As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Monitorar o AWS KMS keys
O monitoramento é uma parte importante do entendimento da disponibilidade, do estado e da utilização das suas AWS KMS keys no AWS KMS e da manutenção da confiabilidade, da disponibilidade e da performance de suas soluções da AWS. Coletar dados de monitoramento de todas as partes de sua solução da AWS irá ajudá-lo a depurar uma falha de vários pontos, caso ocorra. Porém, para começar a monitorar suas chaves do KMS, é necessário criar um plano de monitoramento que inclua respostas às seguintes perguntas:
-
Quais são seus objetivos de monitoramento?
-
Quais recursos você vai monitorar?
-
Com que frequência você vai monitorar esses recursos?
-
Quais ferramentas de monitoramento você usará?
-
Quem realizará o monitoramento das tarefas?
-
Quem deve ser notificado quando algo acontece?
A próxima etapa é monitorar as chaves do KMS ao longo do tempo para estabelecer uma linha de base para a utilização normal do AWS KMS e as expectativas no ambiente. Ao monitorar as suas chaves do KMS, armazene dados de monitoramento históricos para compará-los com os dados atuais, identificar padrões normais e anomalias e elaborar métodos para resolver problemas.
Por exemplo, é possível monitorar as atividades e os eventos da API do AWS KMS que afetam as chaves do KMS. Quando os dados ficam acima ou abaixo das normas estabelecidas, pode ser necessário investigar ou executar a ação corretiva.
Para estabelecer uma linha de base para padrões normais, monitore os seguintes itens:
-
A atividade da API do AWS KMS para as operações do plano de dados. Essas são operações de criptografia que usam uma chave do KMS, como Decrypt, Encrypt, ReEncrypt e GenerateDataKey.
-
A atividade da API do AWS KMS para operações do plano de controle que são importantes para você. Essas operações gerenciam uma chave do KMS, e você talvez queira monitorar aquelas que alteram a disponibilidade de uma chave do KMS (como ScheduleKeyDeletion, CancelKeyDeletion, DisableKey, EnableKey, ImportKeyMaterial e DeleteImportedKeyMaterial) ou modifiquem o controle de acesso de uma chave do KMS (como PutKeyPolicy e RevokeGrant).
-
Outras métricas do AWS KMS (como o tempo restante até a validade do material de chave importado) e eventos (como a validade do material de chave importado ou a exclusão ou a alternância de uma chave do KMS).
Ferramentas de monitoramento
A AWS fornece várias ferramentas que podem ser usadas para monitorar suas chaves do KMS. É possível configurar algumas dessas ferramentas para fazer o monitoramento em seu lugar, e, ao mesmo tempo, algumas das ferramentas exigem intervenção manual. Recomendamos que as tarefas de monitoramento sejam automatizadas ao máximo possível.
Ferramentas de monitoramento automatizadas
Use as seguintes ferramentas de monitoramento automatizadas para observar suas chaves do KMS e gerar relatórios quando algo for alterado.
-
Monitoramento de log do AWS CloudTrail: compartilhe arquivos de log entre contas, monitore os arquivos de log do CloudTrail em tempo real enviando-os ao CloudWatch Logs, escreva aplicações de processamento de logs com a CloudTrail Processing Library e confirme se os arquivos de log não foram alterados após a entrega pelo CloudTrail. Para obter mais informações, consulte Trabalhando com arquivos de log do CloudTrail no Guia do usuário do AWS CloudTrail.
-
Amazon CloudWatch Alarms: observe uma única métrica ao longo de um período que você especificar e realize uma ou mais ações com base no valor da métrica em relação a um limite ao longo de vários períodos. A ação é uma notificação enviada para um tópico do Amazon Simple Notification Service (Amazon SNS) ou uma política do Amazon EC2 Auto Scaling. Os alarmes do CloudWatch não invocam ações simplesmente por estarem em um estado específico. O estado deve ter sido alterado e mantido por um número específico de períodos. Para ter mais informações, consulte Monitorar o chaves do KMS com o Amazon CloudWatch.
-
Amazon EventBridge: faça correspondência de eventos e os encaminhe a uma ou mais funções ou fluxos de destino para capturar informações e, se necessário, fazer alterações ou realizar ações corretivas. Para obter mais informações, consulte Monitorar chaves do KMS com o Amazon EventBridge e o Guia do usuário do Amazon EventBridge.
-
Amazon CloudWatch Logs: monitore, armazene e acesse seus arquivos de log do AWS CloudTrail ou de outras origens. Para obter mais informações, consulte o Amazon CloudWatch Logs User Guide (Manual do usuário do Amazon CloudWatch Logs).
Ferramentas de monitoramento manual
Outra parte importante do monitoramento de chaves do KMS é o monitoramento manual dos itens que os alarmes e os eventos do CloudWatch não abrangem. O AWS KMS, o CloudWatch, o AWS Trusted Advisor e outros painéis da AWS fornecem uma visão rápida do estado do ambiente da AWS.
É possível personalizar as páginas Chaves gerenciadas pela AWS e Customer managed keys (Chaves gerenciadas pelo cliente) do console do AWS KMS
-
ID da chave
-
Status
-
Data de Criação
-
Data de validade (para chaves do KMS com material de chave importado)
-
Origem
-
ID de armazenamento de chave personalizado (para chaves do KMS em armazenamentos de chaves personalizados)
O painel do console do CloudWatch
-
Alertas e status atual
-
Gráficos de alertas e recursos
-
Estado de integridade do serviço
Além disso, é possível usar o CloudWatch para fazer o seguinte:
-
Crie painéis personalizados para monitorar os serviços com os quais você se preocupa.
-
Colocar em gráfico dados de métrica para solucionar problemas e descobrir tendências
-
Pesquisar e procurar todas as métricas de recursos da AWS
-
Criar e editar alertas para ser notificado sobre problemas
O AWS Trusted Advisor pode ajudar a monitorar os recursos da AWS para melhorar a performance, a confiabilidade, a segurança e a economia. Quatro verificações do Trusted Advisor estão disponíveis a todos os usuários; mais de 50 verificações estão disponíveis para usuários com um plano de suporte Business ou Enterprise. Para ter mais informações, consulte AWS Trusted Advisor