As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitore as chaves KMS com a Amazon CloudWatch
Você pode monitorar seu AWS KMS keys uso [da Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/), um AWS serviço que coleta e processa dados brutos AWS KMS em métricas legíveis e quase em tempo real. Esses dados são registrados por um período de duas semanas, para que você possa acessar informações históricas e obter um melhor entendimento do uso das suas chaves do KMS e das suas alterações ao longo do tempo.
Você pode usar CloudWatch a Amazon para alertá-lo sobre eventos importantes, como os seguintes.
+ O material da chave importada em uma chave do KMS está próximo da data de validade.
+ Uma chave do KMS com exclusão pendente ainda está sendo usada.
+ O material de chave em uma chave do KMS foi alternado automaticamente.
+ Uma chave do KMS foi excluída.
Você também pode criar um CloudWatch alarme [da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) que o alerta quando sua taxa de solicitação atingir uma determinada porcentagem do valor da cota. Para obter detalhes, consulte [Gerenciar suas taxas de solicitação de AWS KMS API usando Service Quotas e Amazon CloudWatch](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/) no Blog de *AWS Segurança*.
## AWS KMS métricas e dimensões
AWS KMS predefine CloudWatch as métricas da Amazon para facilitar o monitoramento de dados críticos e a criação de alarmes. Você pode visualizar as AWS KMS métricas usando a Console de gerenciamento da AWS e a CloudWatch API da Amazon.
Esta seção lista cada AWS KMS métrica e as dimensões de cada métrica e fornece algumas orientações básicas para criar CloudWatch alarmes com base nessas métricas e dimensões.
**nota**
**Nome do grupo de dimensões**:
Para visualizar uma métrica no CloudWatch console da Amazon, na seção **Métricas**, selecione o nome do grupo de dimensões. Em seguida, é possível filtrar pelo **nome da métrica**. O tópico inclui o nome da métrica e o nome do grupo de dimensões para cada métrica do AWS KMS .
Você pode visualizar AWS KMS métricas usando a Console de gerenciamento da AWS e a CloudWatch API da Amazon. Para obter mais informações, consulte [Visualizar métricas disponíveis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html) no *Guia do CloudWatch usuário da Amazon*.
**Topics**
+ [
### SuccessfulRequest
](#key-level-api-usage-metric)
+ [
### SecondsUntilKeyMaterialExpiration
](#key-material-expiration-metric)
+ [
### Nuvem HSMKey StoreThrottle
](#metric-throttling-cloudhsm)
+ [
### ExternalKeyStoreThrottle
](#metric-throttling)
+ [
### XksProxyCertificateDaysToExpire
](#metric-xks-proxy-certificate-days-to-expire)
+ [
### XksProxyCredentialAge
](#metric-xks-proxy-credential-age)
+ [
### XksProxyErrors
](#metric-xks-proxy-errors)
+ [
### XksExternalKeyManagerStates
](#metric-xks-ekm-states)
+ [
### XksProxyLatency
](#metric-xks-proxy-latency)
### SuccessfulRequest
O número de solicitações de operações criptográficas bem-sucedidas em uma determinada chave do KMS. Ao usar a `SuccessfulRequest` métrica, você pode aplicar a filtragem em nível de chave ao uso AWS KMS da API em. CloudWatch A estatística `Sum` para essa métrica define o número total de solicitações bem-sucedidas durante o período.
Use essa métrica para identificar quais chaves do KMS consomem a maior parte da sua cota de solicitações ou contribuem mais para os custos de API. Você também pode criar um CloudWatch alarme com base na `SuccesfulRequest` métrica para notificá-lo sobre padrões anômalos de uso AWS KMS da API. Esses alertas podem ajudar a identificar fluxos de trabalho ineficientes que podem exceder inadvertidamente suas cotas de solicitações ou incorrer em custos inesperados.
