblica nel tuo account. CloudWatch Questi parametri vengono utilizzati per generare i grafici nella sezione di monitoraggio della pagina dei dettagli relativa a ogni archivio delle chiavi esterne. L'argomento seguente descrive in dettaglio come utilizzare i grafici per identificare e risolvere i problemi operativi e di configurazione che influiscono sull'archivio delle chiavi esterne. Ti consigliamo di utilizzare le CloudWatch metriche per impostare allarmi che ti avvisino quando l'archivio chiavi esterno non funziona come previsto. Per ulteriori informazioni, consulta Monitoraggio con Amazon CloudWatch.
Visualizzazione dei grafici
Puoi visualizzare i grafici a diversi livelli di dettaglio. Per impostazione predefinita, ogni grafico utilizza un intervallo di tempo di tre ore e un periodo di aggregazione di cinque minuti. Puoi regolare la visualizzazione del grafico all'interno della console, ma le modifiche verranno ripristinate alle impostazioni predefinite quando la pagina dei dettagli dell'archivio delle chiavi esterne viene chiusa o quando il browser viene aggiornato. Per assistenza sulla CloudWatch terminologia di Amazon, consulta Amazon CloudWatch concepts.
Visualizzazione dei dettagli di punti dati
I dati in ogni grafico vengono raccolti in base ai parametri di AWS KMS. Per visualizzare ulteriori informazioni su un punto dati specifico, posiziona il puntatore del mouse sul punto dati del grafico a linee. Verrà visualizzato un popup con ulteriori informazioni sul parametro da cui è stato derivato il grafico. Ogni elemento dell'elenco visualizza il valore della dimensione registrato in quel punto dati. Il popup visualizza un valore nullo (—) se non sono disponibili dati di parametro per il valore della dimensione in quel punto dati. Alcuni grafici registrano più dimensioni e valori per un singolo punto dati. Altri grafici, come il grafico di affidabilità, utilizzano i dati raccolti dal parametro per calcolare un valore univoco. Ogni elemento dell'elenco è associato a un colore diverso del grafico a linee.
Modifica dell'intervallo di tempo
Per modificare l'intervallo temporale, seleziona uno degli intervalli di tempo predefiniti nell'angolo in alto a destra della sezione di monitoraggio. Questi intervalli predefiniti vanno da 1 ora a 1 settimana (1h [1 ora], 3h [3 ore], 12h [12 ore], 1d [1 giorno], 3d [3 giorni] oppure 1w [1 settimana]). In questo modo si regola l'intervallo di tempo per tutti i grafici. Se desideri visualizzare un grafico specifico in un intervallo di tempo diverso o se desideri impostare un intervallo di tempo personalizzato, ingrandisci il grafico o visualizzalo nella CloudWatch console Amazon.
Ingrandimento dei grafici
Puoi utilizzare la funzione di ingrandimento mini-mappa per concentrarti su sezioni di grafici a linee e porzioni impilate dei grafici senza passare tra la visualizzazione ingrandita e ridimensionata. Ad esempio, puoi utilizzare la funzione di ingrandimento mini-mappa per concentrarti su un picco di un grafico a linee, in modo da poter confrontare il picco con altri grafici nella sezione di monitoraggio dalla stessa sequenza temporale.
-
Seleziona e trascina l'area del grafico che desideri ingrandire, quindi rilasciala.
-
Per ripristinare lo zoom, seleziona l'icona Reset zoom, a forma di lente d'ingrandimento con un simbolo meno (-) all'interno.
Ingrandimento di un grafico
Per ingrandire un grafico, seleziona l'icona del menu nell'angolo in alto a destra di un singolo grafico e scegli Enlarge (Ingrandisci). Puoi anche selezionare l'icona di ingrandimento che appare accanto all'icona del menu quando passi il mouse su un grafico.
L'ingrandimento di un grafico consente di modificare ulteriormente la visualizzazione di un grafico specificando un periodo diverso, un intervallo di tempo personalizzato o un intervallo di aggiornamento. Queste modifiche verranno ripristinate alle impostazioni predefinite quando si chiude la vista ingrandita.
- Modifica del periodo
-
-
Scegli il menu Period options (Opzioni periodo). Per impostazione predefinita, questo menu visualizza il valore 5 minuti.
