使用 Amazon CloudWatch 監控 KMS 金鑰 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon CloudWatch 監控 KMS 金鑰

您可以使用 AWS KMS keys Amazon CloudWatch 來監控您的 ,Amazon CloudWatch 是一項將原始資料從 收集並處理 AWS KMS 為可讀取、近乎即時的指標 AWS 的服務。這些資料會保留 2 週,因此您可以存取歷史資訊,更加了解您 KMS 金鑰的使用情形及其隨時間的變更。

您可以使用 Amazon CloudWatch 對您的重要事件發出提醒,例如下列事件。

  • KMS 金鑰中匯入的金鑰材料接近其過期日期。

  • 仍然會使用等待刪除的 KMS 金鑰。

  • KMS 金鑰中的金鑰材料會自動輪換。

  • 已刪除 KMS 金鑰。

您也可以建立 Amazon CloudWatch 警示,在您的請求率達到配額值的特定百分比時發出提醒。如需詳細資訊,請參閱 AWS 安全部落格中的使用 Service Quotas 和 Amazon CloudWatch 管理您的 AWS KMS API 請求率

AWS KMS 指標和維度

AWS KMS 預先定義 Amazon CloudWatch 指標,讓您更輕鬆地監控關鍵資料並建立警示。您可以使用 AWS Management Console 和 Amazon CloudWatch API 檢視 AWS KMS 指標。

本節列出每個 AWS KMS 指標和每個指標的維度,並提供一些基本指導,以根據這些指標和維度建立 CloudWatch 警示。

注意

維度群組名稱

若要在 Amazon CloudWatch 主控台中檢視指標,請在 Metrics (指標) 區段中選取維度群組名稱。然後,您可以按 Metric name (指標名稱) 進行篩選。本主題包括每個 AWS KMS 指標的指標名稱和維度群組名稱。

您可以使用 AWS Management Console 和 Amazon CloudWatch API 檢視 AWS KMS 指標。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》中的檢視可用的指標

SecondsUntilKeyMaterialExpiration

KMS 金鑰中匯入金鑰材料過期之前所剩的秒數。此指標僅對具有匯入金鑰材料 (EXTERNAL金鑰材料來源) 和到期日的 KMS 金鑰有效。

使用此指標可追蹤匯入金鑰資料過期之前所剩的時間。當該時間低於您定義的閾值時,您可能會重新匯入具有新到期日期的金鑰材料。該 SecondsUntilKeyMaterialExpiration 指標專用於 KMS 金鑰。您無法使用此指標來監控多個 KMS 金鑰或您可能在將來建立的 KMS 金鑰。如需建立 CloudWatch 警示以監控此指標的說明,請參閱 建立 CloudWatch 警示以因應匯入金鑰材料過期

此指標最實用的統計數字是 Minimum,其會告訴您指定統計週期內所有資料點之剩餘時間的最小數量。此指標的唯一有效單位是 Seconds

維度群組名稱Per-Key Metrics (每個金鑰指標)

SecondsUntilKeyMaterialExpiration 的維度
維度 描述;與 相關 AWS
KeyId 每個 KMS 金鑰的值。

當您排程刪除 KMS 金鑰時, AWS KMS 會在刪除 KMS 金鑰之前強制執行等待期間。您可以利用等待期間來確保您現在或未來都不需要該 KMS 金鑰。您也可以設定 CloudWatch 警示來警告您有人或應用程式在等待期間嘗試在密碼編譯操作中使用 KMS 金鑰。如果您收到這類警示的通知,您可能需要取消刪除 KMS 金鑰。

如需說明,請參閱 建立偵測 KMS 金鑰待定刪除使用情況的警示

CloudHSMKeyStoreThrottle

AWS KMS 調節 (回應 ) 的每個金鑰存放區中 KMS AWS CloudHSM 金鑰上密碼編譯操作的請求數量ThrottlingException。此指標僅適用於 AWS CloudHSM 金鑰存放區。

CloudHSMKeyStoreThrottle指標僅適用於金鑰存放區中的 AWS CloudHSM KMS 金鑰,也僅適用於密碼編譯操作的請求。當請求速率超過 AWS CloudHSM 金鑰存放區的自訂金鑰存放區請求配額時, AWS KMS 會調節這些請求。此指標也包含 AWS CloudHSM 叢集的調節。

維度群組名稱Keystore Throttle Metrics (金鑰存放區限流指標)

維度 描述
CustomKeyStoreId 每個 AWS CloudHSM 金鑰存放區的值。
KmsOperation 每個 AWS KMS API 操作的值。此指標僅適用於金鑰存放區中 KMS AWS CloudHSM 金鑰上的密碼編譯操作。
KeySpec 每個 KMS 金鑰類型的值。金鑰存放區中 KMS 金鑰唯一支援的 AWS CloudHSM 金鑰規格是 SYMMETRIC_DEFAULT。

