本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

使用 Amazon 監控KMS金鑰 CloudWatch

您可以使用 AWS KMS keys Amazon CloudWatch來監控您的 ，Amazon 是一項將原始資料從 收集並處理 AWS KMS 為可讀取、近乎即時指標 AWS 的服務。這些資料會記錄兩週的時間，以便您可以存取歷史資訊，並更了解KMS金鑰的使用及其隨時間的變化。

您可以使用 Amazon CloudWatch 提醒您重要事件，例如下列事件。

您也可以建立 Amazon CloudWatch 警示，在請求率達到特定百分比的配額值時發出警示。如需詳細資訊，請參閱 AWS 安全部落格 中的使用 Service Quotas 和 Amazon 管理您的 AWS KMS API請求率 CloudWatch。

AWS KMS 指標和維度

AWS KMS 預先定義 Amazon CloudWatch 指標，讓您更輕鬆地監控關鍵資料並建立警示。您可以使用 AWS Management Console 和 Amazon 來檢視 AWS KMS 指標 CloudWatch API。

本節列出每個 AWS KMS 指標和每個指標的維度，並提供一些基本指南，以根據這些指標和維度建立 CloudWatch 警示。

您可以使用 AWS Management Console 和 Amazon 檢視 AWS KMS 指標 CloudWatch API。如需詳細資訊，請參閱 Amazon CloudWatch 使用者指南 中的檢視可用的指標。

SecondsUntilKeyMaterialExpiration

在金鑰中匯入的金鑰材料過期之前剩餘的秒數。 KMS此指標僅適用於具有匯入KMS金鑰材料 （金鑰材料來源 EXTERNAL） 和過期日期的金鑰。

使用此指標可追蹤匯入金鑰資料過期之前所剩的時間。當該時間低於您定義的閾值時，您可能會重新匯入具有新到期日期的金鑰材料。SecondsUntilKeyMaterialExpiration 指標專屬於KMS金鑰。您無法使用此指標來監控未來可能建立的多個KMS金鑰或KMS金鑰。如需建立 CloudWatch 警示以監控此指標的協助，請參閱 建立已匯入金鑰材料過期的 CloudWatch 警示。

此指標最實用的統計數字是 Minimum，其會告訴您指定統計週期內所有資料點之剩餘時間的最小數量。此指標的唯一有效單位是 Seconds。

維度群組名稱：Per-Key Metrics (每個金鑰指標)

當您排程刪除KMS金鑰時， AWS KMS 會強制執行等待期，然後再刪除KMS金鑰。您可以使用等待期來確保您現在或未來不需要 KMS金鑰。您也可以設定 CloudWatch警示，以便在等待期間有人或應用程式嘗試在密碼編譯操作中使用KMS金鑰時發出警告。如果您收到來自此類警示的通知，您可能想要取消刪除KMS金鑰。

如需說明，請參閱 建立警示，以偵測是否使用待定刪除的KMS金鑰。

ExternalKeyStoreThrottle

AWS KMS 對調節 （回應 ） 的每個外部KMS金鑰存放區中金鑰進行密碼編譯操作的請求數目ThrottlingException。此指標只適用於外部金鑰存放區。

此ExternalKeyStoreThrottle指標僅適用於外部KMS金鑰存放區中的金鑰，也僅適用於密碼編譯操作和 DescribeKey 操作的請求。當請求速率超過外部金鑰存放區的自訂金鑰存放區請求配額時， AWS KMS 會限制這些請求。此指標不包括外部金鑰存放區代理或外部金鑰管理器的限流。

使用此指標可檢閱和調整自訂金鑰存放區請求配額的值。如果此指標指出 AWS KMS 經常調節您對這些KMS金鑰的請求，您可以考慮請求增加自訂金鑰存放區請求配額值。如需相關說明，請參閱《Service Quotas 使用者指南》中的請求提升配額。

如果您經常收到 KMSInvalidStateException 錯誤，並且訊息說明「因為請求率非常高」而拒絕請求，或「因為外部金鑰存放區代理未及時回應」而拒絕請求，則可能表示您的外部金鑰管理器或外部金鑰存放區代理無法跟上目前的請求率。如果可能，請降低您的請求率。您也可以考慮請求減少自訂金鑰存放區請求配額值。減少此配額值可能會增加限流 （和ExternalKeyStoreThrottle指標值），但表示 AWS KMS 會在將過多請求傳送至外部金鑰存放區代理或外部金鑰管理器之前快速拒絕這些請求。若要請求減少配額，請造訪 AWS 支援 中心並建立案例。

維度群組名稱：Keystore Throttle Metrics (金鑰存放區限流指標)