-
Scegli un periodo; i periodi predefiniti vanno da 1 secondo a 30 giorni.
Ad esempio, puoi scegliere la visualizzazione di un minuto, che può essere utile durante la risoluzione dei problemi. In alternativa, scegli la visualizzazione meno dettagliata di un'ora. Può essere utile quando si visualizza un intervallo di tempo più ampio (ad esempio 3 giorni) in modo da poter vedere le tendenze nel tempo. Per ulteriori informazioni, consulta Periodi nella Amazon CloudWatch User Guide.
-
- Modifica dell'intervallo di tempo o del fuso orario
-
-
Seleziona uno degli intervalli di tempo predefiniti, che partono da 1 ora fino a 1 settimana: 1h (1 ora), 3h (3 ore), 12h (12 ore), 1d (1 giorno), 3d (3 giorni) oppure 1w (1 settimana). In alternativa, è possibile scegliere Personalizza per impostare il tuo intervallo di tempo.
-
Scegli Custom (Personalizzato)
-
Intervallo di tempo: seleziona la scheda Absolute (Assoluto) nell'angolo in alto a sinistra della casella. Utilizza la selezione calendario o i campi di testo per specificare l'intervallo di tempo.
-
Fuso orario: scegli il menu a discesa nell'angolo in alto a destra della casella. Puoi modificare il fuso orario in UTCo fuso orario locale.
-
-
Dopo aver specificato un intervallo di tempo, scegli Applica.
-
- Modifica la frequenza di aggiornamento dei dati nel grafico
-
-
Scegli il menu Refresh options (Aggiorna opzioni) nell'angolo in alto a destra.
-
Scegli un intervallo di aggiornamento: Off (Disattivato), 10 Seconds (10 secondi), 1 Minute (1 minuto), 2 Minutes (2 minuti), 5 Minutes (5 minuti) o 15 Minutes (15 minuti).
-
Visualizza i grafici nella console Amazon CloudWatch
I grafici nella sezione di monitoraggio derivano da metriche predefinite pubblicate su Amazon AWS KMS . CloudWatch Puoi aprirli all'interno della CloudWatch console e salvarli nelle dashboard. CloudWatch Se disponi di più archivi di chiavi esterni, puoi aprire i rispettivi grafici CloudWatch e salvarli in un'unica dashboard per confrontarne lo stato e l'utilizzo.
Aggiungi alla dashboard CloudWatch
Seleziona Aggiungi alla dashboard nell'angolo in alto a destra per aggiungere tutti i grafici a una CloudWatch dashboard di Amazon. Puoi selezionare un pannello di controllo esistente o crearne uno nuovo. Per informazioni sull'utilizzo di questa dashboard per creare visualizzazioni personalizzate dei grafici e degli allarmi, consulta Using Amazon CloudWatch dashboard nella Amazon CloudWatch User Guide.
Visualizza nelle metriche CloudWatch
Seleziona l'icona del menu nell'angolo in alto a destra di un singolo grafico e scegli Visualizza nelle metriche per visualizzare questo grafico nella CloudWatch console Amazon. Dalla CloudWatch console, puoi aggiungere questo grafico singolo a una dashboard e modificare intervalli di tempo, periodi e intervalli di aggiornamento. Per ulteriori informazioni, consulta la sezione Grafica delle metriche nella Amazon CloudWatch User Guide.
Interpretazione dei grafici
AWS KMS fornisce diversi grafici per monitorare lo stato dell'archivio di chiavi esterno all'interno della console. AWS KMS Questi grafici vengono configurati automaticamente e derivati dai parametri di AWS KMS.
I dati del grafico vengono raccolti come parte delle chiamate effettuate all'archivio delle chiavi esterne e alle chiavi esterne. È possibile che i dati compaiano nei grafici in un intervallo di tempo in cui non sono state effettuate chiamate. Questi dati provengono dalle GetHealthStatus chiamate periodiche che AWS KMS effettuiamo per conto dell'utente per verificare lo stato del proxy dell'archivio chiavi esterno e del gestore di chiavi esterno. Se nei grafici viene visualizzato il messaggio No data available (Nessun dato disponibile), significa che non sono state registrate chiamate durante tale intervallo di tempo o che l'archivio delle chiavi esterne si trova in uno stato DISCONNECTED. Potresti riuscire a identificare l'ora in cui l'archivio delle chiavi esterne è stato disconnesso regolando la visualizzazione su un intervallo di tempo più ampio.
