監控 AWS KMS keys - AWS Key Management Service
監控工具

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監控 AWS KMS keys

監控是了解 AWS KMS keys 中 的可用性、狀態和用量, AWS KMS 以及維護 AWS 解決方案可靠性、可用性和效能的重要部分。收集 AWS 解決方案全面的監控資料,可協助在出現多點故障時進行偵錯。不過,在您開始監控 KMS 金鑰之前,應先建立監控計畫,為下列問題提供解答:

  • 監控目標是什麼?

  • 要監控哪些資源?

  • 監控這些資源的頻率為何?

  • 要使用哪些監控工具

  • 誰將執行監控任務?

  • 發生問題時應該通知誰?

下一個步驟是隨時間監控您的 KMS 金鑰,以建立您環境中 AWS KMS 正常使用和期望的基準。當您監控 KMS 金鑰時,請存放歷史記錄監控資料,如此才能與目前的資料做比較、辨識正常模式和異常狀況、規劃問題處理方式。

例如,您可以監控會影響 KMS 金鑰的 AWS KMS API 活動和事件。當資料高於或低於既定常規,您可能需要調查或採取修正動作。

若要建立正常模式的基準,請監控下列項目:

監控工具

AWS 提供各種工具,您可以用來監控 KMS 金鑰。您可以設定其中一些工具來進行監控,但有些工具需要手動介入。建議您盡可能自動化監控任務。

自動化監控工具

您可以使用下列自動化監控工具來監看 KMS 金鑰,並在發生變更時進行回報。

  • AWS CloudTrail 日誌監控 – 在帳戶之間共用日誌檔案、將日誌檔案傳送至 CloudTrail CloudWatch Logs 以即時監控 CloudTrail 日誌檔案、使用 CloudTrail Processing Library 寫入日誌處理應用程式,以及驗證您的日誌檔案在 CloudTrail 交付後並未變更。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的使用 CloudTrail 日誌檔案

  • Amazon CloudWatch 警示:監看指定時段內的單一指標,並根據與多個時段內給定之閾值相對的指標值來執行一或多個動作。此動作是傳送到 Amazon Simple Notification Service (Amazon SNS) 主題或 Amazon EC2 Auto Scaling 政策的通知。CloudWatch 警示不會只因處於特定狀態就叫用動作,狀態必須已變更並已維持一段指定的時間。如需詳細資訊,請參閱使用 Amazon CloudWatch 監控 KMS 金鑰

  • Amazon EventBridge – 匹配事件並將事件路由至一或多個目標函數或串流,以擷取狀態資訊,如果需要的話,也能進行變更或採取修正動作。如需詳細資訊,請參閱 使用 Amazon EventBridge 監控 KMS 金鑰 和《Amazon EventBridge 使用者指南》。

  • Amazon CloudWatch Logs – 從 AWS CloudTrail 或其他來源監控、存放和存取您的日誌檔案。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南

手動監控工具

監控 KMS 金鑰的另一個重要部分是手動監控 CloudWatch 警示和事件未涵蓋的項目。 AWS KMS、CloudWatch AWS Trusted Advisor和其他 AWS 儀表板提供環境 AWS 狀態的at-a-glance。

您可以自訂 AWS KMS 主控台AWS 受管金鑰客戶受管金鑰頁面,以顯示有關每個 KMS 金鑰的下列資訊:

CloudWatch 主控台儀表板會顯示下列項目:

  • 目前警示與狀態

  • 警示與資源的圖表

  • 服務運作狀態

此外,您可以使用 CloudWatch 執行下列動作:

  • 建立自定儀表板來監控您注重的服務

  • 用於疑難排解問題以及探索驅勢的圖形指標資料。

  • 搜尋和瀏覽您的所有 AWS 資源指標

  • 建立與編輯要通知發生問題的警示

AWS Trusted Advisor 可協助您監控 AWS 資源,以提高效能、可靠性、安全性和成本效益。所有使用者皆可使用四個 Trusted Advisor 檢查;具有商業或企業支援計劃的使用者可使用超過 50 個檢查。如需詳細資訊,請參閱AWS Trusted Advisor