AWS Key Management Service 中的日志记录和监控

对 AWS KMS API 操作的每次调用都被捕获为 AWS CloudTrail 日志中的事件。这些日志记录来自 AWS KMS 控制台的所有 API 调用，以及 AWS KMS 和其他 AWS 服务进行的调用。跨账户 API 调用，例如使用其他 AWS 账户 中的 KMS 密钥的调用，都会记录在这两个账户的 CloudTrail 日志中。

在进行故障排除或审核时，您可以使用日志重新构建 KMS 密钥的生命周期。您还可以查看其在加密操作中对 KMS 密钥的管理和使用情况。有关更多信息，请参阅 使用记录 AWS KMS API通话 AWS CloudTrail。

监控、存储和访问来自 AWS CloudTrail 或其他来源的日志文件。有关更多信息，请参阅 Amazon CloudWatch 用户指南。

对于 AWS KMS，CloudWatch 存储了有用的信息，有助于防止 KMS 密钥及其保护的资源出现问题。有关更多信息，请参阅 使用 Amazon CloudWatch 监控 KMS 密钥。

AWS KMS 会在轮换或删除 KMS 密钥或您的 KMS 密钥中已导入的密钥材料过期时生成 EventBridge 事件。搜索 AWS KMS 事件（API 操作），并将这些事件路由到一个或多个目标函数或流中，以捕获状态信息。有关更多信息，请参阅 使用 Amazon EventBridge 来监控 KMS 密钥 和 Amazon EventBridge 用户指南。

您可以使用 CloudWatch 指标监控您的 KMS 密钥，此工具可从 AWS KMS 中将原始数据收集到性能指标中并进行处理。数据以两周为间隔记录，因此您可以查看当前信息和历史信息的趋势。这有助于您了解 KMS 密钥的使用情况以及它们的使用情况随时间推移的变化。有关如何使用 CloudWatch 指标监控 KMS 密钥的信息，请参阅 AWS KMS 指标和维度。

监控您指定的时间段内的某个指标的变化。然后在多个时间段内根据相对于给定阈值的指标值执行操作。例如，您可以创建 CloudWatch 警报，当有人尝试使用计划在加密操作中删除的 KMS 密钥时该警报将被触发。这表示 KMS 密钥仍在使用中，可能不应删除。有关更多信息，请参阅 创建警报，检测KMS密钥的使用情况，等待删除。

您可以使用 AWS Security Hub 监控您的 AWS KMS 使用情况，确保安全行业标准和最佳实践合规性。Security Hub 使用安全控件来评估资源配置和安全标准，以帮助您遵守各种合规框架。有关更多信息，请参阅《AWS Security Hub User Guide》中的 AWS Key Management Service controls。