Argomenti
Total Requests (Richieste totali)
Il numero totale di AWS KMS richieste ricevute per uno specifico archivio di chiavi esterno in un determinato intervallo di tempo. Usa questo grafico per determinare se sei a rischio di limitazione (della larghezza di banda della rete).
AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se ti avvicini a 540.000 chiamate in un periodo di cinque minuti, sei a rischio di limitazione (della larghezza di banda della rete).
Puoi monitorare il numero di richieste di operazioni crittografiche sulle KMS chiavi nel tuo archivio di chiavi esterno che limita la AWS KMS metrica. ExternalKeyStoreThrottle
Se ricevi errori KMSInvalidStateException molto frequenti con un messaggio che spiega che la richiesta è stata rifiutata "a causa di un tasso di richieste molto elevato", ciò potrebbe indicare che il gestore delle chiavi esterne o il proxy dell'archivio delle chiavi esterne non è in grado di tenere il passo con il tasso di richieste corrente. Se possibile, riduci il tasso di richiesta. Potresti anche prendere in considerazione la possibilità di richiedere una riduzione del valore della quota di richiesta dell'archivio delle chiavi personalizzate. La riduzione di questo valore di quota potrebbe aumentare la limitazione, ma ciò significa rifiutare rapidamente le richieste in eccesso prima che AWS KMS vengano inviate al proxy dell'archivio chiavi esterno o al gestore di chiavi esterno. Per richiedere una riduzione della quota, consulta la sezione Centro AWS Support
Il grafico delle richieste totali deriva dal parametro XksProxyErrors, che raccoglie dati sulle risposte riuscite e non riuscite che AWS KMS riceve dal proxy dell'archivio delle chiavi esterne. Quando si visualizza un punto dati specifico, il pop-up mostra il valore della CustomKeyStoreId dimensione insieme al numero totale di AWS KMS richieste registrate in quel punto dati. Il valore di CustomKeyStoreId sarà sempre lo stesso.
Affidabilità
La percentuale di AWS KMS richieste per le quali il proxy dell'archivio chiavi esterno ha restituito una risposta corretta o un errore irreversibile. Utilizza questo grafico per valutare lo stato operativo del proxy dell'archivio delle chiavi esterne.
Quando il grafico mostra un valore inferiore al 100%, indica i casi in cui il proxy non ha risposto o ha risposto con un errore non irreversibile. Ciò può indicare problemi con la rete, lentezza del proxy o del gestore delle chiavi esterne o bug di implementazione.
Se la richiesta include una credenziale errata e il proxy risponde con unaAuthenticationFailedException, il grafico indicherà comunque un'affidabilità del 100% perché il proxy ha identificato un valore errato nella APIrichiesta proxy dell'archivio chiavi esterno e pertanto è previsto l'errore. Se la percentuale del grafico di affidabilità è del 100%, il proxy dell'archivio delle chiavi esterne risponde come previsto. Se il grafico mostra un valore inferiore al 100%, il proxy ha risposto con un errore non irreversibile o è scaduto. Ad esempio, se il proxy risponde con un'eccezione ThrottlingException a causa di un tasso di richiesta molto elevato, mostrerà una percentuale di affidabilità inferiore perché il proxy non è stato in grado di identificare un problema specifico nella richiesta che ne ha causato l'errore. Questo perché gli errori non irreversibili sono probabilmente problemi temporanei che possono essere risolti ripetendo la richiesta.
Le seguenti risposte di errore ridurranno la percentuale di affidabilità. Puoi utilizzare il grafico Le 5 eccezioni principali e il parametro XksProxyErrors per monitorare ulteriormente la frequenza con cui il proxy restituisce ogni errore non irreversibile.
-
InternalException -
DependencyTimeoutException -
ThrottlingException -
XksProxyUnreachableException
Il grafico di affidabilità è derivato dalla XksProxyErrors metrica, che raccoglie i dati sulle risposte riuscite e non riuscite AWS KMS ricevute dal proxy dell'archivio chiavi esterno. La percentuale di affidabilità diminuirà solo se la risposta ha un valore ErrorType di Retryable. Quando si visualizza un punto dati specifico, il pop-up mostra il valore della CustomKeyStoreId dimensione insieme alla percentuale di affidabilità per le AWS KMS richieste registrate in quel punto dati. Il valore di CustomKeyStoreId sarà sempre lo stesso.
