翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon CloudWatch で KMS キーをモニタリングする
Amazon CloudWatch AWS KMS keys を使用して をモニタリングできます。Amazon CloudWatch は、 から raw データを収集し、ほぼリアルタイムの読み取り可能なメトリクス AWS KMS に処理する AWS サービスです。 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/) これらのデータは、履歴情報にアクセスして、時間の経過に伴う KMS キーの使用や変更に関する理解を深められるように 2 週間記録されます。
Amazon CloudWatch を使用すると、次に示すような重要なイベントのアラートを受け取ることができます。
+ KMS キーにインポートされたキーマテリアルの有効期限が近づいています。
+ 削除保留中の KMS キーがまだ使用されています。
+ KMS キーのキーマテリアルが自動的にローテーションされました。
+ KMS キーが削除されました。
リクエストレートがクォータ値の一定の割合に達したときに警告する [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) アラームを作成することもできます。詳細については、 *AWS セキュリティブログ*の[Service Quotas と Amazon CloudWatch を使用して AWS KMS API リクエストレートを管理する](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/)」を参照してください。
## AWS KMS メトリクスとディメンション
AWS KMS は Amazon CloudWatch メトリクスを事前定義し、重要なデータのモニタリングとアラームの作成を容易にします。 AWS マネジメントコンソール および Amazon CloudWatch API を使用して AWS KMS メトリクスを表示できます。
このセクションでは、各 AWS KMS メトリクスと各メトリクスのディメンションを一覧表示し、これらのメトリクスとディメンションに基づいて CloudWatch アラームを作成するための基本的なガイダンスを提供します。
**注記**
**ディメンショングループ名**:
Amazon CloudWatch コンソールでメトリクスを表示するには、**[Metrics]** (メトリクス) セクションでディメンショングループ名を選択します。これにより、**[Metric name]** (メトリクス名) でフィルタリングできます。このトピックには、各 AWS KMS メトリクスのメトリクス名とディメンショングループ名が含まれています。
AWS マネジメントコンソール および Amazon CloudWatch API を使用して AWS KMS メトリクスを表示できます。詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[使用可能なメトリクスの表示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html)」を参照してください。
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [CloudHSMKeyStoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
特定の KMS キーに対する暗号化オペレーションの成功したリクエストの数。`SuccessfulRequest` メトリクスを使用すると、CloudWatch の AWS KMS API 使用状況にキーレベルのフィルタリングを適用できます。このメトリクスの `Sum` 統計は、対象期間中に成功したリクエストの総数を定義します。
このメトリクスを使用して、リクエストクォータの最大部分を消費する KMS キー、または最も API 料金が高い KMS キーを特定します。`SuccesfulRequest` メトリクスに基づいて CloudWatch アラームを作成して、異常な AWS KMS API 使用パターンの通知を取得することもできます。これらのアラートは、意図せずにリクエストクォータを超える可能性や予期しない料金が発生する可能性がある非効率的なワークフローを特定するのに役立ちます。
**のディメンション `SuccessfulRequest`**
| ディメンション | 説明 |
| --- | --- |
| KeyArn | 各 KMS キーの値です。 |
| 運用 | 各 AWS KMS API オペレーションの値。このメトリクスは、暗号化オペレーションにのみ適用されます。 |
[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) オペレーションの場合、`SuccessfulRequest` メトリクスには送信元と送信先の KMS キーの両方のディメンションが含まれます。
| ディメンション | 説明 |
| --- | --- |
| SourceKeyArn | 暗号文を復号した KMS キーの値。 |
| DestinationKeyArn | データを再暗号化した KMS キーの値。 |
| 運用 | 各 AWS KMS API オペレーションの値。この場合は ReEncrypt。 |
### SecondsUntilKeyMaterialExpiration
KMS キーに[インポートされたキーマテリアル](importing-keys.md)の有効期限が切れるまでの残り秒数。このメトリクスは、インポートされたキーマテリアル (`EXTERNAL` の[キーマテリアルのオリジン](create-keys.md#key-origin)) と有効期限を持つ KMS キーに対してのみ有効です。
このメトリクスを使用して、有効期限が最も早いインポートされたキーマテリアルの有効期限が切れるまでの残り時間を追跡します。定義済みのしきい値を残り時間が下回った場合は、KMS キーの可用性を維持するために新しい有効期限日が設定されたキーマテリアルを再インポートする必要があります。この `SecondsUntilKeyMaterialExpiration` メトリクスは KMS キーに固有です。このメトリクスを使用して、複数の KMS キーや将来作成する可能性のある KMS キーを監視することはできません。このメトリクスをモニタリングする CloudWatch アラームの作成に関するヘルプについては、「[インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する](imported-key-material-expiration-alarm.md)」を参照してください。
