기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

외부 키 저장소 모니터링

AWS KMS는 외부 키 스토어와의 각 상호 작용에 대한 지표를 수집하여 CloudWatch 계정에 게시합니다. 이러한 지표는 각 외부 키 스토어에 대한 세부 정보 페이지의 모니터링 섹션에서 그래프를 생성하는 데 사용됩니다. 다음 주제에서는 그래프를 사용하여 외부 키 스토어에 영향을 미치는 운영 및 구성 문제를 식별하고 해결하는 방법을 자세히 설명합니다. CloudWatch 지표를 사용하여 외부 키 스토어가 예상대로 작동하지 않을 때 알려주는 경보를 설정하는 것이 좋습니다. 자세한 내용은 Amazon CloudWatch를 사용한 모니터링을 참조하세요.

그래프 보기

다양한 수준의 세부 정보에서 그래프를 볼 수 있습니다. 기본적으로 각 그래프는 3시간의 시간 범위와 5분의 집계 기간을 사용합니다. 콘솔 내에서 그래프 보기를 조정할 수 있지만 외부 키 스토어 세부 정보 페이지를 닫거나 브라우저를 새로 고치면 변경 사항이 기본 설정으로 되돌아갑니다. Amazon CloudWatch 용어에 대한 도움말은 Amazon CloudWatch 개념을 참조하세요.

데이터 포인트 세부 정보 보기

각 그래프의 데이터는 AWS KMS 지표에 의해 수집됩니다. 특정 데이터 포인트에 대한 자세한 정보를 보려면 선 그래프의 데이터 포인트 위에 마우스를 놓습니다. 그러면 그래프가 파생된 지표에 대한 자세한 정보가 포함된 팝업이 표시됩니다. 각 목록 항목은 해당 데이터 포인트에 기록된 차원 값을 표시합니다. 해당 데이터 포인트의 차원 값에 사용할 수 있는 지표 데이터가 없는 경우 팝업에 null 값(–)이 표시됩니다. 일부 그래프는 단일 데이터 포인트에 대해 여러 차원과 값을 기록합니다. 신뢰성 그래프 등의 다른 그래프는 지표에서 수집한 데이터를 사용하여 고유한 값을 계산합니다. 각 목록 항목은 서로 다른 선 그래프 색과 연결됩니다.

시간 범위 수정

시간 범위를 수정하려면 모니터링 섹션의 오른쪽 상단에서 미리 정의된 시간 범위 중 하나를 선택합니다. 미리 정의된 시간 범위는 1시간~1주(1h(1시간), 3h(3시간), 12h(12시간), 1d(1일), 3d(3일) 또는 1w(1주))입니다. 이렇게 하면 모든 그래프의 시간 범위가 조정됩니다. 하나의 특정 그래프를 다른 시간 범위에서 보거나 사용자 지정 시간 범위를 설정하려면 그래프를 확대하거나 Amazon CloudWatch 콘솔에서 봅니다.

그래프 확대

미니 맵 확대/축소 기능을 사용하여 확대/축소 보기를 변경하지 않고도 선 그래프와 그래프의 누적된 부분의 섹션에 초점을 맞출 수 있습니다. 예를 들어, 미니 맵 확대/축소 기능을 사용하여 선 그래프의 최고점에 초점을 맞출 수 있으므로 동일한 타임라인에서 모니터링 섹션의 다른 그래프와 스파이크를 비교할 수 있습니다.

그래프 확대

그래프를 확대하려면 개별 그래프의 오른쪽 상단에서 메뉴 아이콘을 선택하고 Enlarge(확대)를 선택합니다. 그래프 위로 마우스를 가져갈 때 메뉴 아이콘 옆에 나타나는 확대 아이콘을 선택할 수도 있습니다.

그래프를 확대하면 다른 기간, 사용자 지정 시간 범위 또는 새로 고침 간격을 지정하여 그래프 보기를 추가로 수정할 수 있습니다. 이러한 변경 사항은 확대 보기를 닫을 때 기본 설정으로 되돌아갑니다.

Amazon CloudWatch 콘솔에서 그래프 보기

모니터링 섹션의 그래프는 AWS KMS가 Amazon CloudWatch에 게시하는 사전 정의된 지표에서 파생됩니다. CloudWatch 콘솔에서 그래프를 열고 CloudWatch 대시보드에 저장할 수 있습니다. 외부 키 스토어가 여러 개 있는 경우 CloudWatch에서 해당 그래프를 열고 단일 대시보드에 저장하여 상태와 사용량을 비교할 수 있습니다.