XksProxyCertificateDaysToExpire

外部金鑰存放區代理端點 （XksProxyUriEndpoint） 的TLS憑證過期前的天數。此指標只適用於外部金鑰存放區。

使用此指標建立 CloudWatch 警示，通知您TLS憑證即將過期。當憑證過期時， AWS KMS 無法與外部金鑰存放區代理通訊。在您更新憑證之前，外部KMS金鑰存放區中受金鑰保護的所有資料都會無法存取。

憑證警示可防止憑證過期，這可能使您無法存取已加密的資源。設定警示可讓組織有時間在憑證過期之前續約憑證。

維度群組名稱：XKS代理憑證指標

您可以根據外部金鑰存放區和外部KMS金鑰存放區中金鑰的指標建立 CloudWatch 警示。如需說明，請參閱 監控外部金鑰存放區。

XksProxyCredentialAge

自當前外部金鑰存放區代理身分驗證憑證 (XksProxyAuthenticationCredential) 與外部金鑰存放區相關聯之後的天數。當您在建立或更新外部金鑰存放區時輸入身分驗證憑證，此計數便會開始。此指標只適用於外部金鑰存放區。

此值旨在提醒您身分驗證憑證的有效期。但是，由於我們會在您將憑證與外部金鑰存放區建立關聯時開始計數，而不是在外部金鑰存放區代理上建立身分驗證憑證時，因此這可能不是代理上憑證有效期的準確指標。

使用此指標建立 CloudWatch 警示，提醒您輪換外部金鑰存放區代理身分驗證憑證。

維度群組名稱：Per-Keystore Metrics (每個金鑰存放區指標)

您可以根據外部金鑰存放區和外部KMS金鑰存放區中金鑰的指標建立 CloudWatch 警示。如需說明，請參閱 監控外部金鑰存放區。

XksProxyErrors

與外部金鑰存放區代理 AWS KMS 請求相關的例外狀況數目。此計數包括外部金鑰存放區代理傳回 的例外狀況， AWS KMS 以及外部金鑰存放區代理未在 250 毫秒逾時間隔 AWS KMS 內回應時發生的逾時錯誤。此指標只適用於外部金鑰存放區。

使用此指標追蹤外部KMS金鑰存放區中金鑰的錯誤率。它顯示了最常見的錯誤，因此您可以優先考慮工程工作。例如，產生高速率不可重試錯誤的KMS金鑰可能表示外部金鑰存放區組態發生問題。若要檢視外部金鑰存放區組態，請參閱 檢視外部金鑰存放區。若要編輯外部金鑰存放區設定，請參閱 編輯外部金鑰存放區屬性。

維度群組名稱 ：XKS代理錯誤指標

您可以根據外部金鑰存放區和外部KMS金鑰存放區中金鑰的指標建立 CloudWatch 警示。如需說明，請參閱 監控外部金鑰存放區。

XksExternalKeyManagerStates

下列每個運作狀態中的外部金鑰管理器執行個體的數目計數：Active、Degraded 和 Unavailable。此指標的資訊來自與每個外部金鑰存放區關聯的外部金鑰存放區代理。此指標只適用於外部金鑰存放區。

以下是與外部金鑰存放區相關聯之外部金鑰管理器執行個體的運作狀態。每個外部金鑰存放區代理可能會使用不同的指標來測量外部金鑰管理器的運作狀態。如需詳細資訊，請參閱外部金鑰存放區代理的文件。

使用此指標建立 CloudWatch 警示，提醒您已降級且無法使用的外部金鑰管理員執行個體。若要確定處於每個狀態的外部金鑰管理器執行個體，請參閱外部金鑰存放區代理日誌。

維度群組名稱：XKS外部金鑰管理員指標

您可以根據外部金鑰存放區和外部KMS金鑰存放區中金鑰的指標建立 CloudWatch 警示。如需說明，請參閱 監控外部金鑰存放區。

XksProxyLatency

外部金鑰存放區代理回應 AWS KMS 請求所需的毫秒數。如果請求逾時，則記錄的值為 250 毫秒逾時限制。此指標只適用於外部金鑰存放區。

使用此指標可評估外部金鑰存放區代理和外部金鑰管理器的效能。例如，如果代理在加密和解密操作中經常逾時，請咨詢您的外部代理管理員。

回應緩慢可能也表示您的外部金鑰管理員無法處理目前的請求流量。 AWS KMS 建議您的外部金鑰管理員能夠處理每秒最多 1800 個密碼編譯操作的請求。如果您的外部金鑰管理器無法處理每秒 1800 個請求，請考慮為自訂金鑰存放區 中的KMS金鑰請求配額減少。使用外部金鑰存放區中的KMS金鑰進行密碼編譯操作的請求會因限流例外狀況而快速失敗，而不是由外部金鑰存放區代理或外部金鑰管理員處理和稍後拒絕。

維度群組名稱：XKS代理延遲指標

您可以根據外部金鑰存放區和外部KMS金鑰存放區中金鑰的指標建立 CloudWatch 警示。如需說明，請參閱「監控外部金鑰存放區」。