使用 Amazon CloudWatch 监控 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon CloudWatch 监控

您可以使用 Amazon CloudWatch 监控 Amazon KMS keys,这是一项 Amazon 服务,可从 Amazon KMS 收集原始数据,并将数据处理为便于读取的近乎实时的指标。这些数据会保存两周,从而使您能够访问历史信息,并更好地了解您 KMS 密钥的使用情况及其随时间推移而发生的变化。

您可以使用 Amazon CloudWatch 提示自己注意重要事件,例如:

  • KMS 密钥中导入的密钥材料临近到期日期。

  • 仍在使用待删除的 KMS 密钥。

  • KMS 密钥中的密钥材料已自动轮换。

  • KMS 密钥已删除。

您也可以创建 Amazon CloudWatch 告警,当您的请求速率达到配额值的特定百分比时向您发出提示。有关详细信息,请参阅 Amazon 安全博客中的使用 Service Quotas 和 Amazon CloudWatch 管理您的 Amazon KMS API 请求速度

Amazon KMS 指标和维度

当您将密钥材料导入 KMS 密钥中并将其设置为过期时,Amazon KMS 会向 CloudWatch 发送指标和维度。您可以使用 Amazon Web Services Management Console 和 Amazon CloudWatch API 查看 Amazon KMS 指标。

Amazon KMS 指标

AWS/KMS 命名空间包括以下指标。

SecondsUntilKeyMaterialExpiration

此指标跟踪 KMS 密钥中导入的密钥材料过期之前剩余的秒数。此指标仅对来源为 EXTERNAL 且有到期日期的 KMS 密钥有效。

使用此指标可以跟踪所导入密钥材料的到期之前剩余时间量。当该时间低于您定义的阈值时,您可能需要采取措施,例如重新导入密钥材料并设置新的到期日期。您可以创建 CloudWatch 警报,在到期日期临近时通知您。

SecondsUntilKeyMaterialExpiration 指标特定于单个 KMS 密钥。您不能使用此指标来监控多个 KMS 密钥或将来可能创建的多个 KMS 密钥。

该指标最有用的统计数据是 Minimum,它会告诉您指定统计周期内所有数据点的最小剩余时间。此指标的唯一有效单位是 Seconds

Amazon KMS 指标的维度

Amazon KMS 指标使用 AWS/KMS 命名空间并且只有一个有效的维度:KeyId。您可以使用此维度查看特定 KMS 密钥或 KMS 密钥集的指标数据。

如何查看 Amazon KMS 指标?

您可以使用 Amazon Web Services Management Console 和 Amazon CloudWatch API 查看 Amazon KMS 指标。

使用 CloudWatch 控制台查看指标
  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 如果需要,可以更改区域。从导航栏中,选择 Amazon 资源所在的区域。

  3. 在导航窗格中,依次选择 Metrics(指标)、All metrics(所有指标)。

  4. Browse(浏览)选项卡上,搜索 KMS,然后选择 KMS

  5. 选择 Per-Key Metrics(每密钥指标)以查看每个受影响的 KMS 密钥的指标和维度。

    仅显示受影响的 KMS 密钥。例如,对于 SecondsUntilKeyMaterialExpiration 指标,列表仅包含导入的密钥材料到期的 KMS 密钥。

  6. 要获取指标值的图表,请选择指标名称,然后选择 Add to graph。要将折线图转换为值,请选择 Line(折线),然后选择 Number(数字)。

要使用 Amazon CloudWatch API 查看指标

要使用 CloudWatch API 查看 Amazon KMS 指标,请发送一个 ListMetrics 请求,并将 Namespace 设置为 AWS/KMS。以下示例说明如何使用 Amazon Command Line Interface (Amazon CLI) 执行该操作。

$ aws cloudwatch list-metrics --namespace AWS/KMS { "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ] }

创建 CloudWatch 警报以监控 KMS 密钥

您可基于 Amazon KMS 指标创建 Amazon CloudWatch 警报。当指标值超过警报配置中指定的阈值时,警报会发送一封电子邮件。警报可以将电子邮件消息发送到 Amazon Simple Notification Service (Amazon SNS) 主题Amazon EC2 Auto Scaling 策略。有关 CloudWatch 警报更多详细信息,请参阅《Amazon CloudWatch 用户指南》中的使用 Amazon CloudWatch 警报

针对到期的导入密钥材料创建警报

您可以使用 SecondsUntilKeyMaterialExpiration 指标创建 CloudWatch 警报,在 KMS 密钥中导入的密钥材料即将到期期时通知您。

当您将密钥材料导入 KMS 密钥中时,可以选择性地指定密钥材料的到期时间。当密钥材料过期后,Amazon KMS 将删除密钥材料,并且 KMS 密钥将变为不可用。要再次使用该 KMS 密钥,您必须重新导入密钥材料

有关说明,请参阅针对导入密钥材料的到期创建 CloudWatch 警报

创建待删除 KMS 密钥的使用情况的警报

当您为 KMS 密钥计划删除时,Amazon KMS 会强制执行一段等待期,然后再删除 KMS 密钥。您可以利用这段等待期来确保现在或将来都不需要 KMS 密钥。您还可以配置 CloudWatch 告警,使其在有人员或应用程序在等待期间试图于加密操作中使用 KMS 密钥时发出警告。如果您收到来自此类告警的通知,您可能需要取消删除 KMS 密钥。

有关说明,请参阅创建检测待删除 KMS 密钥的使用的警报