**Dimensões para `SuccessfulRequest`**
| Dimensão | Description |
| --- | --- |
| KeyArn | Valor para cada chave do KMS. |
| Operation | Valor para cada operação de AWS KMS API. Essa métrica se aplica somente a operações criptográficas. |
Para [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)operações, a `SuccessfulRequest` métrica inclui dimensões para as chaves KMS de origem e de destino.
| Dimensão | Description |
| --- | --- |
| SourceKeyArn | Valor da chave do KMS que descriptografou o texto cifrado. |
| DestinationKeyArn | Valor da chave do KMS que recriptografou os dados. |
| Operation | Valor para cada operação de AWS KMS API, nesse caso, ReEncrypt. |
### SecondsUntilKeyMaterialExpiration
O número de segundos restantes até a primeira data de expiração de [material de chave importado](importing-keys.md) em uma chave do KMS. Essa métrica só é válida para chaves do KMS com material de chave importado (uma [origem de material de chave](create-keys.md#key-origin) de `EXTERNAL`) e data de validade.
Use essa métrica para acompanhar o tempo restante até a primeira data de expiração de material de chave importada. Quando esse tempo for menos que um limite que você define, reimporte o material de chave com uma nova data de expiração para manter uma chave do KMS utilizável. A métrica `SecondsUntilKeyMaterialExpiration` é específica para uma chave do KMS. Você não pode usar essa métrica para monitorar várias chaves do KMS ou chaves do KMS que você possa vir a criar futuramente. Para obter ajuda na criação de um CloudWatch alarme para monitorar essa métrica, consulte[Crie um CloudWatch alarme para expiração do material chave importado](imported-key-material-expiration-alarm.md).
A estatística mais útil para essa métrica é `Minimum`, que informa o menor tempo restante para todos os pontos de dados no período estatístico especificado. A única unidade válida para essa métrica é `Seconds`.
**Nome do grupo de dimensões**: **métricas por chave**
**Dimensões do `SecondsUntilKeyMaterialExpiration`**
| Dimensão | Descrição; relacionado a AWS |
| --- | --- |
| KeyId | Valor para cada chave do KMS. |
Ao [programar a exclusão](deleting-keys.md) de uma chave do KMS, o AWS KMS impõe um período de espera antes de excluir a chave do KMS. É possível usar o período de espera para garantir que não precisa mais da chave do KMS agora ou no futuro. Você também pode configurar um CloudWatch alarme para avisá-lo se uma pessoa ou aplicativo tentar usar a chave KMS em uma [operação criptográfica](kms-cryptography.md#cryptographic-operations) durante o período de espera. Se você receber uma notificação de um alarme desse tipo, poderá cancelar a exclusão da chave do KMS.
Para instruções, consulte [Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente](deleting-keys-creating-cloudwatch-alarm.md).
### Nuvem HSMKey StoreThrottle
O número de solicitações de operações criptográficas em chaves KMS em cada AWS CloudHSM armazenamento de chaves que acelera AWS KMS (responde com a). `ThrottlingException` Essa métrica se aplica somente às AWS CloudHSM principais lojas.
A `CloudHSMKeyStoreThrottle` métrica se aplica somente às chaves KMS em um armazenamento de AWS CloudHSM chaves e somente às solicitações de operações [criptográficas](kms-cryptography.md#cryptographic-operations). AWS KMS [limita essas solicitações quando a taxa de solicitações](throttling.md) excede a [cota de solicitações de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores) para seu AWS CloudHSM armazenamento de chaves. Essa métrica também inclui a limitação pelo AWS CloudHSM cluster.
**Nome do grupo de dimensões**: **métrica de controle de utilização de armazenamento de chaves**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de AWS CloudHSM chaves. |
| KmsOperation | Valor para cada operação de AWS KMS API. Essa métrica se aplica somente às operações de criptografia em chaves do KMS em um repositório de chaves do AWS CloudHSM . |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves KMS em um armazenamento de chaves é AWS CloudHSM SYMMETRIC\$1DEFAULT. |
### ExternalKeyStoreThrottle
O número de solicitações de operações criptográficas em chaves KMS em cada armazenamento de chaves externo que acelera AWS KMS (responde com a). `ThrottlingException` Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
A `ExternalKeyStoreThrottle` métrica se aplica somente às chaves KMS em um armazenamento de chaves externo e somente às solicitações de operações [criptográficas](kms-cryptography.md#cryptographic-operations). AWS KMS [limita essas solicitações](throttling.md) quando a taxa de solicitação excede a [cota de solicitações de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores) para seu armazenamento de chaves externo. Essa métrica não inclui o controle de utilização por seu proxy de armazenamento de chaves externas ou gerenciador de chaves externas.
