AWS Key Management Service (KMS) 监控集成
AWS Key Management Service (KMS) 是一种托管服务,使您能够创建和管理用于加密数据的加密密钥。通过 Site24x7 的集成,您可以跟踪和提醒来自外部的 CMK 的key material 到期。
设置和配置
- 如果您还没有这样做,请通过为 Site24x7 创建 IAM 用户或在您的 AWS 账户和 Site24x7 的 AWS 账户之间创建跨账户 IAM 角色来启用对 AWS 资源的编程访问。了解更多。
- 在集成 AWS 账户页面中,确保选中 KMS 服务旁边的复选框。了解更多。
策略和许可
Site24x7 使用各种 KMS 服务 API 来收集有关Customer Master Key的信息。将 AWS 托管策略ReadOnlyAccess分配给 Site24x7 实体(IAM 用户或 IAM 角色)以帮助 Site24x7 收集指标和元数据。如果要分配自定义策略,请确保策略 JSON 中存在以下读取级别操作。了解更多。
- "kms:DescribeCustomKeyStores",
- "kms:DescribeKey",
- "kms:GetKeyRotationStatus",
- "kms:ListAliases",
- "kms:ListResourceTags",
- "kms:ListKeys",
- "kms:GetKeyPolicy",
- "kms:ListGrants",
- "kms:ListKeyPolicies"
轮询频率
Site24x7 根据轮询频率集(1 分钟到一天)收集客户管理的 CMK 的指标数据。了解更多。
许可
每个客户管理的 CMK 都被视为一个基本监视器。了解更多。
支持的指标
收集以下指标:
| 属性 | 描述 |
|---|---|
| 离key material 到期还有几分钟 | 监测导入的key material 到期前剩余的分钟数(适用于来源为外部的 CMK)。 |
| 距离key material 到期的剩余时间 | 监测导入的key material 到期前剩余的小时数(适用于来源为外部的 CMK) |
| 距离key material 到期的剩余天数 | 监测导入的key material 到期前的剩余天数(适用于来源为外部的 CMK)。 |
| 距离Customer Master Key (CMK) 删除还有几分钟。 | 监测在删除 CMK 之前剩余的分钟数(适用于计划删除的 CMK)。 |
| 距离Customer Master Key (CMK) 删除的时间。 | 监测在删除 CMK 之前剩余的小时数(适用于计划删除的 CMK)。 |
| 距离Customer Master Key (CMK) 删除的天数。 | 监测删除 CMK 之前剩余的小时数。(适用于计划删除的 CMK) |
| 关键时间 | 监测自创建客户托管 CMK 以来的天数(该值使用创建日期元数据计算)。 |
AWS KMS 监控 UI 页面
概括
摘要选项卡显示 KMS 指标和其他元数据(如密钥时间)的时间序列图表。
关键策略
关键策略确定谁可以使用和管理该 CMK。附加到指定Customer Master Key (CMK) 的密钥策略 JSON 显示在选项卡中。
赠与
授权允许用户以编程方式将 CMK 的使用委托给 AWS 委托人。指定Customer Master Key的所有授权列表显示在选项卡中。
配置
列出有关指定 CMK 的以下信息。
| 属性 | 描述 |
|---|---|
| 密钥 ID | CMK 的唯一标识符 |
| 别名 | CMK 的显示名称 |
| 地区 | 与 CMK 关联的区域 |
| 创立日期 | 创建密钥的数据和时间。 |
| 密钥状态 | CMK 的状态。 |
| 密钥用法 | 您可以使用 CMK 的加密操作。 |
| 起源 | CMK 的key material 的来源。 |
| 描述 | CMK 的描述 |
| 删除计划日期 | KMS 删除 CMK 的日期和时间。 |
| key material 有效期 | key material 过期的日期和时间。 |
| 是否启用密钥轮换 | 指示是否启用key material 的自动轮换。 |
| HSM 集群 ID | 包含key material 的 AWS CloudHSM 集群的 ID。 |
| 自定义密钥存储名称 | 包含 CMK 的客户密钥存储的唯一名称 |
| 密钥库连接状态 | 指示自定义密钥存储是否连接到其 AWS CloudHSM 集群。 |