監控外部金鑰存放區

AWS KMS 會收集每次與外部金鑰存放區互動的指標，並將其發佈至您的帳戶 CloudWatch 。這些指標用於在每個外部金鑰存放區之詳細資訊頁面的監控區段中產生圖表。下列主題詳細說明如何使用圖表來識別會影響外部金鑰存放區的操作和組態問題，並進行疑難排解。我們建議您使用 CloudWatch 指標來設定警示，在外部金鑰存放區未如預期執行時通知您。如需詳細資訊，請參閱使用 Amazon 進行監控 CloudWatch。

主題

檢視圖表
解釋圖表

檢視圖表

您可以用不同的詳細資料層級檢視圖表。依預設，每個圖表使用三小時的時間範圍和五分鐘的彙總期間。您可以在主控台內調整圖表檢視，但是當外部金鑰存放區詳細資訊頁面關閉或瀏覽器重新整理時，您的變更將還原為預設設定。如需 Amazon CloudWatch 術語的協助，請參閱 Amazon CloudWatch 概念。

檢視資料點詳細資訊

每個圖表中的資料是依 AWS KMS 指標收集的。若要檢視有關特定資料點的詳細資訊，請將滑鼠暫停在折線圖上的資料點上。這會顯示一個彈出式視窗，其中包含有關衍生出該圖表之指標的詳細資訊。每個清單項目都會顯示在該資料點記錄的維度值。如果該資料點的維度值沒有可用的指標資料，彈出式視窗會顯示空值 (–)。有些圖表會記錄單一資料點的多個維度和值。其他圖表 (例如可靠性圖表) 會使用指標收集的資料來計算唯一值。每個清單項目都與不同的折線圖顏色相關聯。

修改時間範圍

若要修改時間範圍，請選取監控區段右上角其中一種預先定義的時間範圍。預先定義的時間範圍為 1 小時到 1 週 (1h (1 小時)、3h (3 小時)、12h (12 小時)、1d (1 天)、3d (3 天) 或 1w (1 週))。這會調整所有圖表的時間範圍。如果您想要檢視不同時間範圍中的一個特定圖形，或想要設定自訂時間範圍，請放大圖形或在 Amazon CloudWatch 主控台中檢視。

放大圖表

您可以使用迷你地圖縮放功能，將焦點放在折線圖的某個區段以及圖表的某些部分上，而無需在放大和縮小檢視之間進行變更。例如，您可以使用迷你地圖縮放功能，將焦點放在圖表中的峰值上，以便在同一時間軸中將尖峰與監控區段中的其他圖表進行比較。

選擇並拖曳要聚焦的圖表區域，然後放開拖曳。
若要重設縮放，請選擇 Reset zoom (重設縮放) 圖示，這看起來像一個帶有減號 (-) 符號的放大鏡。

放大圖表

若要放大圖表，請選取單個圖表右上角的選單圖示，然後選擇 Enlarge (放大)。您也可以選取當您將游標停留在圖表上時顯示在選單圖示旁邊的放大圖示。

放大圖表可讓您透過指定不同的時段、自訂時間範圍或重新整理間隔來進一步修改圖表檢視。當您關閉放大的檢視時，這些變更將恢復為預設設定。

修改期間

選擇 Period options (期間選項) 功能表。依預設，此選單會顯示值：5 分鐘。
選擇一個期間，預先定義的期間從 1 秒到 30 天不等。

例如，您可以選擇一分鐘檢視，這在疑難排解時非常有用。或者，選擇較不精細的一小時檢視。當檢視更廣泛的時間範圍 (例如 3 天) 時，您可以看到隨時間變化的趨勢。如需詳細資訊，請參閱 Amazon CloudWatch 使用者指南 中的期間。

修改時間範圍或時區

選取其中一個預先定義的時間範圍，範圍從 1 小時到 1 週不等 (1h (1 小時)、3h (3 小時)、12h (12 小時)、1d (1 天)、3d (3 天) 1w (1 週))。或者，您也可以選擇 Custom (自訂) 來設定您自己的時間範圍。
選擇 Custom (自訂)。
1. Time range: (時間範圍：) 選取方塊左上角的 Absolute (絕對值) 索引標籤。使用行事曆選擇器或文字欄位方塊來指定時間範圍。
2. Time zone: (時區：) 選擇方塊右上角的下拉式選單。您可以將時區變更為 UTC或 本機時區 。
指定時間範圍後，選擇 Apply (套用)。

