本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监控 Amazon KMS keys
对于了解 Amazon KMS 中 Amazon KMS keys 的可用性、状态和使用情况,以及维护 Amazon 解决方案的可靠性、可用性和性能,监控是一个重要部分。从 Amazon 解决方案的各个部分收集监控数据将有助于调试出现的多点故障。不过,在开始监控 KMS 密钥之前,应制定一个监控计划并在计划中回答下列问题:
-
监控目的是什么?
-
您将监控哪些资源?
-
监控这些资源的频率如何?
-
您将使用哪些监控工具?
-
谁负责执行监控任务?
-
出现情况时应通知谁?
下一步是监控 KMS 密钥在一段时间内的情况,以便为环境中正常的 Amazon KMS 使用情况和预期建立基准。监控 KMS 密钥时,存储历史监控数据,以便将此数据与当前数据进行比较,从而确定正常模式和异常情况,并找出解决问题的方法。
例如,您可以监控影响 KMS 密钥的 Amazon KMS API 活动和事件。当数据高于或低于既定标准时,您可能需要进行调查或采取纠正措施。
要建立正常模式的基准,应监控以下各项:
-
Amazon KMS数据层面操作的 API 活动。这些是使用 KMS 密钥的加密操作,例如解密、ReEncrypt加密和。GenerateDataKey
-
对您而言至关重要的Amazon KMS控制层面操作的 API 活动。这些操作管理 KMS 密钥,您可能需要监控那些更改 KMS 密钥可用性的操作(例如ScheduleKeyDeletion、、CancelKeyDeletion、DisableKey、EnableKeyImportKeyMaterial、和 DeleteImportedKeyMaterial)或更改 KMS 密钥的访问控制(例如PutKeyPolicy和 RevokeGrant)。
-
其他 Amazon KMS 指标(如导入的密钥资料过期之前的剩余时间量)和事件(如导入的密钥资料到期,KMS 密钥的删除或密钥轮换)。
监控工具
Amazon 为您提供了可用来监控 KMS 密钥的各种工具。您可以配置其中的一些工具来为您执行监控任务,但有些工具需要手动干预。建议您尽可能实现监控任务自动化。
自动监控工具
您可以使用以下自动化监控工具来监控 KMS 密钥并在发生更改时进行报告。
-
Amazon CloudTrail日志监控-在账户之间共享日志文件,通过将 CloudTrail 日志文件发送到 “ CloudWatch 日志” 来实时监控日志文件,使用处理库编写日志CloudTrail 处理应用程序,并验证您的日志文件在传送后是否未更改 CloudTrail。有关更多信息,请参阅Amazon CloudTrail用户指南中的使用 CloudTrail 日志文件。
-
A CloudWatch mazon Alarms — 在您指定的时间段内观察单个指标,并根据该指标在多个时间段内相对于给定阈值的值执行一项或多项操作。该操作是发送到亚马逊简单通知服务 (Amazon SNS) Simple Notification Scaling 主题或亚马逊 EC2 Auto Scaling 策略的通知。 CloudWatch 警报不会仅仅因为它们处于特定状态就调用操作;该状态必须已更改并保持了指定的时间段。有关更多信息,请参阅 使用 Amazon 进行监控 CloudWatch。
-
Amazon EventBridge — 匹配事件并将其路由到一个或多个目标函数或流,以捕获状态信息,并在必要时进行更改或采取纠正措施。有关更多信息,请参阅使用 Amazon 进行监控 EventBridge和 Amazon EventBridge 用户指南。
-
Amazon CloudWatch Logs — 监控、存储和访问来自Amazon CloudTrail或其他来源的日志文件。有关更多信息,请参阅 Amazon CloudWatch 日志用户指南。
手动监控工具
监控 KMS 密钥的另一个重要部分是手动监控 CloudWatch 警报和事件未涵盖的项目。Amazon KMS、 CloudWatchAmazon Trusted Advisor、和其他Amazon仪表板提供了Amazon环境状态的 at-a-glance 视图。
您可以自定义 Amazon KMS 控制台
CloudWatch 控制台控制面板
-
当前告警和状态
-
告警和资源图表
-
服务运行状况
此外,您还可以使用 CloudWatch 执行以下操作:
-
创建自定义控制面板以监控您关心的服务
-
绘制指标数据图,以排除问题并弄清楚趋势
-
搜索并浏览您所有的 Amazon 资源指标
-
创建和编辑警报以接收有关问题的通知
Amazon Trusted Advisor 可以帮助您监控 Amazon 资源以提高性能、可靠性、安全性和成本效益。四个 Trusted Advisor 检查可供所有用户使用;超过 50 个检查可供具有“商业”或“企业”支持计划的用户使用。有关更多信息,请参阅 Amazon Trusted Advisor