기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon CloudWatch를 사용하여 KMS 키 모니터링
에서 원시 데이터를 수집하여 읽기 가능하며 실시간에 가까운 지표 AWS KMS 로 처리하는 AWS 서비스인 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)를 AWS KMS keys 사용하여를 모니터링할 수 있습니다. 이러한 데이터는 2주간 기록되므로 기록 정보를 보고 KMS 키의 사용 상황과 시간에 따른 변화를 더 잘 이해할 수 있습니다.
Amazon CloudWatch를 사용하여 다음과 같은 중요한 이벤트를 알릴 수 있습니다.
+ KMS 키의 가져온 키 구성 요소의 만료 날짜가 가까워졌습니다.
+ 삭제 보류 중인 KMS 키가 계속 사용되고 있습니다.
+ KMS 키의 키 구성 요소가 자동으로 교체되었습니다.
+ KMS 키가 삭제되었습니다.
요청 비율이 할당량 값의 일정 비율에 도달하면 경고하는 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) 경보를 생성할 수도 있습니다. 자세한 내용은 *AWS 보안 블로그*의 [ Service Quotas 및 Amazon CloudWatch를 사용하여 AWS KMS API 요청 속도 관리를 참조하세요](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/).
## AWS KMS 지표 및 차원
AWS KMS 는 Amazon CloudWatch 지표를 사전 정의하여 중요한 데이터를 더 쉽게 모니터링하고 경보를 생성할 수 있도록 합니다. AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다.
이 섹션에서는 각 AWS KMS 지표와 각 지표의 차원을 나열하고 이러한 지표와 차원을 기반으로 CloudWatch 경보를 생성하기 위한 몇 가지 기본 지침을 제공합니다.
**참고**
**차원 그룹 이름**:
Amazon CloudWatch 콘솔에서 지표를 보려면 **Metrics**(지표) 섹션에서 차원 그룹 이름을 선택합니다. 그런 다음 **Metric name**(지표 이름)으로 필터링할 수 있습니다. 이 주제에는 각 AWS KMS 지표에 대한 지표 이름과 차원 그룹 이름이 포함됩니다.
AWS Management Console 및 Amazon CloudWatch API를 사용하여 AWS KMS 지표를 볼 수 있습니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [사용 가능한 지표 보기](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html)를 참조하세요.
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [CloudHSMKeyStoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
특정 KMS 키에 대한 암호화 작업 요청이 성공한 횟수입니다. `SuccessfulRequest` 지표를 사용하면 CloudWatch의 AWS KMS API 사용량에 키 수준 필터링을 적용할 수 있습니다. 이 지표의 `Sum` 통계는 해당 기간 동안의 성공적인 요청 수 전체를 나타냅니다.
이 지표를 사용해 요청 할당량 중 가장 큰 비중을 사용하거나 API 비용에 가장 많이 기여하는 KMS 키를 식별하세요. `SuccesfulRequest` 지표를 기반으로 CloudWatch 알람을 생성해 비정상적인 AWS KMS API 사용 패턴에 대한 알림을 받을 수 있습니다. 이러한 알림은 요청 할당량을 의도치 않게 초과하거나 예상치 못한 비용을 발생시킬 수 있는 비효율적인 워크플로를 식별하는 데 도움이 됩니다.
**의 차원 `SuccessfulRequest`**
| 차원 | 설명 |
| --- | --- |
| KeyArn | 각 KMS 키의 값입니다. |
| 연산 | 각 AWS KMS API 작업의 값입니다. 이 지표는 암호화 작업에만 적용됩니다. |
[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 작업의 경우 `SuccessfulRequest` 지표에는 소스 KMS 키와 대상 KMS 키에 대한 차원이 모두 포함됩니다.
| 차원 | 설명 |
| --- | --- |
| SourceKeyArn | 사이퍼텍스트를 복호화한 KMS 키의 값입니다. |
| DestinationKeyArn | 데이터를 다시 암호화한 KMS 키에 대한 값입니다. |
| 연산 | 각 AWS KMS API 작업의 값입니다.이 경우 ReEncrypt입니다. |
### SecondsUntilKeyMaterialExpiration
KMS 키에서 가장 먼저 만료되는 [가져온 키 구성 요소](importing-keys.md)가 만료될 때까지 남은 시간(초)입니다. 이 지표는 가져온 키 구성 요소(`EXTERNAL`의 [키 구성 요소 오리진](create-keys.md#key-origin))와 만료 날짜가 있는 KMS 키에만 유효합니다.