Use essa métrica para revisar e ajustar o valor da cota de solicitações ao repositório de chaves personalizado. Se essa métrica indicar que AWS KMS está frequentemente limitando suas solicitações dessas chaves KMS, considere solicitar um aumento no valor da cota de solicitação do armazenamento de chaves personalizadas. Para obter ajuda, consulte [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Solicitar um aumento de cota) no *Guia do usuário do Service Quotas*.
Se você estiver recebendo erros `KMSInvalidStateException` com muita frequência com uma mensagem que explica que a solicitação foi rejeitada “due to a very high request rate” (devido a uma taxa de solicitação muito alta) ou que a solicitação foi rejeitada “because the external key store proxy did not respond in time” (porque o proxy de armazenamento de chaves externas não respondeu a tempo), isso pode indicar que o gerenciador de chaves externas ou o proxy de armazenamento de chaves externas não consegue acompanhar a taxa de solicitação atual. Se possível, reduza a taxa de solicitação. Considere também solicitar uma redução no valor da cota de solicitação de armazenamento de chaves personalizado. Diminuir esse valor da cota pode aumentar a limitação (e o valor da `ExternalKeyStoreThrottle` métrica), mas indica que AWS KMS está rejeitando solicitações em excesso rapidamente antes de serem enviadas ao proxy externo do armazenamento de chaves ou ao gerenciador de chaves externo. Para solicitar uma redução de cota, acesse o [AWS Support Center](https://console.aws.amazon.com/support/home) e crie um caso.
**Nome do grupo de dimensões**: **métrica de controle de utilização de armazenamento de chaves**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor para cada operação de AWS KMS API. Essa métrica se aplica somente às operações de criptografia em chaves do KMS em um repositório de chaves externo. |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC\$1DEFAULT. |
### XksProxyCertificateDaysToExpire
O número de dias até o certificado TLS do endpoint do [proxy de armazenamento de chaves externas](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`) expirar. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Use essa métrica para criar um CloudWatch alarme que o notifique sobre a próxima expiração do seu certificado TLS. Quando o certificado expira, AWS KMS não é possível se comunicar com o proxy externo do armazenamento de chaves. Todos os dados protegidos por chaves do KMS em seu armazenamento de chaves externas ficarão inacessíveis até você renovar o certificado.
Um alarme do certificado evita que a expiração do certificado impeça você de acessar os recursos criptografados. Defina o alarme para dar tempo para a sua organização renovar o certificado antes que ele expire.
**Nome do grupo de dimensões**: **métricas de certificado do proxy XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| CertificateName | Nome (CN) da entidade no certificado TLS. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksProxyCredentialAge
O número de dias desde que a [credencial de autenticação do proxy](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) atual do armazenamento de chaves externas foi associada ao armazenamento de chaves externas. Essa contagem começa quando você insere a credencial de autenticação como parte da criação ou atualização do armazenamento de chaves externas. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Esse valor foi criado para lembrar você sobre a idade da credencial de autenticação. No entanto, como começamos a contagem quando você associa a credencial ao armazenamento de chaves externas, não quando você cria sua credencial de autenticação em seu proxy de armazenamento de chaves externas, isso pode não ser um indicador preciso da idade da credencial no proxy.
Use essa métrica para criar um CloudWatch alarme que lembre você de alternar sua credencial de autenticação de proxy do armazenamento de chaves externo.