Ti consigliamo di utilizzare la XksProxyErrors metrica per creare un CloudWatch allarme che ti avvisi di potenziali problemi di rete avvisandoti quando vengono registrati più di cinque errori ripetibili in un periodo di un minuto. Per ulteriori informazioni, consulta Crea un allarme per errori ripetibili.
Latenza
Il numero di millisecondi impiegato da un proxy di archiviazione chiavi esterno per rispondere a una richiesta. AWS KMS Utilizza questo grafico per valutare le prestazioni del proxy dell'archivio delle chiavi esterne e del gestore delle chiavi esterne.
AWS KMS si aspetta che il proxy dell'archivio chiavi esterno risponda a ogni richiesta entro 250 millisecondi. In caso di timeout di rete, riproverà la richiesta una volta. AWS KMS Se il proxy restituisce ancora una volta un errore, la latenza registrata è il limite di timeout combinato per entrambi i tentativi di richiesta e il grafico mostrerà circa 500 millisecondi. In tutti gli altri casi in cui il proxy non risponde entro il limite di timeout di 250 millisecondi, la latenza registrata è di 250 millisecondi. Se il proxy è spesso in timeout durante le operazioni di crittografia e decrittografia, rivolgiti all'amministratore del proxy esterno. Per informazioni sulla risoluzione dei problemi di latenza, consulta Errori di latenza e timeout.
Le risposte lente potrebbero anche indicare che il gestore delle chiavi esterno non è in grado di gestire il traffico della richiesta corrente. AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se il tuo gestore di chiavi esterno non è in grado di gestire la frequenza di 1800 richieste al secondo, prendi in considerazione la possibilità di richiedere una riduzione della quota di richieste di KMS chiavi in un archivio di chiavi personalizzato. Le richieste di operazioni crittografiche che utilizzano le KMS chiavi dell'archivio di chiavi esterno falliranno rapidamente con un'eccezione di limitazione, anziché essere elaborate e successivamente rifiutate dal proxy dell'archivio chiavi esterno o dal gestore di chiavi esterno.
Il grafico della latenza è derivato dal parametro XksProxyLatency. Quando visualizzi un punto dati specifico, il popup mostra i valori delle dimensioni KmsOperation e XksOperation corrispondenti, oltre alla latenza media registrata per le operazioni in quel punto dati. Gli elementi dell'elenco sono ordinati dalla latenza più alta a quella più bassa.
Ti consigliamo di utilizzare la XksProxyLatency metrica per creare un CloudWatch allarme che ti avvisi quando la latenza si avvicina al limite di timeout. Per ulteriori informazioni, consulta Crea un allarme per il timeout della risposta.
Le 5 eccezioni principali
Le cinque eccezioni principali per le operazioni di crittografia e di gestione non riuscite in un determinato intervallo di tempo. Usa questo grafico per tenere traccia degli errori più frequenti, in modo da poter assegnare priorità diverse agli interventi tecnici.
Questo conteggio include le eccezioni AWS KMS ricevute dal proxy dell'archivio chiavi esterno e quelle che vengono AWS KMS restituite internamente quando non è in grado di stabilire una comunicazione con il XksProxyUnreachableException proxy dell'archivio chiavi esterno.
Tassi elevati di errori non irreversibili potrebbero indicare errori di rete, mentre un'elevata percentuale di errori irreversibili potrebbe indicare un problema con la configurazione dell'archivio delle chiavi esterne. Ad esempio, un picco AuthenticationFailedExceptions indica una discrepanza tra le credenziali di autenticazione configurate nel AWS KMS proxy dell'archivio chiavi esterno. Per visualizzare la configurazione dell'archivio delle chiavi esterne, consulta Visualizza gli archivi di chiavi esterni. Per modificare le impostazioni dell'archivio delle chiavi esterne, consulta Modifica delle proprietà dell'archivio chiavi esterno.