이 지표를 사용해 가장 먼저 만료되는 가져온 키 구성 요소가 만료되기까지 남은 시간을 추적하세요. 해당 시간이 사용자가 정의한 임곗값보다 작아지면 KMS 키를 계속 사용할 수 있도록 새 만료 날짜를 지정해 키 구성 요소를 다시 가져와야 합니다. `SecondsUntilKeyMaterialExpiration` 지표는 KMS 키에만 해당합니다. 이 지표를 사용하여 향후 생성할 수 있는 KMS 키를 하나 또는 그 이상 모니터링할 수는 없습니다. 이 지표를 모니터링하기 위해 CloudWatch 경보를 생성하는 방법에 대한 도움말은 [가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성](imported-key-material-expiration-alarm.md) 섹션을 참조하세요.
이 지표에서 가장 유용한 통계는 `Minimum`으로서 지정한 통계 기간 중 모든 데이터 포인트에 남아있는 시간이 가장 적다는 것을 의미합니다. 이 지표에서 유일하게 사용되는 유효 단위는 `Seconds`입니다.
**차원 그룹 이름**: **Per-Key Metrics**(키별 지표)
**`SecondsUntilKeyMaterialExpiration`의 차원**
| 측정 기준 | 설명, 관련 AWS |
| --- | --- |
| KeyId | 각 KMS 키의 값입니다. |
KMS 키에 [키 삭제를 예약](deleting-keys.md)하면 AWS KMS 가 KMS 키를 삭제하기 전에 대기 기간을 적용합니다. 현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용할 수 있습니다. 사람이나 애플리케이션이 대기 기간 중에 [암호화 작업](kms-cryptography.md#cryptographic-operations)에서 KMS 키를 사용하려고 할 때 경고하도록 CloudWatch 경보를 구성할 수도 있습니다. 이러한 경보를 통해 알림을 받으면 KMS 키의 삭제를 취소하고 싶을 수 있습니다.
지침은 [삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성](deleting-keys-creating-cloudwatch-alarm.md) 섹션을 참조하세요.
### CloudHSMKeyStoreThrottle
가 AWS KMS 제한하는 각 키 스토어의 KMS AWS CloudHSM 키에 대한 암호화 작업 요청 수입니다(로 응답`ThrottlingException`). 이 지표는 AWS CloudHSM 키 스토어에만 적용됩니다.
지표는 키 스토어의 AWS CloudHSM KMS 키와 [ 암호화 작업에](kms-cryptography.md#cryptographic-operations) 대한 요청에만 적용됩니다. `CloudHSMKeyStoreThrottle`는 요청 속도가 키 스토어에 대한 [사용자 지정 키 스토어 요청 할당량을 ](requests-per-second.md#rps-key-stores) 초과할 때 AWS KMS [이러한 요청을 제한](throttling.md)합니다 AWS CloudHSM . 이 지표에는 AWS CloudHSM 클러스터의 제한도 포함됩니다.
**차원 그룹 이름**: **Keystore Throttle Metrics**(키 스토어 제한 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 AWS CloudHSM 키 스토어의 값입니다. |
| KmsOperation | 각 AWS KMS API 작업의 값입니다. 이 지표는 AWS CloudHSM 키 저장소에 있는 KMS 키에 대한 암호화 작업에만 적용됩니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 키 스토어에서 KMS 키에 대해 지원되는 [유일한 키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. AWS CloudHSM |
### ExternalKeyStoreThrottle
가 AWS KMS 제한하는 각 외부 키 스토어의 KMS 키에 대한 암호화 작업 요청 수입니다(로 응답`ThrottlingException`). 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
지표는 외부 키 스토어의 KMS 키와 [암호화 작업에](kms-cryptography.md#cryptographic-operations) 대한 요청에만 적용됩니다. `ExternalKeyStoreThrottle`는 요청 속도가 외부 [키 스토어에 대한 사용자 지정 키 스토어 요청 할당량을](requests-per-second.md#rps-key-stores) 초과할 때 AWS KMS [이러한 요청을 제한](throttling.md)합니다. 이 지표에는 외부 키 스토어 프록시 또는 외부 키 관리자에 의한 제한이 포함되지 않습니다.
