监视器 Amazon KMS keys

监控目的是什么？

您将监控哪些资源？

监控这些资源的频率如何？

您将使用哪些监控工具？

谁负责执行监控任务？

出现情况时应通知谁？

Amazon KMS 数据平面操作的 API 活动。这些是使用 KMS 密钥的加密操作，例如解密、ReEncrypt加密和。GenerateDataKey

Amazon KMS 用于控制平面操作的 API 活动，这些操作对您很重要。这些操作管理 KMS 密钥，您可能需要监控那些更改 KMS 密钥可用性的操作（例如ScheduleKeyDeletion、、CancelKeyDeletion、DisableKey、EnableKeyImportKeyMaterial、和 DeleteImportedKeyMaterial）或更改 KMS 密钥的访问控制（例如PutKeyPolicy和 RevokeGrant）。

其他 Amazon KMS 指标（例如导入的密钥材料到期之前的剩余时间）和事件（例如导入的密钥材料的到期或 KMS 密钥的删除或密钥轮换）。

Amazon CloudTrail 日志监控-在账户之间共享日志文件，通过将 CloudTrail 日志文件发送到 “ CloudWatch 日志” 来实时监控日志文件，使用处理库编写日志CloudTrail 处理应用程序，并验证您的日志文件在传送后是否未更改 CloudTrail。有关更多信息，请参阅Amazon CloudTrail 用户指南中的使用 CloudTrail 日志文件。

A CloudWatch mazon Alarms — 在您指定的时间段内观察单个指标，并根据该指标在多个时间段内相对于给定阈值的值执行一项或多项操作。该操作是发送到亚马逊简单通知服务 (Amazon SNS) Simple Notification Scaling 主题或亚马逊 A EC2 uto Scaling 政策的通知。 CloudWatch 警报不会仅仅因为它们处于特定状态就调用操作；该状态必须已更改并保持了指定的时间段。有关更多信息，请参阅 使用 Amazon 监控 KMS 密钥 CloudWatch。

Amazon EventBridge — 匹配事件并将其路由到一个或多个目标函数或流，以捕获状态信息，并在必要时进行更改或采取纠正措施。有关更多信息，请参阅使用 Amazon 监控 KMS 密钥 EventBridge和 Amazon EventBridge 用户指南。

Amazon CloudWatch Logs — 监控、存储和访问来自 Amazon CloudTrail 或其他来源的日志文件。有关更多信息，请参阅 Amazon CloudWatch 日志用户指南。

密钥 ID

状态

创建日期

到期日期（对于具有导入密钥材料的 KMS 密钥）

Origin

自定义密钥存储 ID（对于自定义密钥存储中的 KMS 密钥）

当前告警和状态

告警和资源图表

服务运行状况

创建自定义控制面板以监控您关心的服务

绘制指标数据图，以排除问题并弄清楚趋势

搜索和浏览您的所有 Amazon 资源指标

创建和编辑告警以接收问题通知