修改圖表中資料重新整理的頻率

選擇右上角的 Refresh options (重新整理選項) 選單。
選擇重新整理間隔 (Off (關閉)、10 Seconds (10 秒)、1 Minute (1 分鐘)、2 Minutes (2 分鐘)、5 Minutes (5 分鐘) 或 15 Minutes (15 分鐘))。

在 Amazon CloudWatch 主控台中檢視圖形

監控區段中的圖形衍生自 AWS KMS 發佈至 Amazon 的預先定義指標 CloudWatch。您可以在 CloudWatch 主控台中開啟它們，並將其儲存至 CloudWatch 儀表板。如果您有多個外部金鑰存放區，您可以在中開啟其各自的圖形，並將其 CloudWatch 儲存至單一儀表板，以比較其運作狀態和用量。

新增至 CloudWatch 儀表板

選取右上角的新增至儀表板，將所有圖形新增至 Amazon CloudWatch 儀表板。您可以選取現有的儀表板或建立新的儀表板。如需使用此儀表板建立圖形和警示自訂檢視的資訊，請參閱 Amazon CloudWatch 使用者指南中的使用 Amazon 儀表板。 CloudWatch

在 CloudWatch 指標中檢視

選取個別圖形右上角的選單圖示，然後選擇在指標中檢視，以在 Amazon CloudWatch 主控台中檢視此圖形。從 CloudWatch 主控台，您可以將此單一圖形新增至儀表板，並修改時間範圍、期間和重新整理間隔。如需詳細資訊，請參閱 Amazon CloudWatch 使用者指南 中的繪製指標圖形。

解釋圖表

AWS KMS 提供數個圖形來監控 AWS KMS 主控台內外部金鑰存放區的運作狀態。這些圖表會自動設定並衍生自 AWS KMS 指標。

作為您對外部金鑰存放區和外部金鑰進行呼叫的一部分來收集圖表資料。您可能會在未進行任何呼叫的時間範圍看到資料填入圖表，此資料來自代表您 AWS KMS 進行的定期GetHealthStatus呼叫，以檢查外部金鑰存放區代理和外部金鑰管理器的狀態。如果您的圖表顯示 No data available (沒有資料可用) 訊息，則在該時間範圍內沒有記錄任何呼叫，或者您的外部金鑰存放區處於 DISCONNECTED 狀態。透過將檢視調整為更寬的時間範圍，可確定外部金鑰存放區中斷連接的時間。

請求總數

在指定時間範圍內，特定外部金鑰存放區收到的 AWS KMS 請求總數。使用此圖表來確定是否有限流風險。

AWS KMS 建議您的外部金鑰管理員每秒最多能夠處理 1800 個密碼編譯操作的請求。如果五分鐘內的呼叫達到 540,000 個，則有限流風險。

您可以監控外部KMS金鑰存放區中使用 ExternalKeyStoreThrottle 指標進行 AWS KMS 限流的金鑰之密碼編譯操作的請求數目。

如果您經常收到 KMSInvalidStateException 錯誤，並且訊息說明「因為請求率非常高」而拒絕請求，則可能表示您的外部金鑰管理器或外部金鑰存放區代理無法跟上目前的請求率。如果可能，請降低您的請求率。您也可以考慮請求減少自訂金鑰存放區請求配額值。減少此配額值可能會增加限流，但表示在將過多請求傳送至外部金鑰存放區代理或外部金鑰管理員之前 AWS KMS ，會快速拒絕這些請求。若要請求減少配額，請造訪 AWS Support 中心並建立案例。

總請求圖表衍生自 XksProxyErrors 指標，其會收集 AWS KMS 從外部金鑰存放區代理接收的成功與失敗回應的相關資料。當您檢視特定資料點時，快顯視窗會顯示CustomKeyStoreId維度的值，以及在該資料點記錄的 AWS KMS 請求總數。CustomKeyStoreId 將永遠是相同的。

