本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以创建一个 CloudWatch 警报,在 KMS 密钥中导入的密钥材料即将过期时通知您。例如,警报可以在距离到期时间少于 30 天时通知您。
当您将密钥材料导入 KMS 密钥中时,可以选择性地指定密钥材料的到期时间。当密钥材料过期时, AWS KMS 会删除密钥材料,KMS 密钥将无法使用。要再次使用该 KMS 密钥,您必须重新导入密钥材料。但是,如果您在密钥材料到期之前将其重新导入,则可以避免中断使用该 KMS 密钥的进程。
此警报使用 AWS KMS 发布到的SecondsUntilKeyMaterialExpires指标, CloudWatch 用于导入的密钥材料已过期的 KMS 密钥。每个警报都使用此指标来监控特定 KMS 密钥的导入密钥材料。您无法为所有具有到期密钥材料的 KMS 密钥创建单个警报,也无法为未来可能创建的 KMS 密钥创建警报。
要求
监控导入密钥材料过期的 CloudWatch 警报需要以下资源。
-
带有已到期导入密钥材料的 KMS 密钥。
-
Amazon SNS 主题。有关详情,请参阅亚马逊 CloudWatch 用户指南中的创建 Ama zon SNS 主题。
创建警报
使用以下必填值按照基于静态阈值创建 CloudWatch 警报中的说明进行操作。对于其他字段,请接受默认值并按要求提供名称。
| Field | Value |
|---|---|
| 选择指标 |
选择 KMS,然后选择每密钥指标。 选择带有 KMS 密钥和 指标列表仅显示导入密钥材料已到期的 KMS 密钥的 |
| Statistic | 最小值 |
| 周期 | 1 minute |
| 阈值类型 | 静态 |
| 当 ... | 何metric-name时大于 1 |
