AWS Key Management Service 中的日志和监控 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Key Management Service 中的日志和监控

对于了解 AWS KMS 中客户主密钥 (CMK) 的可用性、状态和使用情况,监控是一个重要部分。监控有助于维护 AWS 解决方案的安全性、可靠性、可用性和性能。AWS 提供了多种用于监控 CMK 的工具。

AWS CloudTrail 日志

对 AWS KMS API 操作的每次调用都会在 AWS CloudTrail 日志中捕获为一个事件。这些日志记录来自 AWS KMS 控制台的所有 API 调用,以及 AWS KMS 和其他 AWS 服务发出的调用。跨账户 API 调用(例如在不同 AWS 账户中使用 CMK 的调用)会记录在两个账户的 CloudTrail 日志中。

进行故障排除或审核时,可以使用日志重新构建 CMK 的生命周期。您还可以查看其在加密操作中对 CMK 的管理和使用。有关更多信息,请参阅 使用 AWS CloudTrail 记录 AWS KMS API 调用

Amazon CloudWatch Logs

监控、存储和访问来自 AWS CloudTrail 和其他来源的日志文件。有关更多信息,请参阅 Amazon CloudWatch 用户指南

对于 AWS KMS,CloudWatch 会存储密钥材料到期之前的秒数,该数据用于导入的密钥材料。有关更多信息,请参阅 使用 Amazon CloudWatch 进行监控

Amazon CloudWatch Events

当您的 CMK 处 CloudWatch旋转或者已删除导入的密钥材料在您的 CMK 中过期。搜索 AWS KMS 事件(API 操作),并将事件路由到一个或多个目标函数或流来捕获状态信息。有关更多信息,请参阅 。AWS KMS 事件Amazon CloudWatch Events 用户指南

Amazon CloudWatch 指标

您可以使用 CloudWatch 指标监控客户主密钥 (CMK),该指标可从 AWS KMS 收集原始数据并将其处理为性能指标。数据以两周间隔记录,因此您可以查看当前信息和历史信息的趋势。这有助于您了解 CMK 是如何使用的,以及它们的使用随着时间的推移而变化的。有关使用 CloudWatch 指标监控 CMK 的信息,请参阅AWS KMS 指标和维度

Amazon CloudWatch 警报

监控您指定的时间段内的某个指标更改。然后根据相对于某个阈值的指标值在很多个时间段内执行操作。例如,您可以创建 CloudWatch 警报,该警报可在有人尝试使用计划在加密操作中删除的 CMK 时触发。这表示 CMK 仍在使用中,可能不应删除。有关更多信息,请参阅 创建 Amazon CloudWatch 警报,以检测待删除客户主密钥的使用情况