外部キーストアの CloudWatch アラームを作成する - AWS Key Management Service
証明書の有効期限切れアラームを作成するレスポンスタイムアウトのアラームを作成する再試行可能なエラーのアラームを作成する再試行不可能なエラーのアラームを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアの CloudWatch アラームを作成する

外部キーストアメトリクスに基づいて Amazon CloudWatch アラームを作成し、メトリクス値が指定したしきい値を超えたときに通知するように設定できます。アラームは、Amazon Simple Notification Service (Amazon SNS) トピックまたは Amazon EC2 Auto Scaling ポリシーにメッセージを送信できます。CloudWatch アラームの詳細については、『Amazon CloudWatch ユーザーガイド』の「Amazon CloudWatch アラームの使用」を参照してください。

Amazon CloudWatch アラームを作成する前に、Amazon SNS トピックが必要です。詳細については、「Amazon CloudWatch ユーザーガイド」の「Amazon SNS トピックの作成」を参照してください。

証明書の有効期限切れアラームを作成する

このアラームは、AWS KMS がCloudWatch に公開する XksProxyCertificateDaysToExpire メトリクスを使用して、外部キーストアプロキシエンドポイントに関連付けられた TLS 証明書の想定される有効期限を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

証明書の有効期限が切れる 10 日前に警告するようアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

アラームの作成

静的しきい値に基づいて CloudWatch アラームを作成する」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

フィールド
メトリクスの選択

[KMS][XKS Proxy Certificate Metrics] (XKS プロキシ証明書メトリクス) の順に選択します。

モニタリングする XksProxyCertificateName の横にあるチェックボックスをオンにします。

次に [Select metric] (メトリクスの選択) を選択します。
統計 最小値
[Period] (期間) 5 分
しきい値タイプ 静的
Whenever ..。 [XksProxyCertificateDaysToExpire]10 よりも Lower である場合は常に。

レスポンスタイムアウトのアラームを作成する

このアラームは、AWS KMS が CloudWatch に公開した XksProxyLatency メトリクスを使用して、外部キーストアプロキシが AWS KMS リクエストに応答するのにかかる時間をミリ秒単位で記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

AWS KMS では、外部キーストアプロキシが各リクエストに 250 ミリ秒以内に応答することを想定しています。外部キーストアプロキシが応答に 200 ミリ秒以上かかった場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

アラームの作成

静的しきい値に基づいて CloudWatch アラームを作成する」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

フィールド
メトリクスの選択

[KMS][XKS Proxy Latency Metrics] (XKS プロキシレイテンシーメトリクス) の順に選択します。

モニタリングする KmsOperation の横にあるチェックボックスをオンにします。

次に [Select metric] (メトリクスの選択) を選択します。
統計 [Average] (平均)
[Period] (期間) 5 分
しきい値タイプ 静的
Whenever ..。 [XksProxyLatency]200 よりも Greater の場合は常に。

再試行可能なエラーのアラームを作成する

このアラームは、AWS KMS が CloudWatch に公開した XksProxyErrors メトリクスを使用して、外部キーストアプロキシへの AWS KMS リクエストに関する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

再試行可能なエラーは信頼性の割合を低下させます。また、ネットワークエラーを示している可能性があります。1 分間に再試行可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

静的しきい値に基づいて CloudWatch アラームを作成する」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

フィールド
メトリクスの選択

[Queries] (クエリ) タブを開きます。

[Namespace] (名前空間) として AWS/KMS を選択します。

[Metric name] (メトリクス名) に SUM(XksProxyErrors) を入力します。

[Filter by] (フィルタリング基準) に ErrorType = Retryable を入力します。

[Run] (実行) を選択します。次に [Select metric] (メトリクスの選択) を選択します。
ラベル 再試行可能なエラー
[Period] (期間) 1 分
しきい値タイプ 静的
Whenever ..。 [q1]5 よりも Greater の場合はいつでも。

再試行不可能なエラーのアラームを作成する

このアラームは、AWS KMS が CloudWatch に公開した XksProxyErrors メトリクスを使用して、外部キーストアプロキシへの AWS KMS リクエストに関する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

再試行不可能なエラーは、外部キーストアの設定に問題があることを示している可能性があります。1 分間に再試行不可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

静的しきい値に基づいて CloudWatch アラームを作成する」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

フィールド
メトリクスの選択

[Queries] (クエリ) タブを開きます。

[Namespace] (名前空間) として AWS/KMS を選択します。

[Metric name] (メトリクス名) に SUM(XksProxyErrors) を入力します。

[Filter by] (フィルタリング基準) に ErrorType = Non-retryable を入力します。

[Run] (実行) を選択します。次に [Select metric] (メトリクスの選択) を選択します。
ラベル 再試行不可能なエラー
[Period] (期間) 1 分
しきい値タイプ 静的
Whenever ..。 [q1]5 よりも Greater の場合はいつでも。