CloudWatch 대시보드에 추가

오른쪽 상단에서 Add to dashboard(대시보드에 추가)를 선택하여 모든 그래프를 Amazon CloudWatch 대시보드에 추가합니다. 기존 대시보드를 선택하거나 새로 생성할 수 있습니다. 이 대시보드를 사용하여 그래프와 경보의 사용자 지정 보기를 생성하는 방법에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서의 Amazon CloudWatch 대시보드 사용을 참조하세요.

CloudWatch에서 지표 보기

개별 그래프의 오른쪽 상단에 있는 메뉴 아이콘을 선택하고 View in metrics(지표에서 보기)를 선택하여 Amazon CloudWatch 콘솔에서 이 그래프를 봅니다. CloudWatch 콘솔에서 이 단일 그래프를 대시보드에 추가하고 시간 범위, 기간 및 새로 고침 간격을 수정할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 지표 그래프 작성을 참조하세요.

그래프 해석

AWS KMS는 AWS KMS 콘솔 내에서 외부 키 스토어의 상태를 모니터링할 수 있는 여러 그래프를 제공합니다. 이러한 그래프는 자동으로 구성되고 AWS KMS 지표에서 파생됩니다.

그래프 데이터는 외부 키 스토어와 외부 키에 대한 호출의 일부로 수집됩니다. 호출하지 않은 시간 범위 동안 그래프를 채우는 데이터가 표시될 수 있으며, 이 데이터는 AWS KMS가 외부 키 스토어 프록시 및 외부 키 관리자의 상태를 확인하기 위해 사용자를 대신하여 수행하는 주기적 GetHealthStatus 호출에서 가져옵니다. 그래프에 No data available(사용 가능한 데이터 없음) 메시지가 표시되면 해당 시간 범위 동안 호출이 기록되지 않았거나 외부 키 스토어가 DISCONNECTED 상태입니다. 더 넓은 시간 범위로 보기를 조정하여 외부 키 스토어가 연결 해제된 시간을 식별할 수 있습니다.

전체 요청

지정된 시간 범위 동안 특정 외부 키 스토어에 대해 수신된 총 AWS KMS 요청 수입니다. 이 그래프를 사용하여 제한이 발생할 위험이 있는지 확인합니다.

AWS KMS의 권장 사항에 따르면 외부 키 관리자가 초당 최대 1,800개의 암호화 작업 요청을 처리할 수 있어야 합니다. 5분 동안 호출이 540,000건에 가까워지면 제한이 발생할 위험이 있습니다.

AWS KMS가 ExternalKeyStoreThrottle 지표로 제한하는 외부 키 스토어의 KMS 키에 대한 암호화 작업 요청 수를 모니터링할 수 있습니다.

'매우 높은 요청 빈도로 인해' 요청이 거부되었음을 설명하는 메시지와 함께 KMSInvalidStateException 오류가 매우 자주 발생하는 경우 외부 키 관리자 또는 외부 키 스토어 프록시가 현재 요청 빈도를 따라갈 수 없는 것일 수 있습니다. 가능하면 요청 빈도를 낮춥니다. 사용자 지정 키 스토어 요청 할당량 값의 감소를 요청하는 것도 고려할 수 있습니다. 이 할당량 값 감소는 제한을 늘릴 수 있지만 이는 AWS KMS가 초과 요청이 외부 키 스토어 프록시 또는 외부 키 관리자로 전송되기 전에 해당 요청을 신속하게 거부하고 있음을 나타냅니다. 할당량 감소를 요청하기 위해서는 AWS Support 센터를 방문하여 케이스를 생성하세요.

총 요청 그래프는 AWS KMS가 외부 키 스토어 프록시에서 수신하는 성공 및 실패 응답 모두에 대한 데이터를 수집하는 XksProxyErrors 지표에서 파생됩니다. 특정 데이터 포인트를 볼 때 팝업에는 해당 데이터 포인트에 기록된 총 AWS KMS 요청 수와 함께 CustomKeyStoreId 차원의 값이 표시됩니다. CustomKeyStoreId는 항상 같습니다.