이 지표를 사용하여 사용자 지정 키 저장소 요청 할당량의 값을 검토하고 조정하세요. 이 지표에서 AWS KMS 가 이러한 KMS 키에 대한 요청을 자주 제한하고 있음을 나타내는 경우 사용자 지정 키 스토어 요청 할당량 값 증가를 요청하는 것이 좋습니다. 도움이 필요한 경우 **Service Quotas 사용 설명서의 [할당량 증가 요청](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)을 참조하세요.
'매우 높은 요청 빈도로 인해' 또는 '외부 키 스토어 프록시가 제때 응답하지 않아' 요청이 거부되었음을 설명하는 메시지와 함께 `KMSInvalidStateException` 오류가 매우 자주 발생하는 경우 외부 키 관리자 또는 외부 키 스토어 프록시가 현재 요청 빈도를 따라갈 수 없는 것일 수 있습니다. 가능하면 요청 빈도를 낮춥니다. 사용자 지정 키 스토어 요청 할당량 값의 감소를 요청하는 것도 고려할 수 있습니다. 이 할당량 값을 줄이면 제한(및 `ExternalKeyStoreThrottle` 지표 값)이 증가할 수 있지만 외부 키 스토어 프록시 또는 외부 키 관리자로 전송되기 전에 초과 요청을 빠르게 AWS KMS 거부하고 있음을 나타냅니다. 할당량 감소를 요청하기 위해서는 [AWS Support 센터](https://console.aws.amazon.com/support/home)를 방문하여 케이스를 생성하세요.
**차원 그룹 이름**: **Keystore Throttle Metrics**(키 스토어 제한 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | 각 AWS KMS API 작업의 값입니다. 이 지표는 외부 키 저장소에 있는 KMS 키에 대한 암호화 작업에만 적용됩니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 [키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. |
### XksProxyCertificateDaysToExpire
[외부 키 스토어 프록시 엔드포인트](create-xks-keystore.md#require-endpoint)(`XksProxyUriEndpoint`)에 대한 TLS 인증서가 만료될 때까지의 일수입니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
TLS 인증서의 예정된 만료를 알리는 CloudWatch 경보를 생성하려면 이 지표를 사용합니다. 인증서가 만료되면는 외부 키 스토어 프록시와 통신할 AWS KMS 수 없습니다. 외부 키 스토어의 KMS 키로 보호되는 모든 데이터는 인증서를 갱신할 때까지 액세스할 수 없습니다.
인증서 경보는 암호화된 리소스에 액세스하지 못하게 할 수 있는 인증서 만료를 방지합니다. 인증서가 만료되기 전에 인증서를 갱신할 시간을 조직에 제공하도록 경보를 설정합니다.
**차원 그룹 이름**: **XKS Proxy Certificate Metrics**(XKS 프록시 인증서 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| CertificateName | TLS 인증서의 주체 이름(CN)입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksProxyCredentialAge
현재 외부 키 스토어 [프록시 인증 자격 증명](keystore-external.md#concept-xks-credential)(`XksProxyAuthenticationCredential`)이 외부 키 스토어와 연결된 이후의 일수입니다. 이 수는 외부 키 스토어를 만들거나 업데이트하는 과정에서 인증 자격 증명을 입력할 때 시작됩니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
이 값은 인증 자격 증명의 사용 기간을 알리도록 설계되었습니다. 그러나 외부 키 스토어 프록시에 인증 자격 증명을 생성할 때가 아니라 외부 키 스토어에 자격 증명을 연결할 때 계산을 시작하기 때문에 프록시의 자격 증명 사용 기간에 대한 정확한 지표가 아닐 수 있습니다.
이 지표를 사용하여 외부 키 스토어 프록시 인증 자격 증명을 교체하라고 알려주는 CloudWatch 경보를 생성합니다.