このメトリクスで最も有用な統計は `Minimum` で、指定された統計期間のすべてのデータポイントの最小残り時間を示します。このメトリクスの唯一の有効な単位は `Seconds` です。
**ディメンショングループ名**: **[Per-Key Metrics]** (キーごとのメトリクス)
**`SecondsUntilKeyMaterialExpiration` のディメンション**
| ディメンション | 説明、関連 AWS |
| --- | --- |
| KeyId | 各 KMS キーの値です。 |
KMS キーの[キー削除をスケジュールする](deleting-keys.md)と、 AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間を設定することで、KMS キーが不要であり、今後も使用しないことを確認できます。また、待機期間中に[暗号化操作](kms-cryptography.md#cryptographic-operations)でユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するよう、CloudWatch アラームを設定することもできます。このようなアラームから通知を受け取った場合は、KMS キーの削除をキャンセルする必要がある可能性があります。
手順については、「[削除待ち状態の KMS キーの使用を検出するアラームの作成](deleting-keys-creating-cloudwatch-alarm.md)」を参照してください。
### CloudHSMKeyStoreThrottle
が AWS KMS スロットリングする ( と応答する`ThrottlingException`) 各キーストアの KMS AWS CloudHSM キーに対する暗号化オペレーションのリクエストの数。このメトリクスは AWS CloudHSM キーストアにのみ適用されます。
`CloudHSMKeyStoreThrottle` メトリクスは、キーストア内の AWS CloudHSM KMS キーと[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)のリクエストにのみ適用されます。 AWS KMS [は、リクエストレートがキーストアのカスタムキーストアリクエストクォータを超えたときに、これらのリクエストをスロットリング](throttling.md)します。 [カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores) AWS CloudHSM このメトリクスには、 AWS CloudHSM クラスターによるスロットリングも含まれます。
**ディメンショングループ名**: **[Keystore Throttle Metrics]** (キーストアスロットルメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各 AWS CloudHSM キーストアの値。 |
| KmsOperation | 各 AWS KMS API オペレーションの値。このメトリクスは、 AWS CloudHSM キーストアの KMS キーに対する暗号化オペレーションにのみ適用されます。 |
| KeySpec | KMS キーの各タイプの値です。[キーストアでサポートされている KMS キーのキー仕様](create-keys.md#key-spec)は、SYMMETRIC\$1DEFAULT のみです。 AWS CloudHSM |
### ExternalKeyStoreThrottle
AWS KMS スロットリングする各外部キーストアの KMS キーに対する暗号化オペレーションのリクエストの数 ( と応答)`ThrottlingException`。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
`ExternalKeyStoreThrottle` メトリクスは、外部キーストアの KMS キーと[、暗号化オペレーション](kms-cryptography.md#cryptographic-operations)のリクエストにのみ適用されます。 AWS KMS [は、リクエストレートが外部キーストアのカスタムキーストアリクエストクォータを超えたときに、これらのリクエストをスロットリング](throttling.md)します。 [カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)このメトリクスには、外部キーストアプロキシまたは外部キーマネージャーによるスロットリングは含まれていません。
このメトリクスを使用して、カスタムキーストアのリクエストクォータの値を確認および調整します。このメトリクスが AWS KMS がこれらの KMS キーのリクエストを頻繁にスロットリングしていることを示している場合は、カスタムキーストアリクエストクォータ値の増加をリクエストすることを検討してください。詳細については、「Service Quotas ユーザーガイド」の「[Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)」参照してください。
「リクエストレートが極めて高いため」リクエストが拒否されたこと、または「外部キーストアプロキシが時間内に応答しなかったために」リクエストが拒否されたことを説明するメッセージで `KMSInvalidStateException` エラーが頻発する場合は、外部キーマネージャーまたは外部キーストアプロキシが現在のリクエストレートに対応していないことを示している可能性があります。可能な場合は、リクエスト率を下げます。また、カスタムキーストアのリクエストクォータ値の引き下げをリクエストすることも検討してください。このクォータ値を減らすと、スロットリング (および`ExternalKeyStoreThrottle`メトリクス値) が増加する可能性がありますが、 AWS KMS が外部キーストアプロキシまたは外部キーマネージャーに送信される前に、過剰なリクエストを迅速に拒否していることを示します。クォータの削減をリクエストするには、[AWS サポート センター](https://console.aws.amazon.com/support/home)にアクセスしてケースを作成してください。
**ディメンショングループ名**: **[Keystore Throttle Metrics]** (キーストアスロットルメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | 各 AWS KMS API オペレーションの値。このメトリクスは、外部キーストアの KMS キーに対する暗号化オペレーションにのみ適用されます。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされている[キースペック](create-keys.md#key-spec)は SYMMETRIC\$1DEFAULT のみです。 |
### XksProxyCertificateDaysToExpire
[外部キーストアプロキシエンドポイント](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`) の TLS 証明書の有効期限が切れるまでの日数です。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