ExternalKeyStoreThrottle

在 AWS KMS 調節 (回應 ) 的每個外部金鑰存放區中,對 KMS 金鑰進行密碼編譯操作的請求數量ThrottlingException。此指標只適用於外部金鑰存放區

ExternalKeyStoreThrottle指標僅適用於外部金鑰存放區中的 KMS 金鑰,也僅適用於密碼編譯操作的請求。當請求速率超過外部金鑰存放區自訂金鑰存放區請求配額時, AWS KMS 會調節這些請求。此指標不包括外部金鑰存放區代理或外部金鑰管理器的限流。

使用此指標來檢閱和調整自訂金鑰存放區請求配額的值。如果此指標指出 AWS KMS 經常調節您對這些 KMS 金鑰的請求,您可以考慮請求增加自訂金鑰存放區請求配額值。如需相關說明,請參閱《Service Quotas 使用者指南》中的請求提升配額

如果您經常收到 KMSInvalidStateException 錯誤,並且訊息說明「因為請求率非常高」而拒絕請求,或「因為外部金鑰存放區代理未及時回應」而拒絕請求,則可能表示您的外部金鑰管理器或外部金鑰存放區代理無法跟上目前的請求率。如果可能,請降低您的請求率。您也可以考慮請求減少自訂金鑰存放區請求配額值。減少此配額值可能會增加調節 (和ExternalKeyStoreThrottle指標值),但表示 AWS KMS 會在將過多請求傳送至外部金鑰存放區代理或外部金鑰管理員之前,快速拒絕這些請求。若要請求減少配額,請造訪 AWS 支援 中心並建立案例。

維度群組名稱Keystore Throttle Metrics (金鑰存放區限流指標)

維度 描述
CustomKeyStoreId 每個外部金鑰存放區的值。
KmsOperation 每個 AWS KMS API 操作的值。此指標僅適用於外部金鑰存放區中 KMS 金鑰上的密碼編譯操作。
KeySpec 每個 KMS 金鑰類型的值。外部金鑰存放區中 KMS 金鑰的唯一受支援的金鑰規格為 SYMMETRIC_DEFAULT。

XksProxyCertificateDaysToExpire

外部金鑰存放區代理端點 (XksProxyUriEndpoint) 的 TLS 憑證到期前的天數。此指標只適用於外部金鑰存放區

使用此指標建立 CloudWatch 警示,通知您 TLS 憑證即將到期。當憑證過期時, AWS KMS 無法與外部金鑰存放區代理通訊。在您續約憑證之前,外部金鑰存放區中受 KMS 金鑰保護的所有資料都無法存取。

憑證警示可防止憑證過期,這可能使您無法存取已加密的資源。設定警示可讓組織有時間在憑證過期之前續約憑證。

維度群組名稱XKS Proxy Certificate Metrics (XKS 代理憑證指標)

維度 描述
CustomKeyStoreId 每個外部金鑰存放區的值。
CertificateName TLS 憑證中的主體名稱 (CN)。

您可以根據外部金鑰存放區和外部金鑰存放區中 KMS 金鑰的指標來建立 CloudWatch 警示。如需說明,請參閱 監控外部金鑰存放區

XksProxyCredentialAge

自當前外部金鑰存放區代理身分驗證憑證 (XksProxyAuthenticationCredential) 與外部金鑰存放區相關聯之後的天數。當您在建立或更新外部金鑰存放區時輸入身分驗證憑證,此計數便會開始。此指標只適用於外部金鑰存放區

此值旨在提醒您身分驗證憑證的有效期。但是,由於我們會在您將憑證與外部金鑰存放區建立關聯時開始計數,而不是在外部金鑰存放區代理上建立身分驗證憑證時,因此這可能不是代理上憑證有效期的準確指標。

使用此指標建立 CloudWatch 警示,提醒您輪換外部金鑰存放區代理身分驗證憑證。

維度群組名稱Per-Keystore Metrics (每個金鑰存放區指標)

維度 描述
CustomKeyStoreId 每個外部金鑰存放區的值。

您可以根據外部金鑰存放區和外部金鑰存放區中 KMS 金鑰的指標來建立 CloudWatch 警示。如需說明,請參閱 監控外部金鑰存放區

XksProxyErrors

與外部金鑰存放區代理 AWS KMS 請求相關的例外狀況數目。此計數包含外部金鑰存放區代理傳回 的例外狀況, AWS KMS 以及外部金鑰存放區代理未在 250 毫秒逾時間隔 AWS KMS 內回應時發生的逾時錯誤。此指標只適用於外部金鑰存放區

