翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアのモニタリング

AWS KMS は、外部キーストアとのやり取りごとにメトリクスを収集し、 CloudWatch アカウントに公開します。これらのメトリクスは、各外部キーストアの詳細ページのモニタリングセクションで、グラフを生成するために使用されます。次のトピックでは、グラフを使用して、外部キーストアに影響する運用上および設定上の問題を特定し、トラブルシューティングする方法の詳細を説明します。 CloudWatch メトリクスを使用して、外部キーストアが想定どおりに動作しない場合に通知するアラームを設定することをお勧めします。詳細については、「Amazon によるモニタリング CloudWatch」を参照してください。

グラフを表示する

さまざまな詳細レベルでグラフを表示できます。デフォルトでは、各グラフは 3 時間の時間範囲と 5 分の集計期間を使用します。コンソール内でグラフビューを調整できますが、外部キーストアの詳細ページを閉じるかブラウザを更新すると、変更はデフォルト設定に戻ります。Amazon CloudWatch の用語については、「Amazon の CloudWatch 概念」を参照してください。

データポイントの詳細を表示する

各グラフのデータは、AWS KMS メトリクスによって収集されます。特定のデータポイントに関する詳細を表示するには、折れ線グラフ上のデータポイントにマウスカーソルを合わせます。これにより、グラフの生成元であるメトリクスに関する詳細情報のポップアップが表示されます。各リスト項目には、そのデータポイントで記録されたディメンション値が表示されます。そのデータポイントのディメンション値に使用できるメトリクスデータがない場合、ポップアップには NULL 値 (—) が表示されます。一部のグラフでは、1 つのデータポイントに対して複数のディメンションと値が記録されます。信頼性グラフなどの他のグラフでは、メトリクスによって収集されたデータを使用して固有の値が計算されます。各リスト項目は、各折れ線グラフの色に関連付けられています。

時間範囲を変更する

グラフの時間範囲を変更するには、モニタリングセクションの右上隅にある事前定義済みの時間範囲の 1 つを選択します。事前定義済みの時間範囲は、1 時間から 1 週間です (1 時間、3 時間、12 時間、1 日、3 日、1 週間)。これにより、すべてのグラフの時間範囲が調整されます。特定のグラフを別の時間範囲で表示する場合、またはカスタムの時間範囲を設定する場合は、グラフを拡大するか、Amazon CloudWatch コンソールで表示します。

グラフを拡大する

ミニマップズーム機能を使用すると、ズームインビューとズームアウトビュー間を変更することなく、折れ線グラフと積み上げ面グラフのセクションに焦点を合わせることができます。例えば、ミニマップズーム機能を使用して折れ線グラフのピークに焦点を合わせると、同じタイムラインのモニタリングセクション内の他のグラフに対してスパイクを比較できます。

グラフを拡大する

グラフを拡大するには、個々のグラフの右上隅にあるメニューアイコンを選択してから、[Enlarge] (拡大) を選択します。グラフにカーソルを合わせるとメニューアイコンの横に表示される、拡大アイコンを選択することもできます。

グラフを拡大すると、別の期間、カスタム時間範囲、更新間隔を指定して、グラフの表示をさらに変更できます。これらの変更は、拡大表示を閉じるとデフォルト設定に戻ります。

Amazon CloudWatch コンソールでグラフを表示する

モニタリングセクションのグラフは、 が Amazon AWS KMS に発行する事前定義されたメトリクスから派生しています CloudWatch。 CloudWatch コンソール内で開き、 CloudWatch ダッシュボードに保存できます。外部キーストアが複数ある場合は、それぞれのグラフを で開き CloudWatch 、1 つのダッシュボードに保存して、その状態と使用状況を比較できます。

CloudWatch ダッシュボードに追加する

右上隅にあるダッシュボードに追加 を選択して、すべてのグラフを Amazon CloudWatch ダッシュボードに追加します。既存のダッシュボードを選択するか、新しいロールを作成できます。このダッシュボードを使用してグラフとアラームのカスタマイズされたビューを作成する方法については、「Amazon CloudWatch ユーザーガイド」の「Amazon ダッシュボードの使用」を参照してください。 CloudWatch

CloudWatch メトリクスで表示する

個々のグラフの右上隅にあるメニューアイコンを選択し、メトリクスで表示を選択して、Amazon CloudWatch コンソールでこのグラフを表示します。 CloudWatch コンソールから、この単一のグラフをダッシュボードに追加し、時間範囲、期間、更新間隔を変更できます。詳細については、「Amazon CloudWatch ユーザーガイド」の「メトリクスのグラフ化」を参照してください。