**Nome do grupo de dimensões**: **métricas por armazenamento de chaves**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksProxyErrors
O número de exceções relacionadas às AWS KMS solicitações ao [proxy externo do armazenamento de chaves](keystore-external.md#concept-xks-proxy). Essa contagem inclui exceções às quais o proxy externo do armazenamento de chaves retorna AWS KMS e erros de tempo limite que ocorrem quando o proxy do armazenamento de chaves externo não responde AWS KMS dentro do intervalo de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Use essa métrica para rastrear a taxa de erro das chaves do KMS no armazenamento de chaves externas. Ela revela os erros mais frequentes para que você possa priorizar seus esforços de engenharia. Por exemplo, chaves do KMS que estão gerando altas taxas de erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Para visualizar a configuração do armazenamento de chaves externas, consulte [Visualizar repositórios de chaves externos](view-xks-keystore.md). Para editar suas configurações de armazenamento de chaves externas, consulte [Editar propriedades do repositório de chaves externo](update-xks-keystore.md).
**Nome do grupo de dimensões**: **métricas de erro do proxy XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor de cada operação de AWS KMS API que gerou uma solicitação ao proxy XKS. |
| XksOperation | Valor para cada [operação de API do proxy de armazenamento de chaves externas](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC\$1DEFAULT. |
| ErrorType | Valores:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | Valores: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/monitoring-cloudwatch.html) |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksExternalKeyManagerStates
Uma contagem do número de [instâncias do gerenciador de chaves externas](keystore-external.md#concept-ekm) em cada um dos seguintes estados de integridade: `Active`, `Degraded` e `Unavailable`. As informações dessa métrica vêm do proxy de armazenamento de chaves externas associado a cada armazenamento de chaves externas. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Veja a seguir os estados de integridade das instâncias externas do gerenciador de chaves associadas a um armazenamento de chaves externas. Cada proxy de armazenamento de chaves externas pode usar indicadores diferentes para medir o estado de integridade do gerenciador de chaves externas. Para obter detalhes, consulte a documentação do proxy de armazenamento de chaves externas.
+ `Active`: o gerenciador de chaves externas está íntegro.
+ `Degraded`: o gerenciador de chaves externas não está íntegro, mas ainda pode atender ao tráfego
+ `Unavailable`: o gerenciador de chaves externas não pode atender ao tráfego.
Use essa métrica para criar um CloudWatch alarme que alerta você sobre instâncias do gerenciador de chaves externo degradadas e indisponíveis. Para determinar quais instâncias externas do gerenciador de chaves estão em cada estado, consulte seus logs de proxy do armazenamento de chaves externas.
**Nome do grupo de dimensões**: **métrica do gerenciados de chaves externas XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| XksExternalKeyManagerState | Valor para cada estado de integridade. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
### XksProxyLatency
O número de milissegundos necessários para que um proxy de armazenamento de chaves externas responda a uma solicitação do AWS KMS . Se a solicitação atingiu o tempo limite, o valor registrado é o limite de tempo limite de 250 milissegundos. Essa métrica se aplica apenas aos [armazenamentos de chaves externas](keystore-external.md).
Use essas métrica para avaliar a performance do proxy de armazenamento de chaves externas e do gerenciador de chaves externas. Por exemplo, se o proxy estiver frequentemente atingindo o tempo limite nas operações de criptografia e descriptografia, consulte o administrador do proxy externo.
Respostas lentas também podem indicar que seu gerenciador de chaves externo não consegue lidar com o tráfego de solicitações atual. AWS KMS recomenda que seu gerenciador de chaves externo seja capaz de lidar com até 1800 solicitações de operações criptográficas por segundo. Se o gerenciador de chaves externas não conseguir lidar com a taxa de 1800 solicitações por segundo, considere [solicitar uma redução na cota de solicitações de chaves do KMS em um armazenamento de chaves personalizado](requests-per-second.md#rps-key-stores). As solicitações de operações de criptografia que usam as chaves do KMS em seu armazenamento de chaves externas se anteciparão à falha com uma [exceção de controle de utilização](throttling.md), em vez de serem processadas e posteriormente rejeitadas pelo proxy de armazenamento de chaves externas ou pelo gerenciador de chaves externas.
