监控外部密钥存储

AWS KMS 收集与外部密钥存储的每个交互的指标，并在 CloudWatch 账户中发布。这些指标用于在每个外部密钥存储的详细信息页面的监控部分生成图表。以下主题详细介绍了如何使用图表来识别和排查影响外部密钥存储的操作和配置问题。我们建议使用 CloudWatch 指标设置警报，以便在外部密钥存储未按预期执行时通知您。有关更多信息，请参阅使用 Amazon CloudWatch 进行监控。

主题

查看图表
解释图表

查看图表

您可以在不同的详细程度下查看图表。默认情况下，每个图表使用三小时的时间范围和五分钟的汇总期。您可以在控制台中调整图表视图，但是当关闭外部密钥存储的详细信息页面或刷新浏览器时，您的更改将恢复为默认设置。有关 Amazon CloudWatch 术语的帮助，请参阅 Amazon CloudWatch 的概念。

查看数据点详细信息

每个图表中的数据通过 AWS KMS 指标收集。若要查看有关特定数据点的更多信息，请将鼠标悬停在折线图上的数据点上方。这将显示一个弹出窗口，其中包含有关派生该图表的指标的更多信息。每个列表项都显示记录在该数据点的维度值。如果该数据点的维度值没有可用的指标数据，则弹出窗口将显示空值（–）。有些图表记录了单个数据点的多个维度和值。其他图表，例如可靠性图表，使用指标收集的数据来计算唯一值。每个列表项均与不同的折线图颜色关联。

修改时间范围

若要修改时间范围，请在监控部分的右上角选择一个预定义的时间范围。预定义的时间范围从 1 小时到 1 周（1 小时、3 小时、12 小时、1 天、3 天或者 1 周）。这将调整所有图表的时间范围。如果您想在不同的时间范围内查看一个特定的图表，或者想要设置自定义时间范围，请放大图表或在 Amazon CloudWatch 控制台中查看。

放大图表

您可以使用缩微贴图缩放功能来重点查看折线图和图表的堆叠部分，而无需在放大和缩小视图之间进行切换。例如，您可以使用缩微贴图缩放功能来重点查看折线图中的峰值，以便将该峰值与同一时间线的监控部分中的其他图表进行比较。

选择并拖动要突出的图表区域，然后释放拖动对象。
要重置缩放，选择 Reset zoom（重置缩放）图标，该图标看起来像放大镜里面包含减号 (-) 符号。

放大图表

若要放大图表，请选择单个图表右上角的菜单图标，然后选择 Enlarge（放大）。将鼠标悬停在图表上方时，也可以选择菜单图标旁边显示的放大图标。

放大图表可让您通过指定不同的时间段、自定义时间范围或刷新间隔来进一步修改图表的视图。关闭放大视图时，这些更改将恢复为默认设置。

修改时间段

选择 Period options（时间段选项）菜单。默认情况下，此菜单显示的值为：5 minutes（5 分钟）。
选择一个时间段，预定义的时间段从 1 秒到 30 天不等。

例如，您可以选择一分钟视图，这在您排查问题时会非常有用。或者，选择不太详细的一小时视图。这在您查看更大的时间范围（例如 3 天）来了解一段时间内的趋势时会很有用。有关更多信息，请参阅《Amazon CloudWatch 用户指南》中的时间段。

修改时间范围或时区

选择一个预定义的时间范围，此范围的跨度从 1 小时到 1 周（1 小时、3 小时、12 小时、1 天、3 天或 1 周）。或者，您也可以选择 Custom（自定义）来设置自己的时间范围。
选择 Custom（自定义）。
1. 时间范围：选择方框左上角的 Absolute（绝对）选项卡。使用日历选取器或文本字段框指定时间范围。
2. 时区：选择方框右上角的下拉菜单。您可以将时区更改为 UTC（协调世界时）或 Local time zone（本地时区）。
在指定时间范围后，选择 Apply（应用）。

修改图表中数据的刷新频率

选择右上角的 Refresh options（刷新选项）菜单。
选择刷新间隔（关闭、10 秒、1 分钟、2 分钟、5 分钟或 15 分钟）。

在 Amazon CloudWatch 控制台中查看指标

监控部分中的图表派生自 AWS KMS 发布到 Amazon CloudWatch 的预定义指标。您可以在 CloudWatch 控制台中打开这些图表并将其保存到 CloudWatch 控制面板。如果您有多个外部密钥存储，则可以在 CloudWatch 中打开它们各自的图表，并将图表保存到单个控制面板以比较外部密钥存储的运行状况和使用情况。

添加到 CloudWatch 控制面板

选择右上角的 Add to dashboard（添加到控制面板），将所有图表添加到 Amazon CloudWatch 控制面板。您可以选择现有的控制面板或创建一个新控制面板。有关使用此控制面板创建图表和警报的自定义视图的信息，请参阅《Amazon CloudWatch 用户指南》中的使用 Amazon CloudWatch 控制面板。