このメトリクスを使用して、TLS 証明書の有効期限切れが近づいていることを通知する CloudWatch アラームを作成します。証明書の有効期限が切れると、 AWS KMS は外部キーストアプロキシと通信できません。証明書が更新されるまで、外部キーストアの KMS キーで保護されているすべてのデータにアクセスできなくなります。
証明書アラームは、暗号化されたリソースへのアクセスを妨げる可能性のある証明書の有効期限切れを防ぎます。アラームを設定することで、組織は有効期限が切れる前に証明書を更新する時間をもつことができます。
**ディメンショングループ名**: **[XKS Proxy Certificate Metrics]** (XKS プロキシ証明書メトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| CertificateName | TLS 証明書のサブジェクト名 (CN) です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksProxyCredentialAge
現在の外部キーストアの[プロキシ認証情報](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) が外部キーストアに関連付けられてからの日数です。このカウントは、外部キーストアの作成または更新の一環として、認証情報を入力した時点から開始されます。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
この値は、認証情報の有効期限を知らせるためのものです。ただし、外部キーストアプロキシで認証情報を作成した時点ではなく、認証情報を外部キーストアに関連付けた時点からカウントが開始されるため、プロキシでの認証情報の経過時間の正確なインジケータではない場合があります。
このメトリクスを使用して、外部キーストアのプロキシ認証情報をローテーションするように通知する CloudWatch アラームを作成します。
**ディメンショングループ名**: **[Per-Keystore Metrics]** (キーストアごとのメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksProxyErrors
[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)への AWS KMS リクエストに関連する例外の数。この数には、外部キーストアプロキシが に返す例外 AWS KMS と、外部キーストアプロキシが 250 ミリ秒のタイムアウト間隔 AWS KMS 内に応答しない場合に発生するタイムアウトエラーが含まれます。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
このメトリクスを使用して、外部キーストアの KMS キーのエラーレートを追跡します。最も頻発するエラーが明らかになるため、エンジニアリング作業に優先順位を付けることができます。例えば、再試行不可能なエラーの発生率が高くなっている KMS キーは、外部キーストアの設定に問題があることを示している可能性があります。外部キーストア設定を確認するには、「[外部キーストアを表示する](view-xks-keystore.md)」を参照してください。外部キーストア設定を編集するには、「[外部キーストアプロパティを編集する](update-xks-keystore.md)」を参照してください。
**ディメンショングループ名**: **[XKS Proxy Error Metrics]** (XKS プロキシエラーメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値。 |
| XksOperation | 各[外部キーストアプロキシ API オペレーション](keystore-external.md#concept-proxy-apis)の値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされている[キースペック](create-keys.md#key-spec)は SYMMETRIC\$1DEFAULT のみです。 |
| ErrorType | 値:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | 値: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/monitoring-cloudwatch.html) |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksExternalKeyManagerStates
以下の各ヘルス状態 (`Active`、`Degraded`、`Unavailable`) における[外部キーマネージャーインスタンス](keystore-external.md#concept-ekm)数のカウントです。このメトリクスの情報は、各外部キーストアに関連付けられた外部キーストアプロキシから取得されます。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
以下は、外部キーストアに関連付けられた外部キーマネージャーインスタンスのヘルス状態です。各外部キーストアプロキシは、外部キーマネージャーのヘルス状態を測定するために、異なるインジケータを使用する場合があります。詳細については、外部キーストアプロキシのドキュメントを参照してください。
+ `Active`: 外部キーマネージャーは正常です。
+ `Degraded`: 外部キーマネージャーに異常がありますが、トラフィックは処理できます。
+ `Unavailable`: 外部キーマネージャーはトラフィックを処理できません。
このメトリクスを使用して、外部キーマネージャーインスタンスが劣化して使用できなくなったことを警告する CloudWatch アラームを作成します。各状態の外部キーマネージャーインスタンスを判断するには、外部キーストアプロキシログを参照してください。