신뢰성

외부 키 스토어 프록시가 성공적인 응답 또는 재시도할 수 없는 오류를 반환한 AWS KMS 요청의 비율입니다. 이 그래프를 사용하여 외부 키 스토어 프록시의 운영 상태를 평가합니다.

그래프에 100% 미만의 값이 표시되면 프록시가 응답하지 않았거나 재시도할 수 있는 오류로 응답한 것입니다. 이는 네트워크 문제, 외부 키 스토어 프록시 또는 외부 키 관리자의 속도 저하 또는 구현 버그를 나타낼 수 있습니다.

요청에 잘못된 자격 증명이 포함되어 있고 프록시가 AuthenticationFailedException으로 응답하는 경우 프록시가 외부 키 스토어 프록시 API 요청에서 잘못된 값을 식별하여 실패가 예상되기 때문에 그래프는 여전히 100% 신뢰성을 나타냅니다. 신뢰성 그래프의 백분율이 100%이면 외부 키 스토어 프록시가 예상대로 응답하고 있는 것입니다. 그래프에 100% 미만의 값이 표시되면 프록시가 재시도할 수 있는 오류로 응답했거나 시간이 초과된 것입니다. 예를 들어 프록시가 매우 높은 요청 빈도로 인해 ThrottlingException으로 응답하는 경우 프록시가 실패를 유발한 요청의 특정 문제를 식별할 수 없기 때문에 그래프에 낮은 신뢰성(백분율)이 표시됩니다. 이는 재시도할 수 있는 오류는 요청을 재시도하여 해결할 수 있는 일시적인 문제일 가능성이 높기 때문입니다.

다음 오류 응답은 신뢰성(백분율)을 낮춥니다. 상위 5개 예외 그래프와 XksProxyErrors 지표를 사용하여 프록시가 각 재시도할 수 있는 오류를 반환하는 빈도를 추가로 모니터링할 수 있습니다.

신뢰성 그래프는 AWS KMS가 외부 키 스토어 프록시에서 수신하는 성공 및 실패 응답 모두에 대한 데이터를 수집하는 XksProxyErrors 지표에서 파생됩니다. 응답의 ErrorType 값이 Retryable인 경우에만 신뢰성(백분율)이 낮아집니다. 특정 데이터 포인트를 볼 때 팝업에는 해당 데이터 포인트에 기록된 AWS KMS 요청의 신뢰성(백분율)과 함께 CustomKeyStoreId 차원의 값이 표시됩니다. CustomKeyStoreId는 항상 같습니다.

XksProxyErrors 지표를 사용하여 1분 동안 재시도할 수 있는 오류가 5개 이상 기록되면 알림을 통해 잠재적인 네트워킹 문제를 통지하는 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 내용은 재시도 가능한 오류에 대한 경보 생성 단원을 참조하십시오.

지연 시간

외부 키 스토어 프록시가 AWS KMS 요청에 응답하는 데 걸리는 시간(밀리초)입니다. 이 그래프를 사용하여 외부 키 스토어 프록시와 외부 키 관리자의 성능을 평가합니다.

AWS KMS는 외부 키 스토어 프록시가 250밀리초 이내에 각 요청에 응답할 것으로 예상합니다. 네트워크 시간 초과 시 AWS KMS는 요청을 한 번 재시도합니다. 프록시가 두 번째로 실패하는 경우 기록된 지연 시간은 두 요청 시도에 대한 제한 시간을 합산한 값이며 그래프에는 약 500밀리초가 표시됩니다. 프록시가 250밀리초 제한 시간 내에 응답하지 않는 다른 모든 경우에 기록된 지연 시간은 250밀리초입니다. 프록시의 암호화 및 복호화 작업 시간이 자주 초과되는 경우 외부 프록시 관리자에게 문의하세요. 지연 시간 문제를 해결하는 방법에 대한 도움말은 지연 시간 및 제한 시간 오류 섹션을 참조하세요.

응답이 느리면 외부 키 관리자가 현재 요청 트래픽을 처리할 수 없는 것일 수 있습니다. AWS KMS의 권장 사항에 따르면 외부 키 관리자가 초당 최대 1,800개의 암호화 작업 요청을 처리할 수 있어야 합니다. 외부 키 관리자가 초당 1,800개의 요청을 처리할 수 없는 경우 사용자 지정 키 스토어에서 KMS 키에 대한 요청 할당량 감소를 요청하는 것이 좋습니다. 외부 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 요청은 외부 키 스토어 프록시 또는 외부 키 관리자에 의해 처리되고 나중에 거부되는 대신 제한 예외와 함께 빠르게 실패합니다.