使用此指標可追蹤外部金鑰存放區中 KMS 金鑰的錯誤率。它顯示了最常見的錯誤,因此您可以優先考慮工程工作。例如,產生高速率不可重試錯誤的 KMS 金鑰可能表示外部金鑰存放區的組態有問題。若要檢視外部金鑰存放區組態,請參閱 檢視外部金鑰存放區。若要編輯外部金鑰存放區設定,請參閱 編輯外部金鑰存放區屬性

維度群組名稱XKS Proxy Error Metrics (XKS 代理錯誤指標)

維度 描述
CustomKeyStoreId 每個外部金鑰存放區的值。
KmsOperation 產生 XKS 代理請求的每個 AWS KMS API 操作的值。
XksOperation 每個外部金鑰存放區代理 API 操作的值。
KeySpec 每個 KMS 金鑰類型的值。外部金鑰存放區中 KMS 金鑰的唯一受支援的金鑰規格為 SYMMETRIC_DEFAULT。
ErrorType 數值:
  • 可重試的錯誤:可能是暫時性的,例如網路錯誤。

  • 不可重試的錯誤:可能表示自訂金鑰存放區組態或外部元件有問題。

  • N/A:請求成功;沒有錯誤

ExceptionName

數值:

  • 例外狀況的名稱

  • 無:請求成功;沒有錯誤

您可以根據外部金鑰存放區和外部金鑰存放區中 KMS 金鑰的指標來建立 CloudWatch 警示。如需說明,請參閱 監控外部金鑰存放區

XksExternalKeyManagerStates

下列每個運作狀態中的外部金鑰管理器執行個體的數目計數:ActiveDegradedUnavailable。此指標的資訊來自與每個外部金鑰存放區關聯的外部金鑰存放區代理。此指標只適用於外部金鑰存放區

以下是與外部金鑰存放區相關聯之外部金鑰管理器執行個體的運作狀態。每個外部金鑰存放區代理可能會使用不同的指標來測量外部金鑰管理器的運作狀態。如需詳細資訊,請參閱外部金鑰存放區代理的文件。

  • Active:外部金鑰管理器運作正常。

  • Degraded:外部金鑰管理器運作不正常,但仍可提供流量

  • Unavailable:外部金鑰管理器無法提供流量。

使用此指標建立 CloudWatch 警示,以提醒您存在降級和無法使用的外部金鑰管理器執行個體。若要確定處於每個狀態的外部金鑰管理器執行個體,請參閱外部金鑰存放區代理日誌。

維度群組名稱XKS External Key Manager Metrics (XKS 外部金鑰管理器指標)

維度 描述
CustomKeyStoreId 每個外部金鑰存放區的值。
XksExternalKeyManagerState 每個運作狀態的值。

您可以根據外部金鑰存放區和外部金鑰存放區中 KMS 金鑰的指標來建立 CloudWatch 警示。如需說明,請參閱 監控外部金鑰存放區

XksProxyLatency

外部金鑰存放區代理回應 AWS KMS 請求所需的毫秒數。如果請求逾時,則記錄的值為 250 毫秒逾時限制。此指標只適用於外部金鑰存放區

使用此指標可評估外部金鑰存放區代理和外部金鑰管理器的效能。例如,如果代理在加密和解密操作中經常逾時,請咨詢您的外部代理管理員。

回應緩慢也可能表示您的外部金鑰管理員無法處理目前的請求流量。 AWS KMS 建議您的外部金鑰管理員每秒最多能夠處理 1800 個密碼編譯操作的請求。如果您的外部金鑰管理器無法處理每秒 1800 個請求,請考慮請求減少自訂金鑰存放區中 KMS 金鑰的請求配額。使用外部金鑰存放區中的 KMS 金鑰進行密碼編譯操作的請求會快速檢錯,並發生限流例外狀況,而不是被外部金鑰存放區代理或外部金鑰管理器處理並拒絕。

維度群組名稱XKS Proxy Latency Metrics (XKS 代理延遲指標)

維度 描述
CustomKeyStoreId 每個外部金鑰存放區的值。
KmsOperation 產生 XKS 代理請求的每個 AWS KMS API 操作的值。
XksOperation 每個外部金鑰存放區代理 API 操作的值。
KeySpec 每個 KMS 金鑰類型的值。外部金鑰存放區中 KMS 金鑰的唯一受支援的金鑰規格為 SYMMETRIC_DEFAULT。

您可以根據外部金鑰存放區和外部金鑰存放區中 KMS 金鑰的指標來建立 CloudWatch 警示。如需說明,請參閱「監控外部金鑰存放區」。