**ディメンショングループ名**: **[XKS External Key Manager Metrics]** (XKS 外部キーマネージャーメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| XksExternalKeyManagerState | 各ヘルス状態の値です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksProxyLatency
外部キーストアプロキシが AWS KMS リクエストに応答するまでにかかるミリ秒数です。リクエストがタイムアウトした場合、記録される値は 250 ミリ秒のタイムアウト制限です。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
このメトリクスを使用して、外部キーストアプロキシと外部キーマネージャーのパフォーマンスを評価します。プロキシが暗号化オペレーションと復号オペレーションで頻繁にタイムアウトする場合は、外部プロキシ管理者に相談してください。
レスポンスが遅い場合は、外部キーマネージャーが現在のリクエストトラフィックを処理できないことを示している場合もあります。 AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションのリクエストを処理できることをお勧めします。外部キーマネージャーが 1 秒あたり 1,800 件のリクエストを処理できない場合は、[カスタムキーストアの KMS キーリクエストクォータ](requests-per-second.md#rps-key-stores)の引き下げをリクエストすることを検討してください。外部キーストアの KMS キーを使用した暗号化オペレーションのリクエストは、外部キーストアプロキシまたは外部キーマネージャーによって処理され、後で拒否されるのではなく、[スロットリング例外](throttling.md)でフェイルファストします。
**ディメンショングループ名**: **[XKS Proxy Latency Metrics]** (XKS プロキシレイテンシーメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値。 |
| XksOperation | 各[外部キーストアプロキシ API オペレーション](keystore-external.md#concept-proxy-apis)の値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされている[キースペック](create-keys.md#key-spec)は SYMMETRIC\$1DEFAULT のみです。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
# インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する
KMS キーのインポートされたキーマテリアルの有効期限が近づいたときに通知する CloudWatch アラームを作成できます。例えば、有効期限が 30 日未満になるとアラームが通知します。
[キーマテリアルを KMS キーにインポート](importing-keys.md)すると、キーマテリアルの有効期限の日時を任意で指定することができます。キーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除し、KMS キーは使用できなくなります。KMS キーを再度使用するには、[キーマテリアルを再インポート](importing-keys-import-key-material.md#reimport-key-material)する必要があります。ただし、有効期限が切れる前にキーマテリアルを再インポートすると、その KMS キーを使用するプロセスが中断されるのを防ぐことができます。
このアラームは、インポートされたキーマテリアルの有効期限が切れる KMS キーについて AWS KMS が CloudWatch に発行する[`SecondsUntilKeyMaterialExpires`メトリクス](monitoring-cloudwatch.md#key-material-expiration-metric)を使用します。各アラームはこのメトリクスを使用して、特定の KMS キーのインポートされたキーマテリアルを監視します。キーマテリアルの有効期限が近づいているすべての KMS キーに対して単一のアラームを作成したり、将来作成する可能性のある KMS キーに対してアラームを作成したりすることはできません。
**要件**
インポートされたキーマテリアルの有効期限を監視する CloudWatch アラームには、次のリソースが必要です。
+ 有効期限が切れる、インポートされたキーマテリアルを含む KMS キー。
+ Amazon SNS トピック 詳細については、「Amazon CloudWatch ユーザーガイド」の「[Amazon SNS トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)」を参照してください。
アラームの作成
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | [**KMS**] を選択し、次に [**キーごとのメトリクス**] を選択します。 KMS キーと `SecondsUntilKeyMaterialExpires` メトリクスを含む行を選択します。次に **[Select metric]** (メトリクスの選択) を選択します。 **メトリクス**リストには、インポートされたキーマテリアルが有効期限切れになっている KMS キーの `SecondsUntilKeyMaterialExpires` メトリクスのみが表示されます。アカウントとリージョンにこれらのプロパティを持つ KMS キーがない場合、このリストは空になります。 |
| 統計 | 最小値 |
| Period | 1 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | メトリクス名が 1 より大きい場合は必ず |
# 外部キーストアの CloudWatch アラームを作成する
外部キーストアメトリクスに基づいて Amazon CloudWatch アラームを作成し、メトリクス値が指定したしきい値を超えたときに通知するように設定できます。アラームは、[Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) トピックまたは [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work) ポリシーにメッセージを送信できます。CloudWatch アラームの詳細については、「Amazon CloudWatch ユーザーガイド」の「[Amazon CloudWatch でのアラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
