As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie alarmes do CloudWatch para repositórios de chaves externos
É possível criar alarmes do Amazon CloudWatch com base em métricas de repositório de chaves externo para notificar você quando o valor de uma métrica exceder o limite especificado. O alarme pode enviar a mensagem para um tópico do Amazon Simple Notification Service (Amazon SNS) ou uma política do Amazon EC2 Auto Scaling. Para obter informações detalhadas sobre alarmes do CloudWatch, consulte Usar alarmes do Amazon CloudWatch no Guia do usuário do Amazon CloudWatch.
Antes de criar um alarme do Amazon CloudWatch, é necessário um tópico do Amazon SNS. Para obter detalhes, consulte Criar um tópico do Amazon SNS no Guia do usuário do Amazon CloudWatch.
Tópicos
Criar um alarme para expiração de certificado
Esse alarme usa a métrica XksProxyCertificateDaysToExpire que o AWS KMS publica no CloudWatch para registrar a expiração prevista do certificado TLS associado ao endpoint do proxy de armazenamento de chaves externas. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Recomendamos configurar o alarme para alertar você dez dias antes do prazo de validade do certificado, mas você deve definir o limite que melhor atenda às suas necessidades.
Criar o alarme
Siga as instruções em Criar um alarme do CloudWatch com base em um limite estático usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| Selecionar métrica |
Escolha KMS e escolha XKS Proxy Certificate Metrics (Métricas de certificado do proxy XKS). Marque a caixa de seleção ao lado da Depois, escolha Select metric (Selecionar métrica). |
| Estatística | Mínimo |
| Período | 5 minutos |
| Tipo de limite | Estático |
| Sempre que… | Sempre que XksProxyCertificateDaysToExpire for Lower que 10. |
Criar um alarme para tempo limite de resposta
Esse alarme usa a métrica XksProxyLatency que o AWS KMS publica no CloudWatch para registrar o número de milissegundos necessários para que um proxy de armazenamento de chaves externas responda a uma solicitação do AWS KMS. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
O AWS KMS espera que o proxy do armazenamento de chaves externas responda a cada solicitação em até 250 milissegundos. Recomendamos configurar um alarme para alertar você quando o proxy de armazenamento de chaves externas levar mais de 200 milissegundos para responder, mas você deve definir o limite que melhor atenda às suas necessidades.
Criar o alarme
Siga as instruções em Criar um alarme do CloudWatch com base em um limite estático usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| Selecionar métrica |
Escolha KMS e escolha XKS Proxy Latency Metrics (Métricas de latência do proxy XKS). Marque a caixa de seleção ao lado da Depois, escolha Select metric (Selecionar métrica). |
| Estatística | Média |
| Período | 5 minutos |
| Tipo de limite | Estático |
| Sempre que… | Sempre que XksProxyLatency for Greater que 200. |
Criar um alarme para erros passíveis de nova tentativa
Esse alarme usa a métrica XksProxyErrors que o AWS KMS publica no CloudWatch para registrar o número de exceções relatadas para solicitações do AWS KMS para o proxy de armazenamento de chaves externas. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Erros com nova tentativa diminuirão sua porcentagem de confiabilidade e podem indicar erros de redes. Recomendamos configurar um alarme para alertar você quando mais de cinco erros com nova tentativa forem registrados em um período de um minuto, mas você deve definir o limite que atenda melhor às suas necessidades.
Siga as instruções em Criar um alarme do CloudWatch com base em um limite estático usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| Selecionar métrica |
Escolha a guia Queries (Consultas). Escolha Insira Insira Escolha Executar. Depois, escolha Select metric (Selecionar métrica). |
| Rótulo | Erros com nova tentativa |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que q1 for Greater que 5. |
Criar um alarme para erros não passíveis de nova tentativa
Esse alarme usa a métrica XksProxyErrors que o AWS KMS publica no CloudWatch para registrar o número de exceções relatadas para solicitações do AWS KMS para o proxy de armazenamento de chaves externas. Você pode criar um alarme único para todos os armazenamentos de chaves externas de sua conta ou um alarme para armazenamentos de chaves externas que você possa criar futuramente.
Erros sem nova tentativa podem indicar um problema com a configuração do armazenamento de chaves externas. Recomendamos configurar um alarme para alertar você quando mais de cinco erros sem nova tentativa forem registrados em um período de um minuto, mas você deve definir o limite que atenda melhor a suas necessidades.
Siga as instruções em Criar um alarme do CloudWatch com base em um limite estático usando os seguintes valores obrigatórios. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| Selecionar métrica |
Escolha a guia Queries (Consultas). Escolha Insira Insira Escolha Executar. Depois, escolha Select metric (Selecionar métrica). |
| Rótulo | Erros sem nova tentativa |
| Período | 1 minuto |
| Tipo de limite | Estático |
| Sempre que… | Sempre que q1 for Greater que 5. |
