기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS KMS keys 모니터링
모니터링은 AWS KMS에서 AWS KMS keys의 가용성, 상태, 사용량을 이해하고 AWS 솔루션의 안정성, 가용성 및 성능을 유지하는 데 있어서 중요한 부분입니다. AWS 솔루션의 모든 부분으로부터 모니터링 데이터를 수집하면 다중 지점 실패가 발생할 경우 디버깅하는 데 도움을 줍니다. 하지만 KMS 키 모니터링을 시작하기 전에 다음 질문에 대한 답변을 포함하는 모니터링 계획을 작성하십시오.
-
모니터링의 목표
-
모니터링할 리소스
-
이러한 리소스를 모니터링하는 빈도
-
사용할 모니터링 도구
-
모니터링 작업을 수행할 사람
-
문제 발생 시 알려야 할 대상
다음 단계는 시간 경과에 따라 KMS 키를 모니터링하여 현재 환경에서 통상적인 AWS KMS 사용량과 기대치의 기준선을 설정하는 것입니다. KMS 키를 모니터링하면서 모니터링 데이터 기록을 저장합니다. 그러면 현재 데이터를 이 과거 데이터와 비교하여 일반적인 패턴과 이상을 식별하고 이를 해결할 방법을 모색할 수 있습니다.
예를 들어 KMS 키에 영향을 주는 AWS KMS API 활동과 이벤트를 모니터링할 수 있습니다. 데이터가 정해진 기준을 초과하거나 미달하는 경우, 조사를 실시하거나 시정 조치를 취해야 할 수 있습니다.
정상 패턴의 기준선을 설정하려면 다음 항목을 모니터링합니다.
-
데이터 영역 작업에 대한 AWS KMS API 활동. 이는 Decrypt, Encrypt, ReEncrypt, GenerateDataKey 등 KMS 키를 사용하는 암호화 작업입니다.
-
사용자에게 중요한 제어 영역 작업을 위한 AWS KMS API 활동. 이러한 작업은 KMS 키를 관리합니다. 사용자는 KMS 키의 가용성을 변경하는 항목들(예: ScheduleKeyDeletion, CancelKeyDeletion, DisableKey, EnableKey, ImportKeyMaterial, DeleteImportedKeyMaterial)이나 KMS 키의 액세스 컨트롤을 변경하는 항목들(예: PutKeyPolicy 및 RevokeGrant)을 모니터링하고 싶을 수 있습니다.
-
기타 AWS KMS 지표(가져온 키 구성 요소가 만료될 때까지 남은 시간 등)와 이벤트(가져온 키 구성 요소의 만료 또는 KMS 키의 키 교체 또는 삭제).
모니터링 도구
AWS는 KMS 키를 모니터링하는 데 사용할 수 있는 다양한 도구를 제공합니다. 이들 도구 중에는 모니터링을 자동으로 수행하도록 구성할 수 있는 도구도 있지만, 수동 작업이 필요한 도구도 있습니다. 모니터링 작업은 최대한 자동화하는 것이 좋습니다.
자동 모니터링 도구
다음과 같은 자동 모니터링 도구를 사용하여 KMS 키를 관찰하고 변경 사항 발생 시 보고할 수 있습니다.
-
AWS CloudTrail Log Monitoring – 계정 간에 로그 파일을 공유하고, CloudTrail 로그 파일을 CloudWatch Logs에 전송하여 실시간으로 모니터링하며, CloudTrail Processing Library에서 로그 처리 애플리케이션을 작성하고, CloudTrail에서 전송한 후 로그 파일이 변경되지 않았는지 확인합니다. 자세한 내용은 AWS CloudTrail 사용 설명서의 CloudTrail 로그 파일 작업을 참조하세요.
-
Amazon CloudWatch 경보 – 지정한 기간 동안 단일 지표를 감시하고, 여러 기간에 대해 지정된 임계값과 관련하여 지표 값을 기준으로 하나 이상의 작업을 수행합니다. 이 작업은 Amazon Simple Notification Service(Amazon SNS) 주제 또는 Amazon EC2 Auto Scaling 정책에 전송되는 알림입니다. CloudWatch 경보는 특정 상태에 있다는 이유만으로는 작업을 호출하지 않습니다. 상태가 변경되고 지정한 기간 동안 유지되어야 합니다. 자세한 내용은 Amazon CloudWatch를 사용하여 KMS 키 모니터링 단원을 참조하십시오.
-
Amazon EventBridge – 이벤트를 일치시키고 하나 이상의 대상 함수 또는 스트림으로 라우팅하여 상태 정보를 캡처하거나 필요한 경우 변경 또는 수정 작업을 수행합니다. 자세한 내용은 Amazon EventBridge를 사용하여 KMS 키 모니터링 및 Amazon EventBridge 사용 설명서를 참조하세요.
-
Amazon CloudWatch Logs – AWS CloudTrail 또는 기타 소스의 로그 파일을 모니터링, 저장 및 액세스합니다. 자세한 내용은 Amazon CloudWatch Logs 사용 설명서를 참조하십시오.
수동 모니터링 도구
KMS 키 모니터링의 또 한 가지 중요한 부분은 CloudWatch 경보 및 이벤트에 포함되지 않는 항목을 수동으로 모니터링해야 한다는 점입니다. AWS KMS, CloudWatch, AWS Trusted Advisor 및 기타 AWS 대시보드에서는 AWS 환경의 상태를 한눈에 볼 수 있습니다.
AWS KMS 콘솔
-
키 ID
-
상태 표시기
-
생성 날짜
-
만료 날짜(가져온 키 구성 요소가 있는 KMS 키의 경우)
-
출처(Origin)
-
사용자 지정 키 스토어 ID(사용자 지정 키 스토어에 있는 KMS 키의 경우)
CloudWatch 콘솔 대시보드
-
현재 경보 및 상태
-
경보 및 리소스 그래프
-
서비스 상태
또한 CloudWatch를 사용하여 다음을 수행할 수 있습니다.
-
맞춤 대시보드를 생성하여 관심 있는 서비스 모니터링
-
지표 데이터를 그래프로 작성하여 문제를 해결하고 추세 파악
-
모든 AWS 리소스 지표 검색 및 찾아보기
-
문제에 대해 알려주는 경보 생성 및 편집
AWS Trusted Advisor 사용을 통해 AWS 리소스를 모니터링함으로써 성능, 안정성, 보안 및 경제성을 향상할 수 있습니다. 모든 사용자에 대해 4가지 Trusted Advisor 검사를 수행할 수 있고, 비즈니스 또는 엔터프라이즈 지원 플랜에 따라 사용자에 대해 50개 이상의 검사를 수행할 수 있습니다. 자세한 정보는 AWS Trusted Advisor