在 CloudWatch 指标中查看

选择单个图表右上角的菜单图标，然后选择 View in metrics（在指标中查看）以在 Amazon CloudWatch 控制台中查看此图表。在 CloudWatch 控制台中，您可以将此单个图表添加到控制面板并修改时间范围、时间段和刷新间隔。有关更多信息，请参阅《Amazon CloudWatch 用户指南》中的绘制指标的图表。

解释图表

AWS KMS 提供了多个图表来监控 AWS KMS 控制台中的外部密钥存储的运行状况。这些图表为自动配置，派生自 AWS KMS 指标。

图形数据作为您对外部密钥存储和外部密钥进行的调用的一部分收集。在您未进行任何调用的时间范围内，您可能会看到数据填充图表，此数据来自 AWS KMS 代表您进行的定期 GetHealthStatus 调用，以检查外部密钥存储代理和外部密钥管理器的状态。如果您的图表显示 No data available（无可用数据）消息，则表示在该时间范围内没有记录任何调用，或者您的外部密钥存储处于 DISCONNECTED 状态。您可以通过将视图调整到更大的时间范围来确定外部密钥存储断开连接的时间。

请求总数

在给定时间范围内收到的针对特定外部密钥存储的 AWS KMS 请求总数。使用此图表来确定您是否面临节流的风险。

AWS KMS 建议您的外部密钥管理器每秒能够处理多达 1800 个加密操作请求。如果您在五分钟内接通 540000 个电话，则有节流的风险。

您可以监控外部密钥存储中 AWS KMS 使用 ExternalKeyStoreThrottle 指标进行节流的 KMS 密钥的加密操作请求数量。

如果您经常收到 KMSInvalidStateException 错误，其中包含一条说明请求“due to a very high request rate”（由于请求率很高）而被拒绝的消息，则可能表明您的外部密钥管理器或外部密钥存储代理无法跟上当前的请求速率。如可能，请降低您的请求速率。您也可以考虑请求降低自定义密钥存储请求限额值。降低此限额值可能会增加节流的风险，但这表示多余的请求在发送到外部密钥存储代理或外部密钥管理器之前会很快被 AWS KMS 拒绝。要申请下调限额，请访问 AWS Support 中心并创建工单。

总请求数图表派生自 XksProxyErrors 指标，该指标收集有关 AWS KMS 从外部密钥存储代理收到的成功和失败响应的数据。当您查看特定数据点时，弹出窗口会显示 CustomKeyStoreId 维度的值以及在该数据点记录的 AWS KMS 请求总数。CustomKeyStoreId 将始终相同。

可靠性

外部密钥存储代理返回的成功响应或不可重试错误的 AWS KMS 请求百分比。使用此图表评估外部密钥存储代理的运行状况。

当图表显示的值小于 100% 时，该值表示代理没有响应，或者响应了可重试错误。这可能表明网络存在问题、外部密钥存储代理或外部密钥管理器速度缓慢或实施错误。

如果请求包含错误的凭证，且代理响应了 AuthenticationFailedException，则该图仍将显示 100% 的可靠性，因为代理在外部密钥存储代理 API 请求中识别出了错误的值，因此预计会出现故障。如果可靠性图表的百分比为 100%，则您的外部密钥存储代理将按预期进行响应。如果图表显示的值小于 100%，则代理会响应可重试错误或超时。例如，如果代理由于请求速率过高而响应了 ThrottlingException，则图表将显示较低的可靠性百分比，因为代理无法识别请求中导致其失败的特定问题。这是因为可重试错误可能是临时性问题，可以通过重试请求解决。

以下错误响应将降低可靠性百分比。您可以使用前 5 个异常图表和 XksProxyErrors 指标进一步监控代理返回每个可重试错误的频率。

InternalException
DependencyTimeoutException
ThrottlingException
XksProxyUnreachableException

可靠性图表派生自 XksProxyErrors 指标，该指标收集有关 AWS KMS 从外部密钥存储代理收到的成功和失败响应的数据。只有当响应的 ErrorType 值为 Retryable 时，可靠性百分比才会降低。当您查看特定数据点时，弹出窗口会显示 CustomKeyStoreId 维度的值以及在该数据点记录的 AWS KMS 请求的可靠性百分比。CustomKeyStoreId 将始终相同。

我们建议使用 XksProxyErrors 指标创建 CloudWatch 警报，以在一分钟内记录了超过 5 个可重试错误时通知您潜在的网络问题。有关更多信息，请参阅创建可重试错误警报。

延迟

外部密钥存储代理响应 AWS KMS 请求所用的毫秒数。使用此图表来评估您的外部密钥存储代理和外部密钥管理器的性能。

AWS KMS 希望外部密钥存储代理在 250 毫秒内响应每个请求。如果网络超时，AWS KMS 将重试一次请求。如果代理再次失败，则记录的延迟是两次请求尝试的合计超时限制，图表将显示大约 500 毫秒。在代理未在 250 毫秒超时限制内响应的所有其他情况下，记录的延迟为 250 毫秒。如果代理在加密和解密操作时经常超时，请咨询您的外部代理管理员。有关解决延迟问题的帮助，请参阅延迟和超时错误。