**차원 그룹 이름**: **Per-Keystore Metrics**(키 스토어별 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksProxyErrors
[외부 키 스토어 프록시](keystore-external.md#concept-xks-proxy)에 대한 AWS KMS 요청과 관련된 예외 수입니다. 이 수에는 외부 키 스토어 프록시가 로 반환하는 예외 AWS KMS 와 외부 키 스토어 프록시가 250밀리초 제한 시간 간격 AWS KMS 내에 응답하지 않을 때 발생하는 제한 시간 오류가 포함됩니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어에서 KMS 키의 오류율을 추적합니다. 이 지표는 가장 자주 발생하는 오류를 표시하므로 엔지니어링 작업의 우선 순위를 지정할 수 있습니다. KMS 키에서 생성하는 재시도할 수 없는 오류율이 높으면 외부 키 스토어의 구성에 문제가 있는 것일 수 있습니다. 외부 키 스토어 구성을 보려면 [외부 키 저장소 보기](view-xks-keystore.md) 섹션을 참조하세요. 외부 키 스토어 설정을 편집하려면 [외부 키 저장소 속성 편집](update-xks-keystore.md) 섹션을 참조하세요.
**차원 그룹 이름**: **XKS Proxy Error Metrics**(XKS 프록시 오류 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
| XksOperation | 각 [외부 키 스토어 프록시 API 작업](keystore-external.md#concept-proxy-apis)의 값입니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 [키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. |
| ErrorType | 값:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | 값: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/monitoring-cloudwatch.html) |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksExternalKeyManagerStates
각 상태(`Active`, `Degraded` 및 `Unavailable`)의 [외부 키 관리자 인스턴스](keystore-external.md#concept-ekm) 수입니다. 이 지표에 대한 정보는 각 외부 키 스토어와 연결된 외부 키 스토어 프록시에서 가져옵니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
다음은 외부 키 스토어와 연결된 외부 키 관리자 인스턴스의 상태입니다. 각 외부 키 스토어 프록시는 서로 다른 표시기를 사용하여 외부 키 관리자의 상태를 측정할 수 있습니다. 자세한 내용은 외부 키 스토어 프록시의 설명서를 참조하세요.
+ `Active`: 외부 키 관리자가 정상입니다.
+ `Degraded`: 외부 키 관리자가 비정상이지만 여전히 트래픽을 처리할 수 있습니다.
+ `Unavailable`: 외부 키 관리자가 트래픽을 처리할 수 없습니다.
이 지표를 사용하여 성능이 저하되고 사용할 수 없는 외부 키 관리자 인스턴스에 대해 경고하는 CloudWatch 경보를 생성합니다. 각 상태의 외부 키 관리자 인스턴스를 확인하려면 외부 키 스토어 프록시 로그를 참조하세요.
**차원 그룹 이름**: **XKS External Key Manager Metrics**(XKS 외부 키 관리자 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| XksExternalKeyManagerState | 각 상태에 대한 값입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 섹션을 참조하세요.
### XksProxyLatency
외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 시간(밀리초)입니다. 요청 시간이 초과된 경우 기록된 값은 250밀리초 제한 시간입니다. 이 지표는 [외부 키 스토어](keystore-external.md)에만 적용됩니다.
이 지표를 사용하여 외부 키 스토어 프록시와 외부 키 관리자의 성능을 평가합니다. 예를 들어, 프록시의 암호화 및 복호화 작업 시간이 자주 초과되는 경우 외부 프록시 관리자에게 문의하세요.
느린 응답은 외부 키 관리자가 현재 요청 트래픽을 처리할 수 없음을 나타낼 수도 있습니다. AWS KMS 는 외부 키 관리자가 초당 최대 1,800개의 암호화 작업 요청을 처리할 수 있도록 권장합니다. 외부 키 관리자가 초당 1,800개의 요청을 처리할 수 없는 경우 [사용자 지정 키 스토어에서 KMS 키에 대한 요청 할당량](requests-per-second.md#rps-key-stores) 감소를 요청하는 것이 좋습니다. 외부 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 요청은 외부 키 스토어 프록시 또는 외부 키 관리자에 의해 처리되고 나중에 거부되는 대신 [제한 예외](throttling.md)와 함께 빠르게 실패합니다.