可靠性

外部金鑰存放區代理傳回成功回應或無法重試錯誤之 AWS KMS 請求的百分比。使用此圖表來評估外部金鑰存放區代理的操作運作狀態。

當圖表顯示的值小於 100% 時，表示代理未回應或回應時出現可重試錯誤。這可能表示網路出現問題、外部金鑰存放區代理或外部金鑰管理器運行緩慢或實作錯誤。

如果請求包含錯誤憑證，且您的代理使用回應AuthenticationFailedException，則圖表仍會指出 100% 可靠性，因為代理在外部金鑰存放區代理API請求中識別了不正確的值，因此預期失敗。如果可靠性圖表的百分比為 100%，則外部金鑰存放區代理會按預期回應。如果圖表顯示的值小於 100%，則代理回應時會出現可重試錯誤或逾時。例如，如果由於請求率非常高，代理回應時出現 ThrottlingException，則會顯示較低的可靠性百分比，因為代理無法識別導致它失敗的請求中的特定問題。這是因為可重試的錯誤很可能是暫時性的問題，可以透過重試請求來解決。

下列錯誤回應會降低可靠性百分比。您可以使用前 5 個例外狀況圖表和 XksProxyErrors 指標進一步監控代理傳回每個可重試錯誤的頻率。

InternalException
DependencyTimeoutException
ThrottlingException
XksProxyUnreachableException

可靠性圖表衍生自 XksProxyErrors 指標，該指標會收集從外部金鑰存放區代理 AWS KMS 接收成功和失敗回應的資料。只有當回應的 ErrorType 值為 Retryable 時，才會降低可靠性百分比。當您檢視特定資料點時，快顯視窗會顯示CustomKeyStoreId維度的值，以及在該資料點記錄之 AWS KMS 請求的可靠性百分比。CustomKeyStoreId 將永遠是相同的。

我們建議您使用 XksProxyErrors 指標來建立 CloudWatch 警示，在一分鐘內記錄超過五個可重試錯誤時，提醒您注意潛在的聯網問題。如需詳細資訊，請參閱建立可重試錯誤的警示。

Latency (延遲)

外部金鑰存放區代理回應 AWS KMS 請求所需的毫秒數。使用此圖表可評估外部金鑰存放區代理和外部金鑰管理器的效能。

AWS KMS 預期外部金鑰存放區代理會在 250 毫秒內回應每個請求。在網路逾時的情況下， AWS KMS 會重試一次請求。如果代理第二次失敗，則記錄的延遲是兩次請求嘗試的合併逾時限制，圖表將顯示約 500 毫秒。在代理未在 250 毫秒逾時限制內進行回應的所有其他情況下，記錄的延遲為 250 毫秒。如果代理在加密和解密操作中經常逾時，請咨詢您的外部代理管理員。如需解決延遲問題的說明，請參閱延遲和逾時錯誤。

回應緩慢可能也表示您的外部金鑰管理員無法處理目前的請求流量。 AWS KMS 建議您的外部金鑰管理員能夠處理每秒最多 1800 個密碼編譯操作的請求。如果您的外部金鑰管理器無法處理每秒 1800 個請求，請考慮為自訂金鑰存放區中的KMS金鑰請求配額減少。使用外部金鑰存放區中的KMS金鑰進行密碼編譯操作的請求會因限流例外狀況而快速失敗，而不是由外部金鑰存放區代理或外部金鑰管理員處理和稍後拒絕。

延遲圖表衍生自 XksProxyLatency 指標。當您檢視特定資料點時，彈出式視窗會顯示相應的 KmsOperation 和 XksOperation 維度值，以及在該資料點記錄的平均操作延遲。清單項目會從最高延遲到最低延遲排序。