지연 시간 그래프는 XksProxyLatency 지표에서 파생됩니다. 특정 데이터 포인트를 볼 때 팝업에는 해당 데이터 포인트의 작업에 대해 기록된 평균 지연 시간과 함께 해당 KmsOperation 및 XksOperation 차원 값이 표시됩니다. 목록 항목은 지연 시간이 가장 긴 것부터 가장 짧은 것 순으로 정렬됩니다.

XksProxyLatency 지표를 사용하여 지연 시간이 제한 시간에 도달하면 알려주는 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 내용은 응답 제한 시간에 대한 경보 생성 단원을 참조하십시오.

상위 5개 예외

지정된 시간 범위 동안 실패한 암호화 및 관리 작업에 대한 상위 5개 예외입니다. 이 그래프를 사용하여 가장 자주 발생하는 오류를 추적하면 엔지니어링 작업의 우선순위를 정할 수 있습니다.

이 수에는 AWS KMS가 외부 키 스토어 프록시에서 수신한 예외와 외부 키 스토어 프록시와의 통신을 설정할 수 없을 때 AWS KMS가 내부적으로 반환하는 XksProxyUnreachableException이 포함됩니다.

재시도할 수 있는 오류의 비율이 높으면 네트워킹 오류가 발생한 것일 수 있고, 재시도할 수 없는 오류의 비율이 높으면 외부 키 스토어 구성에 문제가 있는 것일 수 있습니다. 예를 들어 AuthenticationFailedExceptions의 급증은 AWS KMS에 구성된 인증 자격 증명과 외부 키 스토어 프록시 간의 불일치를 나타냅니다. 외부 키 스토어 구성을 보려면 외부 키 저장소 보기 섹션을 참조하세요. 외부 키 스토어 설정을 편집하려면 외부 키 저장소 속성 편집 섹션을 참조하세요.

외부 키 스토어 프록시에서 AWS KMS가 수신하는 예외는 작업 실패 시 AWS KMS에서 반환하는 예외와 다릅니다. AWS KMS 암호화 작업은 외부 키 스토어의 외부 구성 또는 연결 상태와 관련된 모든 실패에 대해 KMSInvalidStateException을 반환합니다. 문제를 식별하려면 함께 제공되는 오류 메시지 텍스트를 사용합니다.

다음 표는 상위 5개 예외 그래프에 나타날 수 있는 예외와 AWS KMS가 사용자에게 반환하는 해당 예외를 보여줍니다.

상위 5개 예외 그래프는 XksProxyErrors 지표에서 파생됩니다. 특정 데이터 포인트를 볼 때 팝업에는 해당 데이터 포인트에서 예외가 기록된 횟수와 함께 ExceptionName 차원의 값이 표시됩니다. 5개의 목록 항목은 가장 빈번한 예외에서 가장 덜 빈번한 예외 순으로 정렬됩니다.

XksProxyErrors 지표를 사용하여 1분 동안 재시도할 수 없는 오류가 5개 이상 기록되면 알림을 통해 잠재적인 구성 문제를 통지하는 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 내용은 재시도 불가능한 오류에 대한 경보 생성 단원을 참조하십시오.

인증서 만료 날짜

외부 키 스토어 프록시 엔드포인트(XksProxyUriEndpoint)에 대한 TLS 인증서가 만료될 때까지의 일수입니다. 이 그래프를 사용하여 TLS 인증서의 예정된 만료를 모니터링합니다.

인증서가 만료되면 AWS KMS는 외부 키 스토어 프록시와 통신할 수 없습니다. 외부 키 스토어의 KMS 키로 보호되는 모든 데이터는 인증서를 갱신할 때까지 액세스할 수 없습니다.

인증서 만료 날짜 그래프는 XksProxyCertificateDaysToExpire 지표에서 파생됩니다. 예정된 만료를 알리는 CloudWatch 경보를 생성하려면 이 지표를 사용하는 것이 좋습니다. 인증서 만료로 인해 암호화된 리소스에 액세스하지 못할 수 있습니다. 인증서가 만료되기 전에 인증서를 갱신할 시간을 조직에 제공하도록 경보를 설정합니다. 자세한 내용은 인증서 만료에 대한 경보 생성 단원을 참조하십시오.