AWS Key Management Service 中的日志记录和监控 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

AWS Key Management Service 中的日志记录和监控

监控是了解客户主密钥(CMKS)的可用性、状态和使用情况的重要组成部分 AWS KMS. 监控有助于维护您的 AWS 解决方案。 AWS 提供多种用于监控CMKS的工具。

AWS CloudTrail 日志

每次呼叫 AWS KMS API操作被捕获为 AWS CloudTrail 日志。这些日志记录来自 AWS KMS 控制台和呼叫 AWS KMS 其他 AWS 服务。跨帐户API呼叫,例如在不同的CMK中使用CMK AWS 账户记录在 CloudTrail 两个帐户的日志。

在故障排除或审核时,您可以使用日志重建CMK的生命周期。您还可以查看密码操作中的CMK管理和使用。有关更多信息,请参阅 使用 AWS CloudTrail 记录 AWS KMS API 调用。)

Amazon CloudWatch Logs

监控、存储和访问您的日志文件 AWS CloudTrail 以及其他来源。有关更多信息,请参阅 Amazon CloudWatch 用户指南

对于 AWS KMS, CloudWatch 保存至关重要材料到期的秒数 导入的关键材料. 有关更多信息,请参阅 使用 Amazon CloudWatch 进行监控。)

Amazon CloudWatch Events

AWS KMS 生成 CloudWatch 您的CMK是 旋转已删除导入的关键材料 在CMK中,您的CMK到期。搜索 AWS KMS 事件(API操作),并将其路由到一个或多个目标函数或流以捕获状态信息。有关更多信息,请参见AWS KMS 事件Amazon CloudWatch Events 用户指南

Amazon CloudWatch指标

您可以使用 CloudWatch 度量标准,将原始数据从AWSKMS收集并处理到性能指标。数据将以两周间隔记录,以便查看当前和历史信息的趋势。这有助于您了解如何使用CMK以及他们如何随时间推移使用变化。有关使用 CloudWatch 监控CMKS的度量,参见 AWS KMS 指标与维度.

Amazon CloudWatch 警报

在指定的时间段内观看单个度量标准更改。然后根据某个时间段内相对于阈值的度量值执行操作。例如,您可以创建 CloudWatch 当某人尝试使用计划在密码操作中删除的CMK时触发的警报。这表示CMK仍在使用,并且可能不应删除。有关更多信息,请参阅 创建 Amazon CloudWatch 检测使用的警报 客户主密钥 等待删除。)