监控 Amazon KMS keys - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

监控 Amazon KMS keys

对于了解 Amazon KMS 中 Amazon KMS keys 的可用性、状态和使用情况,以及维护 Amazon 解决方案的可靠性、可用性和性能,监控是一个重要部分。从 Amazon 解决方案的各个部分收集监控数据将有助于调试出现的多点故障。不过,在开始监控 KMS 密钥之前,应制定一个监控计划并在计划中回答下列问题:

  • 监控目的是什么?

  • 您将监控哪些资源?

  • 监控这些资源的频率如何?

  • 您将使用哪些监控工具

  • 谁负责执行监控任务?

  • 出现情况时应通知谁?

下一步是监控 KMS 密钥在一段时间内的情况,以便为环境中正常的 Amazon KMS 使用情况和预期建立基准。监控 KMS 密钥时,存储历史监控数据,以便将此数据与当前数据进行比较,从而确定正常模式和异常情况,并找出解决问题的方法。

例如,您可以监控影响 KMS 密钥的 Amazon KMS API 活动和事件。当数据高于或低于既定标准时,您可能需要进行调查或采取纠正措施。

要建立正常模式的基准,应监控以下各项:

监控工具

Amazon 为您提供了可用来监控 KMS 密钥的各种工具。您可以配置其中的一些工具来为您执行监控任务,但有些工具需要手动干预。建议您尽可能实现监控任务自动化。

自动监控工具

您可以使用以下自动化监控工具来监控 KMS 密钥并在发生更改时进行报告。

  • Amazon CloudTrail 日志监控 – 在账户间共享日志文件,通过将 CloudTrail 日志文件发送到 CloudWatch Logs 对它们进行实时监控,使用 CloudTrail Processing Library 编写日志处理应用程序,以及验证您的日志文件在被 CloudTrail 交付后未发生更改。有关更多信息,请参见 Amazon CloudTrail 用户指南使用 CloudTrail 日志文件

  • Amazon CloudWatch 告警 – 按您指定的时间段观察单个指标,并根据相对于给定阈值的指标值在若干时间段内执行一项或多项操作。具体操作是:通知已发送到 Amazon Simple Notification Service (Amazon SNS) 主题或 Amazon EC2 Auto Scaling 策略。CloudWatch 告警不调用操作,因为这些操作处于特定状态;状态必须改变并保持指定时间。有关更多信息,请参阅 使用 Amazon CloudWatch 进行监控

  • Amazon CloudWatch Events – 匹配事件并将事件传送到一个或多个目标函数或流来捕获状态信息和在必要时进行更改或采取纠正措施。有关更多信息,请参阅 Amazon KMS 事件Amazon CloudWatch Events 用户指南

  • Amazon CloudWatch Logs – 监控、存储和访问来自 Amazon CloudTrail 或其它来源的日志文件。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南

手动监控工具

监控 KMS 密钥的另一个重要环节是手动监控 CloudWatch 告警和事件未涵盖的那些项。Amazon KMS、CloudWatch、Amazon Trusted Advisor 和其他 Amazon 控制面板提供您的 Amazon 环境状态的概览视图。

您可以自定义 Amazon KMS 控制台Amazon 托管式密钥客户托管式密钥页面,显示有关每个 KMS 密钥的以下信息:

CloudWatch 控制台控制面板显示以下信息:

  • 当前告警和状态

  • 告警和资源图表

  • 服务运行状况

此外,还可以使用 CloudWatch 执行以下操作:

  • 创建自定义控制面板以监控您关心的服务

  • 绘制指标数据图,以排除问题并弄清楚趋势

  • 搜索并浏览您所有的 Amazon 资源指标

  • 创建和编辑警报以接收有关问题的通知

Amazon Trusted Advisor 可以帮助您监控 Amazon 资源以提高性能、可靠性、安全性和成本效益。四个 Trusted Advisor 检查可供所有用户使用;超过 50 个检查可供具有“商业”或“企业”支持计划的用户使用。有关更多信息,请参阅 Amazon Trusted Advisor。)