本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监控是了解 AWS KMS中的 AWS KMS keys 的可用性、状态和使用情况的重要环节。监控有助于维护 AWS 解决方案的安全性、可靠性、可用性和性能。 AWS 提供了多种用于监控您的 KMS 密钥的工具。
- AWS CloudTrail 日志
-
对 AWS KMS API 操作的每一次调用都会作为事件捕获 AWS CloudTrail 到日志中。这些日志记录了来自 AWS KMS 控制台的所有 API 调用, AWS KMS 以及和其他 AWS 服务发出的调用。跨账户 API 调用(例如调用不同 AWS 账户账户中的 KMS 密钥)会记录在两个账户的 CloudTrail 日志中。
在进行故障排除或审核时,您可以使用日志重新构建 KMS 密钥的生命周期。您还可以查看其在加密操作中对 KMS 密钥的管理和使用情况。有关更多信息,请参阅 使用记录 AWS KMS API 调用 AWS CloudTrail。
- Amazon CloudWatch 日志
-
监控、存储和访问来自 AWS CloudTrail 和其他来源的日志文件。有关更多信息,请参阅 Amazon CloudWatch 用户指南。
对于 AWS KMS, CloudWatch 存储有用的信息,可帮助您防止 KMS 密钥及其保护的资源出现问题。有关更多信息,请参阅 使用 Amazon 监控 KMS 密钥 CloudWatch。
- Amazon EventBridge
-
AWS KMS 当您的 KMS 密钥被轮换或删除,或者您的 KMS 密钥中导入的密钥材料过期时,会生成 EventBridge 事件。搜索 AWS KMS 事件(API 操作)并将其路由到一个或多个目标函数或流,以捕获状态信息。有关更多信息,请参阅使用 Amazon 监控 KMS 密钥 EventBridge和 Amazon EventBridge 用户指南。
- 亚马逊 CloudWatch 指标
-
您可以使用指标监控您的 KMS 密钥,这些 CloudWatch 指标收集原始数据并将其处理 AWS KMS 为性能指标。数据以两周为间隔记录,因此您可以查看当前信息和历史信息的趋势。这有助于您了解 KMS 密钥的使用情况以及它们的使用情况随时间推移的变化。有关使用 CloudWatch 指标监控 KMS 密钥的信息,请参阅AWS KMS 指标和维度。
- 亚马逊 CloudWatch 警报
-
监控您指定的时间段内的某个指标的变化。然后在多个时间段内根据相对于给定阈值的指标值执行操作。例如,您可以创建一个 CloudWatch 警报,当有人尝试使用计划在加密操作中删除的 KMS 密钥时触发该警报。这表示 KMS 密钥仍在使用中,可能不应删除。有关更多信息,请参阅 创建检测待删除 KMS 密钥的使用的警报。
- AWS Security Hub
-
您可以使用监控自己的 AWS KMS 使用情况,以了解安全行业标准和最佳实践的合规性 AWS Security Hub。Security Hub 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关更多信息,请参阅《AWS Security Hub User Guide》中的 AWS Key Management Service controls。
