AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

监控客户主密钥

对于了解 AWS KMS 中客户主密钥 (CMK) 的可用性、状态和使用情况,以及维护 AWS 解决方案的可靠性、可用性和性能,监控是一个重要部分。从 AWS 解决方案的各个部分收集监控数据将有助于调试出现的多点故障。不过,在开始监控 CMK 之前,应制定一个监控计划并在计划中回答下列问题:

  • 您的监控目标是什么?

  • 您将监控哪些资源?

  • 监控这些资源的频率如何?

  • 您将使用哪些监控工具

  • 谁负责执行监控任务?

  • 出现情况时应通知谁?

下一步是监控 CMK 在一段时间内的情况,以便为环境中正常的 AWS KMS 使用情况和预期建立基准。监控 CMK 时,存储历史监控数据,以便将此数据与当前数据进行比较,从而确定正常模式和异常情况,并找出解决问题的方法。

例如,您可以监控影响 CMK 的 AWS KMS API 活动和事件。当数据高于或低于既定标准时,您可能需要进行调查或采取纠正措施。

要建立正常模式的基准,应监控以下各项:

监控工具

AWS 为您提供了可用来监控 CMK 的各种工具。您可以配置其中的一些工具来为您执行监控任务,但有些工具需要手动干预。建议您尽可能实现监控任务自动化。

自动监控工具

您可以使用以下自动化监控工具来监控 CMK 并在发生更改时进行报告。

  • Amazon CloudWatch 警报 – 按您指定的时间段观察单个指标,并根据相对于给定阈值的指标值在若干时间段内执行一项或多项操作。该操作是向 Amazon Simple Notification Service (Amazon SNS) 主题或 Amazon EC2 Auto Scaling 策略发送通知。CloudWatch 警报将不会调用操作,因为这些操作处于特定状态;该状态必须改变并在指定数量的时间段内一直保持。有关更多信息,请参阅 使用 Amazon CloudWatch 进行监控

  • Amazon CloudWatch Events – 匹配事件并将事件传送到一个或多个目标函数或流来捕获状态信息,并根据需要进行更改或采取纠正措施。有关更多信息,请参见AWS KMS 事件Amazon CloudWatch Events 用户指南

  • Amazon CloudWatch Logs – 监控、存储和访问来自 AWS CloudTrail 或其他来源的日志文件。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南

  • AWS CloudTrail 日志监控 – 在账户间共享日志文件,通过将 CloudTrail 日志文件发送到 CloudWatch Logs 对它们进行实时监控,使用 CloudTrail 处理库编写日志处理应用程序,以及验证您的日志文件是否在由 CloudTrail 传送后未发生更改。有关更多信息,请参阅 AWS CloudTrail User Guide 中的使用 CloudTrail 日志文件

手动监控工具

监控 CMK 的另一个重要环节是手动监控 CloudWatch 警报和事件未涵盖的项目。AWS KMS、CloudWatch、AWS Trusted Advisor 和其他 AWS 控制面板提供您的 AWS 环境状态的概览视图。

您可以自定义 AWS KMS 控制台AWS Managed Keys (AWS 托管密钥)Customer Managed Keys (客户托管密钥) 页面来显示有关每个 CMK 的以下信息:

CloudWatch 控制台控制面板显示以下信息:

  • 当前警报和状态

  • 警报和资源的图表

  • 服务运行状况

此外,您还可以使用 CloudWatch 执行以下操作:

  • 创建自定义控制面板以监控您关心的服务

  • 绘制指标数据图,以排除问题并弄清楚趋势

  • 搜索并浏览您所有的 AWS 资源指标

  • 创建和编辑警报以接收有关问题的通知

AWS Trusted Advisor 可以帮助您监控 AWS 资源以提高性能、可靠性、安全性和成本效益。四个 Trusted Advisor 检查可供所有用户使用;超过 50 个检查可供具有“商业”或“企业”支持计划的用户使用。有关更多信息,请参阅 AWS Trusted Advisor

本页内容: