Registrar em log e monitorar no AWS Key Management Service

O monitoramento é uma parte importante para entender a disponibilidade, o estado e o uso das suas AWS KMS keys no AWS KMS. O monitoramento ajuda a manter a segurança, a confiabilidade, a disponibilidade e a performance das suas soluções da AWS. A AWS fornece várias ferramentas para o monitoramento das suas chaves do KMS.

Logs do AWS CloudTrail

Toda chamada para uma operação de API do AWS KMS é capturada como um evento em um log do AWS CloudTrail. Esses logs registram todas as chamadas de API do console do AWS KMS e as chamadas feitas pelo AWS KMS e outros serviços da AWS. As chamadas de API entre contas, como uma chamada para usar uma chave do KMS em uma conta da Conta da AWS diferente, são registradas nos logs do CloudTrail de ambas as contas.

Ao solucionar problemas ou fazer auditorias, você pode usar o log para reconstruir o ciclo de vida de uma chave do KMS. Também é possível visualizar seu gerenciamento e uso da chave do KMS em operações de criptografia. Para obter mais informações, consulte Registrando AWS KMS API chamadas com AWS CloudTrail.

Amazon CloudWatch Logs

Monitore, armazene e acesse seus arquivos de log do AWS CloudTrail ou de outras origens. Para obter mais informações, consulte o Manual do usuário do Amazon CloudWatch.

No AWS KMS, o CloudWatch armazena informações úteis que ajudam a evitar problemas com chaves do KMS e os recursos que elas protegem. Para ter mais informações, consulte Monitorar o chaves do KMS com o Amazon CloudWatch.

Amazon EventBridge

O AWS KMS gera eventos do EventBridge quando sua chave do KMS é alternada ou excluída ou quando o material de chave importado na sua chave do KMS expira. Pesquise eventos do AWS KMS (operações de API) e encaminhe-os para uma ou mais funções ou streams de destino para capturar informações de estado. Para obter mais informações, consulte Monitorar chaves do KMS com o Amazon EventBridge e o Guia do usuário do Amazon EventBridge.

Métricas do Amazon CloudWatch

É possível monitorar suas chaves do KMS usando métricas do CloudWatch, que coleta e processa dados brutos do AWS KMS em métricas de performance. Os dados são registrados em intervalos de duas semanas para que você possa visualizar tendências de informações atuais e históricas. Isso ajuda você a entender como as suas chaves do KMS são usadas e como seu uso muda ao longo do tempo. Para obter informações sobre como usar métricas do CloudWatch para monitorar chaves do KMS, consulteMétricas e dimensões do AWS KMS.

Alarmes do Amazon CloudWatch

Observe uma única métrica mudar ao longo de um período que você especificar. Depois, execute uma ou mais ações com base no valor da métrica relativa a um limite por um número de períodos. Por exemplo, é possível criar um alarme do CloudWatch que é acionado quando alguém tenta usar uma chave do KMS que está programada para ser excluída em uma operação criptográfica. Isso indica que a chave do KMS ainda está sendo usada e provavelmente não deve ser excluída. Para ter mais informações, consulte Crie um alarme que detecte o uso de uma KMS chave pendente de exclusão.

AWS Security Hub

É possível monitorar o uso do AWS KMS conforme os padrões do setor de segurança e a conformidade com as melhores práticas usando o AWS Security Hub. O Security Hub usa controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir vários frameworks de conformidade. Para obter mais informações, consulte Controles do AWS Key Management Service no Manual do usuário do AWS Security Hub.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Autorizando a sincronização AWS KMS de chaves multirregionais

Validação de conformidade