Amazon CloudWatch アラームを作成する前に、Amazon SNS トピックが必要です。詳細については、「Amazon CloudWatch ユーザーガイド」の「[Amazon SNS トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)」を参照してください。
**Topics**
+ [証明書の有効期限切れアラームを作成する](#cert-expire-alarm)
+ [レスポンスタイムアウトのアラームを作成する](#latency-alarm)
+ [再試行可能なエラーのアラームを作成する](#retryable-errors-alarm)
+ [再試行不可能なエラーのアラームを作成する](#nonretryable-errors-alarm)
## 証明書の有効期限切れアラームを作成する
このアラームは、 AWS KMS がCloudWatch に公開する [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) メトリクスを使用して、外部キーストアプロキシエンドポイントに関連付けられた TLS 証明書の想定される有効期限を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
証明書の有効期限が切れる 10 日前に警告するようアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
アラームの作成
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[KMS]**、**[XKS Proxy Certificate Metrics]** (XKS プロキシ証明書メトリクス) の順に選択します。 モニタリングする `XksProxyCertificateName` の横にあるチェックボックスをオンにします。 次に **[Select metric]** (メトリクスの選択) を選択します。 |
| 統計 | 最小値 |
| Period | 5 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [XksProxyCertificateDaysToExpire] が 10 よりも Lower である場合は常に。 |
## レスポンスタイムアウトのアラームを作成する
このアラームは、 が CloudWatch AWS KMS に発行する [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency)メトリクスを使用して、外部キーストアプロキシが AWS KMS リクエストに応答するのにかかるミリ秒数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
AWS KMS は、外部キーストアプロキシが 250 ミリ秒以内に各リクエストに応答することを期待します。外部キーストアプロキシが応答に 200 ミリ秒以上かかった場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
アラームの作成
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[KMS]**、**[XKS Proxy Latency Metrics]** (XKS プロキシレイテンシーメトリクス) の順に選択します。 モニタリングする `KmsOperation` の横にあるチェックボックスをオンにします。 次に **[Select metric]** (メトリクスの選択) を選択します。 |
| 統計 | 平均 |
| Period | 5 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [XksProxyLatency] が 200 よりも Greater の場合は常に。 |
## 再試行可能なエラーのアラームを作成する
このアラームは、 が CloudWatch AWS KMS に発行する [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)メトリクスを使用して、外部キーストアプロキシへの AWS KMS リクエストに関連する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
再試行可能なエラーは信頼性の割合を低下させます。また、ネットワークエラーを示している可能性があります。1 分間に再試行可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[クエリ]** タブを選択します。 **[Namespace]** (名前空間) として `AWS/KMS` を選択します。 **[Metric name]** (メトリクス名) に `SUM(XksProxyErrors)` を入力します。 **[Filter by]** (フィルタリング基準) に `ErrorType = Retryable` を入力します。 **[Run]** (実行) を選択します。次に **[Select metric]** (メトリクスの選択) を選択します。 |
| ラベル | 再試行可能なエラー |
| Period | 1 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [q1] が 5 よりも Greater の場合はいつでも。 |
## 再試行不可能なエラーのアラームを作成する
このアラームは、 が CloudWatch AWS KMS に発行する [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)メトリクスを使用して、外部キーストアプロキシへの AWS KMS リクエストに関連する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
再試行不可能なエラーは、外部キーストアの設定に問題があることを示している可能性があります。1 分間に再試行不可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[クエリ]** タブを選択します。 **[Namespace]** (名前空間) として `AWS/KMS` を選択します。 **[Metric name]** (メトリクス名) に `SUM(XksProxyErrors)` を入力します。 **[Filter by]** (フィルタリング基準) に `ErrorType = Non-retryable` を入力します。 **[Run]** (実行) を選択します。次に **[Select metric]** (メトリクスの選択) を選択します。 |
| ラベル | 再試行不可能なエラー |
| Period | 1 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [q1] が 5 よりも Greater の場合はいつでも。 |