我們建議您使用 XksProxyLatency 指標建立 CloudWatch 警示，在延遲接近逾時限制時通知您。如需詳細資訊，請參閱建立回應逾時的警示。

前 5 個例外狀況

指定時間範圍內失敗的密碼編譯和管理操作的前五個例外狀況。使用此圖表可追蹤最常見的錯誤，因此您可以優先考慮工程工作。

此計數包含從外部金鑰存放區代理 AWS KMS 收到的例外XksProxyUnreachableException狀況，以及當無法與外部金鑰存放區代理建立通訊時，內部 AWS KMS 傳回的例外狀況。

高比率的可重試錯誤可能表示存在網路錯誤，而高比率的不可重試錯誤可能表示外部金鑰存放區的組態有問題。例如，中的峰值AuthenticationFailedExceptions表示在中設定的身分驗證憑證 AWS KMS 與外部金鑰存放區代理之間的差異。若要檢視外部金鑰存放區組態，請參閱檢視外部金鑰存放區。若要編輯外部金鑰存放區設定，請參閱編輯外部金鑰存放區屬性。

從外部金鑰存放區代理 AWS KMS 收到的例外狀況與操作失敗時 AWS KMS 傳回的例外狀況不同。與外部金鑰存放區外部組態或連線狀態相關的所有失敗KMSInvalidStateException， AWS KMS 加密操作都會傳回。若要識別問題，請使用隨附的錯誤訊息文字。

下表顯示前 5 個例外圖表中可能出現的例外狀況，以及 AWS KMS 傳回給您的對應例外狀況。

錯誤類型圖表中顯示的例外狀況 AWS KMS 傳回給您的例外狀況

不可重試

錯誤類型	圖表中顯示的例外狀況	AWS KMS 傳回給您的例外狀況
不可重試	`AccessDeniedException` 如需故障診斷協助，請參閱代理授權問題。	`CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`AuthenticationFailedException` 如需故障診斷協助，請參閱身分驗證憑證錯誤。	`XksProxyIncorrectAuthenticationCredentialException` 回應 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
可重試	`DependencyTimeoutException` 如需故障診斷協助，請參閱延遲和逾時錯誤。	`XksProxyUriUnreachableException` 回應 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
可重試	`InternalException` 外部金鑰存放區代理拒絕了請求，因為其無法與外部金鑰管理器通訊。確認外部金鑰存放區代理組態正確，以及外部金鑰管理器可使用。	`XksProxyInvalidResponseException` 回應 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`InvalidCiphertextException` 如需故障診斷協助，請參閱解密錯誤。	`KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`InvalidKeyUsageException` 如需故障診斷協助，請參閱外部金鑰的密碼編譯操作錯誤。	`XksKeyInvalidConfigurationException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`InvalidStateException` 如需故障診斷協助，請參閱外部金鑰的密碼編譯操作錯誤。	`XksKeyInvalidConfigurationException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`InvalidUriPathException` 如需故障診斷協助，請參閱一般組態錯誤。	`XksProxyInvalidConfigurationException` 回應 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`KeyNotFoundException` 如需故障診斷協助，請參閱外部金鑰錯誤。	`XksKeyNotFoundException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
可重試	`ThrottlingException` 由於請求率非常高，所以外部金鑰存放區代理拒絕了請求。使用此外部KMS金鑰存放區中的金鑰來降低呼叫頻率。	`XksProxyUriUnreachableException` 回應 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`UnsupportedOperationException` 如需故障診斷協助，請參閱外部金鑰的密碼編譯操作錯誤。	`XksKeyInvalidResponseException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
不可重試	`ValidationException` 如需故障診斷協助，請參閱代理問題。	`XksProxyInvalidResponseException` 回應 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。
可重試	`XksProxyUnreachableException` 如果您重複看到此錯誤，請確認您的外部金鑰存放區代理處於作用中狀態，並已連線至網路，而且其URI路徑和端點URIVPC或服務名稱在外部金鑰存放區中正確。	`XksProxyUriUnreachableException` 回應 `CreateCustomKeyStore` 和 `UpdateCustomKeyStore` 操作。 `CustomKeyStoreInvalidStateException` 回應 `CreateKey` 操作。 `KMSInvalidStateException` 回應密碼編譯操作。

AccessDeniedException

如需故障診斷協助，請參閱代理授權問題。

CustomKeyStoreInvalidStateException 回應 CreateKey 操作。