Monitore as chaves KMS com a Amazon CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode monitorar seu AWS KMS keys uso da Amazon CloudWatch, um AWS serviço que coleta e processa dados brutos AWS KMS em métricas legíveis e quase em tempo real. Esses dados são registrados por um período de duas semanas, para que você possa acessar informações históricas e obter um melhor entendimento do uso das suas chaves do KMS e das suas alterações ao longo do tempo.

Você pode usar CloudWatch a Amazon para alertá-lo sobre eventos importantes, como os seguintes.

Você também pode criar um CloudWatch alarme da Amazon que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch no Blog de AWS Segurança.

AWS KMS métricas e dimensões

AWS KMS predefine CloudWatch as métricas da Amazon para facilitar o monitoramento de dados críticos e a criação de alarmes. Você pode visualizar as AWS KMS métricas usando a AWS Management Console e a CloudWatch API da Amazon.

Esta seção lista cada AWS KMS métrica e as dimensões de cada métrica e fornece algumas orientações básicas para criar CloudWatch alarmes com base nessas métricas e dimensões.

Você pode visualizar AWS KMS métricas usando a AWS Management Console e a CloudWatch API da Amazon. Para obter mais informações, consulte Visualizar métricas disponíveis no Guia do CloudWatch usuário da Amazon.

SecondsUntilKeyMaterialExpiration

O número de segundos restantes até que o material de chave importado em uma chave do KMS expire. Essa métrica só é válida para chaves do KMS com material de chave importado (uma origem de material de chave de EXTERNAL) e data de validade.

Use essa métrica para acompanhar o tempo restante até a expiração do material de chave importado. Quando esse tempo estiver abaixo de um limite definido, convém reimportar o material de chave com uma nova data de validade. A métrica SecondsUntilKeyMaterialExpiration é específica para uma chave do KMS. Você não pode usar essa métrica para monitorar várias chaves do KMS ou chaves do KMS que você possa vir a criar futuramente. Para obter ajuda na criação de um CloudWatch alarme para monitorar essa métrica, consulteCrie um CloudWatch alarme para expiração do material chave importado.

A estatística mais útil para essa métrica é Minimum, que informa o menor tempo restante para todos os pontos de dados no período estatístico especificado. A única unidade válida para essa métrica é Seconds.

Nome do grupo de dimensões: métricas por chave

Ao programar a exclusão de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. É possível usar o período de espera para garantir que não precisa mais da chave do KMS agora ou no futuro. Você também pode configurar um CloudWatch alarme para avisá-lo se uma pessoa ou aplicativo tentar usar a chave KMS em uma operação criptográfica durante o período de espera. Se você receber uma notificação de um alarme desse tipo, poderá cancelar a exclusão da chave do KMS.

Para obter instruções, consulte Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente.

Nuvem HSMKey StoreThrottle

O número de solicitações de operações criptográficas em chaves KMS em cada AWS CloudHSM armazenamento de chaves que acelera AWS KMS (responde com a). ThrottlingException Essa métrica se aplica somente às AWS CloudHSM principais lojas.

A CloudHSMKeyStoreThrottle métrica se aplica somente às chaves KMS em um armazenamento de AWS CloudHSM chaves e somente às solicitações de operações criptográficas. AWS KMS limita essas solicitações quando a taxa de solicitações excede a cota de solicitações de armazenamento de chaves personalizadas para seu AWS CloudHSM armazenamento de chaves. Essa métrica também inclui a limitação pelo AWS CloudHSM cluster.

Nome do grupo de dimensões: métrica de controle de utilização de armazenamento de chaves

ExternalKeyStoreThrottle

O número de solicitações de operações criptográficas em chaves KMS em cada armazenamento de chaves externo que acelera AWS KMS (responde com a). ThrottlingException Essa métrica se aplica apenas aos armazenamentos de chaves externas.

A ExternalKeyStoreThrottle métrica se aplica somente às chaves KMS em um armazenamento de chaves externo e somente às solicitações de operações criptográficas. AWS KMS limita essas solicitações quando a taxa de solicitação excede a cota de solicitações de armazenamento de chaves personalizadas para seu armazenamento de chaves externo. Essa métrica não inclui o controle de utilização por seu proxy de armazenamento de chaves externas ou gerenciador de chaves externas.

Use essa métrica para revisar e ajustar o valor da sua cota de solicitação de armazenamento de chaves personalizadas. Se essa métrica indicar que AWS KMS está frequentemente limitando suas solicitações dessas chaves KMS, considere solicitar um aumento no valor da cota de solicitação do armazenamento de chaves personalizadas. Para obter ajuda, consulte Requesting a quota increase (Solicitar um aumento de cota) no Guia do usuário do Service Quotas.

Se você estiver recebendo erros KMSInvalidStateException com muita frequência com uma mensagem que explica que a solicitação foi rejeitada “due to a very high request rate” (devido a uma taxa de solicitação muito alta) ou que a solicitação foi rejeitada “because the external key store proxy did not respond in time” (porque o proxy de armazenamento de chaves externas não respondeu a tempo), isso pode indicar que o gerenciador de chaves externas ou o proxy de armazenamento de chaves externas não consegue acompanhar a taxa de solicitação atual. Se possível, reduza a taxa de solicitação. Considere também solicitar uma redução no valor da cota de solicitação de armazenamento de chaves personalizado. Diminuir esse valor da cota pode aumentar a limitação (e o valor da ExternalKeyStoreThrottle métrica), mas indica que AWS KMS está rejeitando solicitações em excesso rapidamente antes de serem enviadas ao proxy externo do armazenamento de chaves ou ao gerenciador de chaves externo. Para solicitar uma redução de cota, acesse o AWS Support Center e crie um caso.