グラフの解釈

AWS KMS には、AWS KMS コンソール内の外部キーストアの状態をモニタリングするためのグラフがいくつか用意されています。これらのグラフは自動的に設定され、AWS KMS メトリクスから生成されます。

グラフデータは、外部キーストアと外部キーへの呼び出しの一部として収集されます。呼び出しを行わなかった時間範囲のデータがグラフに表示される場合があります。このデータは、外部キーストアプロキシと外部キーマネージャーのステータスを確認するために、AWS KMS がユーザーに代わって定期的な GetHealthStatus の呼び出しから取得したものです。グラフに [No data available] (利用可能なデータなし) というメッセージが表示された場合は、その時間帯に呼び出しが記録されなかったか、外部キーストアが DISCONNECTED 状態であったことを示します。ビューをより広い時間範囲に調整することで、外部キーストアが切断された時間を特定できる場合があります。

Total requests

特定の時間範囲に特定の外部キーストアで受信された AWS KMS リクエストの合計です。このグラフを使用して、スロットリングのリスクがあるかどうかを判断します。

AWS KMS は、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションリクエストを処理できるようにすることを推奨しています。5 分間で呼び出しが 54 万件近くになると、スロットリングのリスクが生じます。

AWS KMS が ExternalKeyStoreThrottle メトリクスでスロットルする外部キーストアの、KMS キーに対する暗号化オペレーションのリクエスト数をモニタリングできます。

「リクエスト率が極めて高いため」、リクエストが拒否されたことを説明するメッセージが表示され、KMSInvalidStateException エラーが頻発する場合は、外部キーマネージャーまたは外部キーストアプロキシが現在のリクエストレートに対応できていない可能性があります。可能な場合は、リクエスト率を下げます。また、カスタムキーストアのリクエストクォータ値の引き下げをリクエストすることも検討してください。このクォータ値を減少させるとスロットリングが増える可能性がありますが、これは、超過リクエストが外部キーストアプロキシまたは外部キーマネージャーに送信される前に、AWS KMS が直ちに拒否することを意味します。クォータの削減をリクエストするには、AWS Support センターにアクセスしてケースを作成してください。

リクエストの合計のグラフは、外部キーストアプロキシから AWS KMS が受信した成功と失敗の両方のレスポンスに関するデータを収集する、XksProxyErrors メトリクスから生成されます。特定のデータポイントを表示すると、ポップアップには CustomKeyStoreId ディメンションの値と、そのデータポイントで記録された AWS KMS リクエストの合計が表示されます。CustomKeyStoreId は常に同じになります。

信頼性

外部キーストアプロキシが成功のレスポンスまたは再試行できないエラーのいずれかを返した AWS KMS リクエストの割合です。このグラフを使用して、外部キーストアプロキシのオペレーション状態を評価します。

グラフに 100% 未満の値が表示されている場合は、プロキシが応答しなかったか、再試行可能なエラーで応答したことを示します。これは、ネットワークの問題、外部キーストアプロキシまたは外部キーマネージャーの速度低下、または実装上のバグを示している可能性があります。

リクエストに不正な認証情報が含まれていてプロキシが AuthenticationFailedException で応答した場合でも、プロキシは外部キーストアプロキシ API リクエストで誤った値を識別するため、グラフには 100% の信頼性が表示され、失敗することが予想されます。信頼性グラフのパーセンテージが 100% の場合、外部キーストアプロキシは想定どおりに応答しています。グラフに 100% 未満の値が表示されている場合、プロキシは再試行可能なエラーで応答したか、タイムアウトしています。例えば、リクエスト率が極めて高いためにプロキシが「ThrottlingException」を返した場合、プロキシはリクエスト失敗の原因となった特定の問題を識別できないため、信頼性の割合が低下します。これは、再試行可能なエラーは一時的な問題である可能性が高く、リクエストを再試行することで解決できるためです。

次のエラーレスポンスは、信頼性の割合を低下させます。例外の上位 5 位 グラフと XksProxyErrors メトリクスを使用して、プロキシが再試行可能な各エラーを返す頻度をさらにモニタリングすることができます。