**Nome do grupo de dimensões**: **métricas de latência do proxy XKS**
| Dimensão | Description |
| --- | --- |
| CustomKeyStoreId | Valor para cada armazenamento de chaves externas. |
| KmsOperation | Valor de cada operação de AWS KMS API que gerou uma solicitação ao proxy XKS. |
| XksOperation | Valor para cada [operação de API do proxy de armazenamento de chaves externas](keystore-external.md#concept-proxy-apis). |
| KeySpec | Valor para cada tipo de chave do KMS. A única [especificação de chave](create-keys.md#key-spec) compatível com chaves do KMS em um armazenamento de chaves externas é SYMMETRIC\$1DEFAULT. |
Você pode criar CloudWatch alarmes com base nas métricas para armazenamentos de chaves externos e chaves KMS em armazenamentos de chaves externos. Para instruções, consulte [Monitorar repositórios de chaves externos](xks-monitoring.md).
# Crie um CloudWatch alarme para expiração do material chave importado
Você pode criar um CloudWatch alarme que o notifique quando o material de chave importado em uma chave KMS estiver se aproximando do prazo de expiração. Por exemplo, o alarme pode notificá-lo quando faltarem menos de 30 dias para a expiração.
Ao [importar o material de chave para uma chave do KMS](importing-keys.md), é possível especificar opcionalmente uma data e hora quando o material de chave expira. Quando o material da chave expira, ele é AWS KMS excluído e a chave KMS fica inutilizável. Para usar a chave do KMS novamente, você deve [reimportar o material de chave](importing-keys-import-key-material.md#reimport-key-material). No entanto, se você reimportar o material de chave antes que ele expire, você poderá evitar interromper processos que usem essa chave do KMS.
Esse alarme usa a [`SecondsUntilKeyMaterialExpires`métrica](monitoring-cloudwatch.md#key-material-expiration-metric) que AWS KMS publica CloudWatch para chaves KMS com material de chave importado que expira. Cada alarme usa essa métrica para monitorar o material de chave importado para uma chave específica do KMS. Você não pode criar um alarme único para todas as chaves do KMS com material de chave expirado ou um alarme para chaves do KMS que você possa vir a criar futuramente.
**Requisitos**
Os seguintes recursos são necessários para um CloudWatch alarme que monitora a expiração do material de chave importado.
+ Uma chave do KMS com material de chave importado que expira.
+ Um tópico do Amazon SNS. Para obter detalhes, consulte o [tópico Criação de um Amazon SNS no Guia CloudWatch ](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) *do usuário da Amazon*.
**Criar o alarme**
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha **KMS** e, em seguida, selecione **Per-Key Metrics** (Métricas por chave). Selecione a linha com a chave do KMS e a métrica `SecondsUntilKeyMaterialExpires`. Depois, escolha **Select metric (Selecionar métrica)**. A lista **Metrics** (Métricas) exibe a métrica `SecondsUntilKeyMaterialExpires` apenas para chaves do KMS com material de chave importado que expira. Se você não tiver chaves do KMS com essas propriedades na conta e na região, essa lista estará vazia. |
| Estatística | Mínimo |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que metric-name é maior que 1 |
# Crie CloudWatch alarmes para armazenamentos externos de chaves
Você pode criar CloudWatch alarmes da Amazon com base em métricas externas do armazenamento de chaves para notificá-lo quando um valor métrico exceder um limite especificado por você. O alarme pode enviar a mensagem para um [tópico do Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) ou uma [política do Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work). Para obter informações detalhadas sobre CloudWatch alarmes, consulte Como [usar CloudWatch alarmes da Amazon no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *do usuário da Amazon*.
Antes de criar um CloudWatch alarme da Amazon, você precisa de um tópico do Amazon SNS. Para obter detalhes, consulte o [tópico Criação de um Amazon SNS no Guia CloudWatch ](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) *do usuário da Amazon*.