**차원 그룹 이름**: **XKS Proxy Latency Metrics**(XKS 프록시 지연 시간 지표)
| 차원 | 설명 |
| --- | --- |
| CustomKeyStoreId | 각 외부 키 스토어의 값입니다. |
| KmsOperation | XKS 프록시에 대한 요청을 생성한 각 AWS KMS API 작업의 값입니다. |
| XksOperation | 각 [외부 키 스토어 프록시 API 작업](keystore-external.md#concept-proxy-apis)의 값입니다. |
| KeySpec | 각 KMS 키 유형의 값입니다. 외부 키 스토어에서 KMS 키에 대해 지원되는 유일한 [키 사양](create-keys.md#key-spec)은 SYMMETRIC\$1DEFAULT입니다. |
외부 키 스토어와 외부 키 스토어의 KMS 키에 대한 지표를 기반으로 CloudWatch 경보를 생성할 수 있습니다. 지침은 [외부 키 저장소 모니터링](xks-monitoring.md) 단원을 참조하세요.
# 가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성
가져온 키 구성 요소의 만료일이 가까워지면 이를 알리는 CloudWatch 경보를 생성할 수 있습니다. 예를 들어 만료까지 남은 기간이 30일 미만인 경우 이 경보를 통해 알림을 받을 수 있습니다.
[키 구성 요소를 KMS 키로 가져올](importing-keys.md) 때 선택적으로 키 구성 요소의 만료 날짜 및 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면는 키 구성 요소를 AWS KMS 삭제하고 KMS 키를 사용할 수 없게 됩니다. KMS 키를 다시 사용하려면 [키 구성 요소를 다시 가져와야](importing-keys-import-key-material.md#reimport-key-material) 합니다. 그러나 만료되기 전에 키 구성 요소를 다시 가져오면 해당 KMS 키를 사용하는 프로세스가 중단되는 상황을 방지할 수 있습니다.
이 경보는 만료되는 가져온 키 구성 요소가 있는 KMS 키에 대해 CloudWatch에 AWS KMS 게시하는 [`SecondsUntilKeyMaterialExpires` 지표](monitoring-cloudwatch.md#key-material-expiration-metric)를 사용합니다. 각 경보는 이 지표를 사용하여 특정 KMS 키에 대해 가져온 키 구성 요소를 모니터링합니다. 만료되는 키 구성 요소가 있는 모든 KMS 키에 대해 단일 경보를 생성할 수 없으며 향후 생성할 수 있는 KMS 키에 대한 경보를 생성할 수는 없습니다.
**요구 사항**
가져온 키 구성 요소의 만료 여부를 모니터링하는 CloudWatch 경보에는 다음 리소스가 필요합니다.
+ 만료되는 가져온 키 구성 요소가 있는 KMS 키.
+ Amazon SNS 주제. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [Amazon SNS 주제 생성](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)을 참조하세요.
**경보 생성**
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **KMS**를 선택한 다음 **키별 지표**를 선택합니다. KMS 키가 있는 행과 `SecondsUntilKeyMaterialExpires` 지표를 선택합니다. 그런 다음 **지표 선택**을 선택합니다. **지표** 목록에는 만료되는 가져온 키 구성 요소가 있는 KMS 키에 대한 `SecondsUntilKeyMaterialExpires` 지표만 표시됩니다. 계정 및 리전에 이러한 속성을 가진 KMS 키가 없는 경우 이 목록은 비어 있습니다. |
| 통계 | 최소 |
| Period | 1분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | metric-name이 1 보다 클때마다 |
# 외부 키 저장소에 대한 CloudWatch 경보 생성
외부 키 저장소 지표를 기반으로 Amazon CloudWatch 경보를 생성하여 지표 값이 지정한 임계값을 초과할 때 알려줄 수 있습니다. 이 경보는 메시지를 [Amazon Simple Notification Service(Amazon SNS) 주제](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) 또는 [Amazon EC2 Auto Scaling 정책](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work)에 전송할 수 있습니다. CloudWatch 경보에 대한 자세한 내용은 **Amazon CloudWatch 사용 설명서의 [Amazon CloudWatch 경보 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)을 참조하세요.
Amazon CloudWatch 경보를 생성하기 전에 Amazon SNS 주제가 필요합니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [Amazon SNS 주제 생성](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)을 참조하세요.
