中的日志记录和监控Amazon Key Management Service - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

中的日志记录和监控Amazon Key Management Service

监控是了解 Amazon KMS 中的 Amazon KMS keys 的可用性、状态和使用情况的重要环节。监控有助于保持您的 Amazon 解决方案的安全性、可靠性、可用性和性能。Amazon 提供了多种用于监控 KMS 密钥的工具。

Amazon CloudTrail 日志

对 Amazon KMS API 操作的每次调用都被捕获为 Amazon CloudTrail 日志中的事件。这些日志记录来自 Amazon KMS 控制台的所有 API 调用,以及 Amazon KMS 和其他 Amazon 服务进行的调用。跨账户 API 调用,例如使用其他 Amazon Web Services 账户 中的 KMS 密钥的调用,都会记录在这两个账户的 CloudTrail 日志中。

在进行故障排除或审核时,您可以使用日志重新构建 KMS 密钥的生命周期。您还可以查看其在加密操作中对 KMS 密钥的管理和使用情况。有关更多信息,请参阅使用 Amazon KMS 记录 Amazon CloudTrail API 调用

Amazon CloudWatch Logs

监控、存储和访问来自 Amazon CloudTrail 或其他来源的日志文件。有关更多信息,请参阅 Amazon CloudWatch 用户指南

对于 Amazon KMS,CloudWatch 会存储密钥材料到期之前的秒数,这些数据用于导入的密钥材料。有关更多信息,请参阅使用 Amazon CloudWatch 进行监控

Amazon CloudWatch Events

Amazon KMS 会在轮换删除 KMS 密钥或您的 KMS 密钥中的导入密钥材料过期时生成 CloudWatch 事件。搜索 Amazon KMS 事件(API 操作),并将这些事件路由到一个或多个目标函数或流中,以捕获状态信息。有关更多信息,请参阅 Amazon KMS 事件Amazon CloudWatch Events 用户指南

Amazon CloudWatch 指标

您可以使用 CloudWatch 指标监控您的 KMS 密钥,此工具可从 Amazon KMS 中将原始数据收集到性能指标中并进行处理。数据以两周为间隔记录,因此您可以查看当前信息和历史信息的趋势。这有助于您了解 KMS 密钥的使用情况以及它们的使用情况随时间推移的变化。有关如何使用 CloudWatch 指标监控 KMS 密钥的信息,请参阅 Amazon KMS 指标和维度

Amazon CloudWatch 警报

监控您指定的时间段内的某个指标的变化。然后在多个时间段内根据相对于给定阈值的指标值执行操作。例如,您可以创建 CloudWatch 警报,当有人尝试使用计划在加密操作中删除的 KMS 密钥时该警报将被触发。这表示 KMS 密钥仍在使用中,可能不应删除。有关更多信息,请参阅创建 Amazon CloudWatch 警告以检测待删除的 Amazon KMS key 的使用情况