Amazon Key Management Service 中的日志记录和监控 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Key Management Service 中的日志记录和监控

监控是了解 Amazon KMS 中的 Amazon KMS keys 的可用性、状态和使用情况的重要环节。监控有助于保持您的 Amazon 解决方案的安全性、可靠性、可用性和性能。Amazon 提供了多种用于监控 KMS 密钥的工具。

Amazon CloudTrail 日志

对 Amazon KMS API 操作的每次调用都被捕获为 Amazon CloudTrail 日志中的事件。这些日志记录来自 Amazon KMS 控制台的所有 API 调用,以及 Amazon KMS 和其他 Amazon 服务进行的调用。跨账户 API 调用(例如调用不同Amazon Web Services 账户账户中的 KMS 密钥)会记录在两个账户的 CloudTrail 日志中。

在进行故障排除或审核时,您可以使用日志重新构建 KMS 密钥的生命周期。您还可以查看其在加密操作中对 KMS 密钥的管理和使用情况。有关更多信息,请参阅 使用 Amazon CloudTrail 记录 Amazon KMS API 调用

亚马逊 CloudWatch 日志

监控、存储和访问来自 Amazon CloudTrail 或其他来源的日志文件。有关更多信息,请参阅 Amazon CloudWatch 用户指南

对于Amazon KMS, CloudWatch 存储有用的信息,可帮助您防止 KMS 密钥及其保护的资源出现问题。有关更多信息,请参阅 使用 Amazon 进行监控 CloudWatch

亚马逊 EventBridge

Amazon KMS当您的 KMS 密钥被轮换删除,或者您的 KMS 密钥中导入的密钥材料过期时,会生成 EventBridge 事件。搜索 Amazon KMS 事件(API 操作),并将这些事件路由到一个或多个目标函数或流中,以捕获状态信息。有关更多信息,请参阅使用 Amazon 进行监控 EventBridgeAmazon EventBridge 用户指南

亚马逊 CloudWatch 指标

您可以使用指标监控您的 KMS 密钥,这些 CloudWatch 指标收集原始数据并将其处理Amazon KMS为性能指标。数据以两周为间隔记录,因此您可以查看当前信息和历史信息的趋势。这有助于您了解 KMS 密钥的使用情况以及它们的使用情况随时间推移的变化。有关使用 CloudWatch 指标监控 KMS 密钥的信息,请参阅Amazon KMS 指标和维度

亚马逊 CloudWatch 警报

监控您指定的时间段内的某个指标的变化。然后在多个时间段内根据相对于给定阈值的指标值执行操作。例如,您可以创建一个 CloudWatch 警报,当有人尝试使用计划在加密操作中删除的 KMS 密钥时触发该警报。这表示 KMS 密钥仍在使用中,可能不应删除。有关更多信息,请参阅 创建检测待删除 KMS 密钥的使用的警报

Amazon Security Hub

您可以使用 Amazon Security Hub 监控您的 Amazon KMS 使用情况,确保安全行业标准和最佳实践合规性。Security Hub 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关更多信息,请参阅《Amazon Security Hub User Guide》中的 Amazon Key Management Service controls