Le eccezioni AWS KMS ricevute dal proxy dell'archivio chiavi esterno sono diverse dalle eccezioni che AWS KMS vengono restituite quando un'operazione non riesce. AWS KMS le operazioni crittografiche restituiscono un KMSInvalidStateException valore per tutti gli errori relativi alla configurazione esterna o allo stato di connessione dell'archivio di chiavi esterno. Per identificare il problema, utilizza il testo del messaggio di errore allegato.
La tabella seguente mostra le eccezioni che possono apparire nel grafico delle prime 5 eccezioni e le eccezioni corrispondenti che vengono visualizzate. AWS KMS
| Tipi di errore | Eccezione visualizzata nel grafico | Eccezione che AWS KMS ti è stata restituita |
|---|---|---|
| Irreversibile | AccessDeniedException
Per la risoluzione dei problemi, consultare Problemi relativi all'autorizzazione proxy. |
|
| Irreversibile | AuthenticationFailedException
Per la risoluzione dei problemi, consultare Errori delle credenziali di autenticazione. |
|
| Non irreversibile |
Per la risoluzione dei problemi, consultare Errori di latenza e timeout. |
|
| Non irreversibile |
Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non è in grado di comunicare con il gestore delle chiavi esterne. Verifica che la configurazione del proxy dell'archivio delle chiavi esterne sia corretta e che il gestore delle chiavi esterne sia disponibile. |
|
| Irreversibile |
Per la risoluzione dei problemi, consultare Errori di decrittografia. |
|
| Irreversibile |
Per la risoluzione dei problemi, consultare Errori relativi alle operazioni di crittografia per la chiave esterna. |
|
| Irreversibile |
Per la risoluzione dei problemi, consultare Errori relativi alle operazioni di crittografia per la chiave esterna. |
|
| Irreversibile |
Per la risoluzione dei problemi, consultare Errori di configurazione generale. |
|
| Irreversibile |
Per la risoluzione dei problemi, consultare Errori relativi alla chiave esterna. |
|
| Non irreversibile |
Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta a causa di un tasso di richieste molto elevato. Riduci la frequenza delle chiamate utilizzando i KMS tasti in questo archivio di chiavi esterno. |
|
| Irreversibile |
Per la risoluzione dei problemi, consultare Errori relativi alle operazioni di crittografia per la chiave esterna. |
|
| Irreversibile |
Per la risoluzione dei problemi, consultare Problemi relativi al proxy. |
|
| Non irreversibile |
Se visualizzi ripetutamente questo errore, verifica che il proxy dell'archivio chiavi esterno sia attivo e connesso alla rete e che il URI percorso e il nome dell'endpoint URI o del VPC servizio siano corretti nell'archivio chiavi esterno. |
|
Il grafico delle 5 eccezioni principali deriva dal parametro XksProxyErrors. Quando visualizzi un punto dati specifico, il popup mostra il valore della dimensione ExceptionName, insieme al numero di volte in cui l'eccezione è stata registrata in quel punto dati. Le cinque voci dell'elenco sono ordinate dall'eccezione più frequente alla meno frequente.
Ti consigliamo di utilizzare la XksProxyErrors metrica per creare un CloudWatch allarme che ti avvisi di potenziali problemi di configurazione avvisandoti quando vengono registrati più di cinque errori irreparabili in un periodo di un minuto. Per ulteriori informazioni, consulta Crea un allarme per errori irreparabili.
Giorni alla scadenza del certificato
Il numero di giorni che mancano alla scadenza del TLS certificato per l'endpoint proxy dell'archivio chiavi esterno (). XksProxyUriEndpoint Utilizzate questo grafico per monitorare la scadenza imminente del certificato. TLS
Quando il certificato scade, AWS KMS non è possibile comunicare con il proxy dell'archivio chiavi esterno. Tutti i dati protetti da KMS chiavi nell'archivio delle chiavi esterno diventano inaccessibili fino al rinnovo del certificato.
Il grafico dei giorni di scadenza del certificato deriva dal parametro XksProxyCertificateDaysToExpire. Ti consigliamo vivamente di utilizzare questa metrica per creare un CloudWatch allarme che ti avvisi della scadenza imminente. La scadenza del certificato potrebbe impedirti di accedere alle risorse crittografate. Configura l'allarme in modo che l'organizzazione abbia la possibilità di rinnovare il certificato prima della sua scadenza. Per ulteriori informazioni, consulta Crea un allarme per la scadenza del certificato.