信頼性グラフは、AWS KMS が外部キーストアプロキシから受信する成功と失敗の両方のレスポンスに関するデータを収集する、XksProxyErrors メトリクスから生成されます。信頼性の割合は、レスポンスが Retryable の ErrorType 値をもつ場合にのみ低下します。特定のデータポイントを表示すると、ポップアップには CustomKeyStoreId ディメンションの値とともに、そのデータポイントで記録された AWS KMS リクエストの信頼性の割合が表示されます。CustomKeyStoreId は常に同じになります。

XksProxyErrors メトリクスを使用して、1 分間に再試行可能なエラーが 5 回以上記録されたときに警告することで、ネットワークの問題の可能性を通知する CloudWatch アラームを作成することをお勧めします。詳細については、「再試行可能なエラーに対する Amazon CloudWatch アラームの作成」を参照してください。

レイテンシー

外部キーストアプロキシが AWS KMS リクエストに応答するまでにかかるミリ秒数です。このグラフを使用して、外部キーストアプロキシと外部キーマネージャーのパフォーマンスを評価します。

AWS KMS では、外部キーストアプロキシが各リクエストに 250 ミリ秒以内に応答することを想定しています。ネットワークがタイムアウトした場合、AWS KMS はリクエストを 1 回再試行します。プロキシが 2 回失敗した場合、記録されるレイテンシーは、両方のリクエスト試行のタイムアウト制限を合わせたもので、グラフには約 500 ミリ秒が表示されます。それ以外の、プロキシが 250 ミリ秒のタイムアウト制限内に応答しないすべての場合、記録されるレイテンシーは 250 ミリ秒です。プロキシが暗号化と復号オペレーションで頻繁にタイムアウトする場合は、外部プロキシ管理者に相談してください。レイテンシー問題のトラブルシューティングについては、「レイテンシーとタイムアウトエラー」を参照してください。

応答が遅い場合は、外部キーマネージャーが現在のリクエストトラフィックを処理できていない可能性もあります。AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションリクエストを処理できることを推奨しています。外部キーマネージャーが 1 秒あたり 1,800 件のリクエストを処理できない場合は、カスタムキーストアの KMS キーリクエストクォータの引き下げをリクエストすることを検討してください。外部キーストアの KMS キーを使用した暗号化オペレーションのリクエストは、外部キーストアプロキシまたは外部キーマネージャーによって処理され、後で拒否されるのではなく、スロットリング例外でフェイルファストします。

レイテンシーグラフは XksProxyLatency メトリクスから生成されます。特定のデータポイントを表示すると、ポップアップには KmsOperation および XksOperation のディメンション値とともに、そのデータポイントで記録されたオペレーションの平均レイテンシーが表示されます。リスト項目は、最大レイテンシーから最低レイテンシーの順に並べられます。

XksProxyLatency メトリクスを使用して、レイテンシーがタイムアウト制限に近づいたときに通知する CloudWatch アラームを作成することをお勧めします。詳細については、「応答タイムアウトの Amazon CloudWatch アラームの作成」を参照してください。

例外の上位 5 位

任意の時間範囲で暗号化オペレーションと管理オペレーションが失敗した場合の、例外の上位 5 位です。このグラフを使用して、最も頻発するエラーを追跡することで、エンジニアリング作業に優先順位を付けることができます。

この数には、AWS KMS が外部キーストアプロキシから受信した例外と、AWS KMS が外部キーストアプロキシとの通信を確立できない場合に内部で返される XksProxyUnreachableException が含まれています。

再試行可能なエラーの発生率が高い場合はネットワークエラーの可能性、再試行できないエラーの発生率が高い場合は、外部キーストアの設定に関する問題である可能性があります。例えば、AuthenticationFailedExceptions のスパイクは、AWS KMS で設定されている認証情報と外部キーストアプロキシ間に不一致があることを示します。外部キーストア設定を確認するには、「外部キーストアを表示する」を参照してください。外部キーストア設定を編集するには、「外部キーストアのプロパティの編集」を参照してください。

外部キーストアプロキシから AWS KMS が受け取る例外は、オペレーションが失敗したときに AWS KMS から返される例外とは異なります。AWS KMS 暗号化オペレーションでは、外部キーストアの外部設定または接続状態に関連するすべての障害に対して KMSInvalidStateException が返されます。問題を特定するには、添付のエラーメッセージテキストを使用します。