**Topics**
+ [인증서 만료에 대한 경보 생성](#cert-expire-alarm)
+ [응답 제한 시간에 대한 경보 생성](#latency-alarm)
+ [재시도 가능한 오류에 대한 경보 생성](#retryable-errors-alarm)
+ [재시도 불가능한 오류에 대한 경보 생성](#nonretryable-errors-alarm)
## 인증서 만료에 대한 경보 생성
이 경보는 AWS KMS 가 CloudWatch에 게시하는 [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) 지표를 사용하여 외부 키 스토어 프록시 엔드포인트와 연결된 TLS 인증서의 예상 만료를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
인증서가 만료되기 10일 전에 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
**경보 생성**
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **KMS**를 선택한 다음 **XKS Proxy Certificate Metrics**(XKS 프록시 인증서 지표)를 선택합니다. 모니터링할 `XksProxyCertificateName` 옆의 확인란을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| 통계 | 최소 |
| Period | 5분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | XksProxyCertificateDaysToExpire가 10보다 Lower일 때마다 |
## 응답 제한 시간에 대한 경보 생성
이 경보는 CloudWatch에 AWS KMS 게시하는 지표를 사용하여 외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) 밀리초 수를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
AWS KMS 는 외부 키 스토어 프록시가 250밀리초 이내에 각 요청에 응답할 것으로 예상합니다. 외부 키 스토어 프록시가 응답하는 데 200밀리초 이상 걸리는 경우 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
**경보 생성**
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **KMS**를 선택한 다음 **XKS Proxy Latency Metrics**(XKS 프록시 지연 시간 지표)를 선택합니다. 모니터링할 `KmsOperation` 옆의 확인란을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| 통계 | 평균 |
| Period | 5분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | XksProxyLatency가 200보다 Greater일 때마다 |
## 재시도 가능한 오류에 대한 경보 생성
이 경보는 CloudWatch에 AWS KMS 게시하는 [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) 지표를 사용하여 외부 키 스토어 프록시에 대한 AWS KMS 요청과 관련된 예외 수를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
재시도할 수 있는 오류는 신뢰성(백분율)을 낮추고 네트워킹 오류를 나타낼 수 있습니다. 1분 동안 재시도할 수 있는 오류가 5개 이상 기록되면 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **쿼리(Query)** 탭을 선택합니다. **Namespace**(네임스페이스)에서 `AWS/KMS`를 선택합니다. **Metric name**(지표 이름)에 `SUM(XksProxyErrors)`을 입력합니다. **Filter by**(필터링 기준)에 `ErrorType = Retryable`을 입력합니다. **실행**을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| Label | 재시도할 수 있는 오류 |
| Period | 1분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | q1이 5보다 Greater일 때마다 |
## 재시도 불가능한 오류에 대한 경보 생성
이 경보는 CloudWatch에 AWS KMS 게시하는 [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) 지표를 사용하여 외부 키 스토어 프록시에 대한 AWS KMS 요청과 관련된 예외 수를 기록합니다. 계정의 모든 외부 키 스토어에 대한 단일 경보나 향후 생성할 수 있는 외부 키 스토어에 대한 경보를 생성할 수 없습니다.
재시도할 수 없는 오류는 외부 키 스토어 구성에 문제가 있음을 나타낼 수 있습니다. 1분 동안 재시도할 수 없는 오류가 5개 이상 기록되면 알리도록 경보를 설정하는 것이 좋지만 필요에 가장 맞는 임계값을 설정해야 합니다.
다음 필수 값을 사용하여 [정적 임계값을 기반으로 CloudWatch 경보 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)의 지침을 따르세요. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.
| Field | 값 |
| --- | --- |
| 지표 선택 | **쿼리(Query)** 탭을 선택합니다. **Namespace**(네임스페이스)에서 `AWS/KMS`를 선택합니다. **Metric name**(지표 이름)에 `SUM(XksProxyErrors)`을 입력합니다. **Filter by**(필터링 기준)에 `ErrorType = Non-retryable`을 입력합니다. **실행**을 선택합니다. 그런 다음 **지표 선택**을 선택합니다. |
| Label | 재시도할 수 없는 오류 |
| Period | 1분 |
| 임계값 유형 | 정적 |
| 다음과 같은 경우 항상 … | q1이 5보다 Greater일 때마다 |