Nome do grupo de dimensões: métrica de controle de utilização de armazenamento de chaves

XksProxyCertificateDaysToExpire

O número de dias até o certificado TLS do endpoint do proxy de armazenamento de chaves externas (XksProxyUriEndpoint) expirar. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Use essa métrica para criar um CloudWatch alarme que o notifique sobre a próxima expiração do seu certificado TLS. Quando o certificado expira, AWS KMS não é possível se comunicar com o proxy externo do armazenamento de chaves. Todos os dados protegidos por chaves do KMS em seu armazenamento de chaves externas ficarão inacessíveis até você renovar o certificado.

Um alarme do certificado evita que a expiração do certificado impeça você de acessar os recursos criptografados. Defina o alarme para dar tempo para a sua organização renovar o certificado antes que ele expire.

Nome do grupo de dimensões: métricas de certificado do proxy XKS

Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksProxyCredentialAge

O número de dias desde que a credencial de autenticação do proxy (XksProxyAuthenticationCredential) atual do armazenamento de chaves externas foi associada ao armazenamento de chaves externas. Essa contagem começa quando você insere a credencial de autenticação como parte da criação ou atualização do armazenamento de chaves externas. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Esse valor foi criado para lembrar você sobre a idade da credencial de autenticação. No entanto, como começamos a contagem quando você associa a credencial ao armazenamento de chaves externas, não quando você cria sua credencial de autenticação em seu proxy de armazenamento de chaves externas, isso pode não ser um indicador preciso da idade da credencial no proxy.

Use essa métrica para criar um CloudWatch alarme que lembre você de alternar sua credencial de autenticação de proxy do armazenamento de chaves externo.

Nome do grupo de dimensões: métricas por armazenamento de chaves

Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksProxyErrors

O número de exceções relacionadas às AWS KMS solicitações ao proxy externo do armazenamento de chaves. Essa contagem inclui exceções às quais o proxy externo do armazenamento de chaves retorna AWS KMS e erros de tempo limite que ocorrem quando o proxy do armazenamento de chaves externo não responde AWS KMS dentro do intervalo de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Use essa métrica para rastrear a taxa de erro das chaves do KMS no armazenamento de chaves externas. Ela revela os erros mais frequentes para que você possa priorizar seus esforços de engenharia. Por exemplo, chaves do KMS que estão gerando altas taxas de erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Para visualizar a configuração do armazenamento de chaves externas, consulte Visualizar repositórios de chaves externos. Para editar suas configurações de armazenamento de chaves externas, consulte Editar propriedades do repositório de chaves externo.

Nome do grupo de dimensões: métricas de erro do proxy XKS

Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksExternalKeyManagerStates

Uma contagem do número de instâncias do gerenciador de chaves externas em cada um dos seguintes estados de integridade: Active, Degraded e Unavailable. As informações dessa métrica vêm do proxy de armazenamento de chaves externas associado a cada armazenamento de chaves externas. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Veja a seguir os estados de integridade das instâncias externas do gerenciador de chaves associadas a um armazenamento de chaves externas. Cada proxy de armazenamento de chaves externas pode usar indicadores diferentes para medir o estado de integridade do gerenciador de chaves externas. Para obter detalhes, consulte a documentação do proxy de armazenamento de chaves externas.

Use essa métrica para criar um CloudWatch alarme que alerta você sobre instâncias do gerenciador de chaves externo degradadas e indisponíveis. Para determinar quais instâncias externas do gerenciador de chaves estão em cada estado, consulte seus logs de proxy do armazenamento de chaves externas.

Nome do grupo de dimensões: métrica do gerenciados de chaves externas XKS

Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para obter instruções, consulte Monitorar repositórios de chaves externos.

XksProxyLatency

O número de milissegundos necessários para que um proxy de armazenamento de chaves externas responda a uma solicitação do AWS KMS . Se a solicitação atingiu o tempo limite, o valor registrado é o limite de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos armazenamentos de chaves externas.

Use essas métrica para avaliar a performance do proxy de armazenamento de chaves externas e do gerenciador de chaves externas. Por exemplo, se o proxy estiver frequentemente atingindo o tempo limite nas operações de criptografia e descriptografia, consulte o administrador do proxy externo.

Respostas lentas também podem indicar que seu gerenciador de chaves externo não consegue lidar com o tráfego de solicitações atual. AWS KMS recomenda que seu gerenciador de chaves externo seja capaz de lidar com até 1800 solicitações de operações criptográficas por segundo. Se o gerenciador de chaves externas não conseguir lidar com a taxa de 1800 solicitações por segundo, considere solicitar uma redução na cota de solicitações de chaves do KMS em um armazenamento de chaves personalizado. As solicitações de operações de criptografia que usam as chaves do KMS em seu armazenamento de chaves externas se anteciparão à falha com uma exceção de controle de utilização, em vez de serem processadas e posteriormente rejeitadas pelo proxy de armazenamento de chaves externas ou pelo gerenciador de chaves externas.

Nome do grupo de dimensões: métricas de latência do proxy XKS

Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para obter instruções, consulte Monitorar repositórios de chaves externos.