次の表は、上位 5 位の例外グラフに表示される可能性のある例外と、AWS KMS が返す対応する例外を示しています。

上位 5 位の例外グラフは、XksProxyErrors メトリクスから生成されます。任意のデータポイントを表示すると、ポップアップに ExceptionName ディメンションの値と、そのデータポイントで例外が記録された回数が表示されます。5 つのリスト項目は、最高頻度から最低頻度の例外の順に並べられます。

XksProxyErrors メトリクスを使用して、1 分間に再試行不可能なエラーが 5 つ以上記録されたときに警告することで、潜在的な設定問題を通知する CloudWatch アラームを作成することをお勧めします。詳細については、「再試行できないエラーに対する Amazon CloudWatch アラームの作成」を参照してください。

証明書の有効期限日数

外部キーストアプロキシエンドポイント (XksProxyUriEndpoint) の TLS 証明書の有効期限が切れるまでの日数です。このグラフを使用して、TLS 証明書の有効期限をモニタリングします。

証明書の有効期限が切れると、AWS KMS は外部キーストアプロキシと通信できなくなります。証明書が更新されるまで、外部キーストアの KMS キーで保護されているすべてのデータにアクセスできなくなります。

証明書の有効期限までの日数のグラフは、XksProxyCertificateDaysToExpire メトリクスから生成されます。このメトリクスを使用して、今後の有効期限を通知する CloudWatch アラームを作成することを強くお勧めします。証明書の有効期限が切れると、暗号化されたリソースにアクセスできなくなる可能性があります。アラームを設定することで、組織は有効期限が切れる前に証明書を更新する時間をもつことができます。詳細については、「証明書の有効期限に関する Amazon CloudWatch アラームの作成」を参照してください。

アラームの設定

モニタリングセクションのグラフには、一定期間内の、外部キーストアと外部キーストアの KMS キーの状態の概要が表示されます。ただし、外部キーストアメトリクスに基づいて Amazon CloudWatch アラームを作成して、メトリクス値が指定したしきい値を超えたときに通知を受け取ることができます。アラームは、Amazon Simple Notification Service (Amazon SNS) トピックまたは Amazon EC2 Auto Scaling ポリシーにメッセージを送信できます。 CloudWatch アラームの詳細については、「Amazon ユーザーガイド」の「Amazon CloudWatch アラームの使用」を参照してください。 CloudWatch

Amazon CloudWatch アラームを作成する前に、Amazon SNS トピックが必要です。詳細については、「Amazon ユーザーガイド」の「Amazon SNS トピックの作成 CloudWatch 」を参照してください。

証明書の有効期限に関する Amazon CloudWatch アラームの作成

このアラームは、 が AWS KMS に発行する XksProxyCertificateDaysToExpireメトリクス CloudWatch を使用して、外部キーストアプロキシエンドポイントに関連付けられた TLS 証明書の予想される有効期限を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

証明書の有効期限が切れる 10 日前に警告するようアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

アラームの作成

「以下の必須値を使用して静的しきい値に基づいて CloudWatch アラームを作成する」の手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

応答タイムアウトの Amazon CloudWatch アラームの作成

このアラームは、 が AWS KMS に CloudWatch発行する XksProxyLatencyメトリクスを使用して、外部キーストアプロキシが AWS KMSリクエストに応答するのにかかるミリ秒数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

AWS KMS では、外部キーストアプロキシが各リクエストに 250 ミリ秒以内に応答することを想定しています。外部キーストアプロキシが応答に 200 ミリ秒以上かかった場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

アラームの作成

「以下の必須値を使用して静的しきい値に基づいて CloudWatch アラームを作成する」の手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

再試行可能なエラーに対する Amazon CloudWatch アラームの作成

このアラームは、 が AWS KMS に発行する XksProxyErrorsメトリクス CloudWatch を使用して、外部キーストアプロキシへのAWS KMSリクエストに関連する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

再試行可能なエラーは信頼性の割合を低下させます。また、ネットワークエラーを示している可能性があります。1 分間に再試行可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

「以下の必須値を使用して静的しきい値に基づいて CloudWatch アラームを作成する」の手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

再試行できないエラーに対する Amazon CloudWatch アラームの作成

このアラームは、 が AWS KMS に発行する XksProxyErrorsメトリクス CloudWatch を使用して、外部キーストアプロキシへのAWS KMSリクエストに関連する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。

再試行不可能なエラーは、外部キーストアの設定に問題があることを示している可能性があります。1 分間に再試行不可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。

「以下の必須値を使用して静的しきい値に基づいて CloudWatch アラームを作成する」の手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。