响应缓慢还可能表明您的外部密钥管理器无法处理当前的请求流量。AWS KMS 建议您的外部密钥管理器每秒能够处理高达 1800 个加密操作请求。如果您的外部密钥管理器无法处理每秒 1800 个请求的速率，请考虑请求降低‭自定义密钥存储中 KMS 密钥的请求限额。使用外部密钥存储中的 KMS 密钥进行加密操作的请求将采用快速失效机制，并出现节流异常，而不是由外部密钥存储代理或外部密钥管理器处理后拒绝。

延迟图表派生自 XksProxyLatency 指标。当您查看特定数据点时，弹出窗口会显示相应的 KmsOperation 和 XksOperation 维度的值以及该数据点的操作记录的平均延迟。列表项按从最高延迟到最低延迟的顺序排列。

我们建议使用 XksProxyLatency 指标创建 CloudWatch 警报，当延迟接近超时限制时，该警报会通知您。有关更多信息，请参阅创建响应超时警报。

前 5 个异常

在给定时间范围内失败的加密和管理操作的前五个异常。使用此图表跟踪最常见的错误，因此您可以确定工程工作的优先顺序。

此计数包括 AWS KMS 从外部密钥存储代理收到的异常以及无法与外部密钥存储代理建立通信时 AWS KMS 在内部返回的 XksProxyUnreachableException。

可重试错误率高可能表示网络错误，而不可重试错误率高可能表示外部密钥存储的配置存在问题。例如，AuthenticationFailedExceptions 中的峰值表示 AWS KMS 中配置的身份验证凭证与外部密钥存储代理之间存在差异。若要查看您的外部密钥存储配置，请参阅查看外部密钥存储。若要编辑您的外部密钥存储设置，请参阅编辑外部密钥存储属性。

AWS KMS 从外部密钥库代理收到的异常与 AWS KMS 在操作失败时返回的异常不同。对于与外部密钥存储的外部配置或连接状态有关的所有操作失败，AWS KMS 加密操作都会返回 KMSInvalidStateException。若要确定问题，请使用随附的错误消息文本。

下表显示了可能出现在前 5 个异常图表中的异常以及 AWS KMS 向您返回的相应异常。

错误类型图表中显示的异常 AWS KMS 向您返回的异常

不可重试

错误类型	图表中显示的异常	AWS KMS 向您返回的异常
不可重试	`AccessDeniedException` 有关问题排查帮助，请参阅代理授权问题。	`CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
不可重试	`AuthenticationFailedException` 有关问题排查帮助，请参阅身份验证凭证错误。	`XksProxyIncorrectAuthenticationCredentialException` 响应 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
可重试	`DependencyTimeoutException` 有关问题排查帮助，请参阅延迟和超时错误。	`XksProxyUriUnreachableException` 响应 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
可重试	`InternalException` 外部密钥库代理拒绝了该请求，因为该请求无法与外部密钥管理器通信。验证外部密钥存储代理配置是否正确以及外部密钥管理器是否可用。	`XksProxyInvalidResponseException` 响应 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
不可重试	`InvalidCiphertextException` 有关问题排查帮助，请参阅解密错误。	`KMSInvalidStateException` 响应加密操作。
不可重试	`InvalidKeyUsageException` 有关问题排查帮助，请参阅外部密钥的加密操作错误。	`XksKeyInvalidConfigurationException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
不可重试	`InvalidStateException` 有关问题排查帮助，请参阅外部密钥的加密操作错误。	`XksKeyInvalidConfigurationException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
不可重试	`InvalidUriPathException` 有关问题排查帮助，请参阅常规配置错误。	`XksProxyInvalidConfigurationException` 响应 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
不可重试	`KeyNotFoundException` 有关问题排查帮助，请参阅外部密钥错误。	`XksKeyNotFoundException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
可重试	`ThrottlingException` 由于请求速率过高，外部密钥存储代理拒绝了该请求。使用外部密钥存储中的 KMS 密钥降低调用频率。	`XksProxyUriUnreachableException` 响应 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
不可重试	`UnsupportedOperationException` 有关问题排查帮助，请参阅外部密钥的加密操作错误。	`XksKeyInvalidResponseException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
不可重试	`ValidationException` 有关问题排查帮助，请参阅代理问题。	`XksProxyInvalidResponseException` 响应 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。
可重试	`XksProxyUnreachableException` 如果您反复看到此错误，请验证您的外部密钥存储代理是否处于活动状态并已连接到网络，以及其在外部密钥存储中的 URI 路径和端点 URI 或 VPC 服务名称是否正确。	`XksProxyUriUnreachableException` 响应 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 响应 `CreateKey` 操作。 `KMSInvalidStateException` 响应加密操作。

AccessDeniedException

有关问题排查帮助，请参阅代理授权问题。

CustomKeyStoreInvalidStateException 响应 CreateKey 操作。