**Topics**
+ [
## Criar um alarme para expiração de certificado
](#cert-expire-alarm)
+ [
## Criar um alarme para tempo limite de resposta
](#latency-alarm)
+ [
## Criar um alarme para erros passíveis de nova tentativa
](#retryable-errors-alarm)
+ [
## Criar um alarme para erros não passíveis de nova tentativa
](#nonretryable-errors-alarm)
## Criar um alarme para expiração de certificado
Esse alarme usa a [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) métrica AWS KMS publicada para registrar CloudWatch a expiração prevista do certificado TLS associado ao seu endpoint proxy externo de armazenamento de chaves. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Recomendamos configurar o alarme para alertar você dez dias antes do prazo de validade do certificado, mas você deve definir o limite que melhor atenda às suas necessidades.
**Criar o alarme**
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha **KMS** e escolha **XKS Proxy Certificate Metrics** (Métricas de certificado do proxy XKS). Marque a caixa de seleção ao lado da `XksProxyCertificateName` que você deseja monitorar. Depois, escolha **Select metric (Selecionar métrica)**. |
| Estatística | Mínimo |
| Período | 5 minutos |
| Tipo de limite | Estático |
| Sempre que… | Sempre que XksProxyCertificateDaysToExpirefor Lower do que10. |
## Criar um alarme para tempo limite de resposta
Esse alarme usa a [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrica que AWS KMS publica CloudWatch para registrar o número de milissegundos necessários para que um proxy externo de armazenamento de chaves responda a uma AWS KMS solicitação. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
AWS KMS espera que o proxy externo do armazenamento de chaves responda a cada solicitação em 250 milissegundos. Recomendamos configurar um alarme para alertar você quando o proxy de armazenamento de chaves externas levar mais de 200 milissegundos para responder, mas você deve definir o limite que melhor atenda às suas necessidades.
**Criar o alarme**
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha **KMS** e escolha **XKS Proxy Latency Metrics** (Métricas de latência do proxy XKS). Marque a caixa de seleção ao lado da `KmsOperation` que você deseja monitorar. Depois, escolha **Select metric (Selecionar métrica)**. |
| Estatística | Média |
| Período | 5 minutos |
| Tipo de limite | Estático |
| Sempre que… | Sempre que XksProxyLatencyfor Greater do que200. |
## Criar um alarme para erros passíveis de nova tentativa
Esse alarme usa a [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica que AWS KMS publica CloudWatch para registrar o número de exceções relacionadas às AWS KMS solicitações ao proxy externo do armazenamento de chaves. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Erros com nova tentativa diminuirão sua porcentagem de confiabilidade e podem indicar erros de redes. Recomendamos configurar um alarme para alertar você quando mais de cinco erros com nova tentativa forem registrados em um período de um minuto, mas você deve definir o limite que atenda melhor às suas necessidades.
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha a guia **Queries** (Consultas). Escolha `AWS/KMS` para **Namespace**. Insira `SUM(XksProxyErrors)` em **Metric name** (Nome da métrica). Insira `ErrorType = Retryable` em **Filter by** (Filtrar por). Escolha **Executar**. Depois, escolha **Select metric (Selecionar métrica)**. |
| Rótulo | Retryable errors |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que q1 for Greater que 5. |
## Criar um alarme para erros não passíveis de nova tentativa
Esse alarme usa a [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica que AWS KMS publica CloudWatch para registrar o número de exceções relacionadas às AWS KMS solicitações ao proxy externo do armazenamento de chaves. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Recomendamos configurar um alarme para alertar você quando mais de cinco erros sem nova tentativa forem registrados em um período de um minuto, mas você deve definir o limite que atenda melhor a suas necessidades.
Siga as instruções em [Criar um CloudWatch alarme com base em um limite estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Selecionar métrica | Escolha a guia **Queries** (Consultas). Escolha `AWS/KMS` para **Namespace**. Insira `SUM(XksProxyErrors)` em **Metric name** (Nome da métrica). Insira `ErrorType = Non-retryable` em **Filter by** (Filtrar por). Escolha **Executar**. Depois, escolha **Select metric (Selecionar métrica)**. |
| Rótulo | Non-retryable errors |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que q1 for Greater que 5. |