AWS 密钥管理服务(KMS)监控集成
AWS 密钥管理服务(KMS)是一项托管服务,用于创建和管理用于数据加密的加密密钥。通过 Site24x7 的集成,您可以追踪并对来源为外部的 CMK 的密钥材料过期情况发出告警。
设置与配置
- 如果尚未完成,请通过为 Site24x7 创建 IAM 用户或在您的 AWS 账户与 Site24x7 的 AWS 账户之间创建跨账户 IAM 角色,启用对 AWS 资源的程序化访问。了解更多。
- 在集成 AWS 账户页面,请确保选中 KMS 服务旁边的复选框。了解更多。
策略与权限
Site24x7 使用各种 KMS 服务 API 来收集客户主密钥的相关信息。请为 Site24x7 实体(IAM 用户或 IAM 角色)分配 AWS 托管策略 ReadOnlyAccess,以帮助 Site24x7 收集指标和元数据。如果您需要分配自定义策略,请确保策略 JSON 中包含以下读取级别操作。了解更多。
- "kms:DescribeCustomKeyStores",
- "kms:DescribeKey",
- "kms:GetKeyRotationStatus",
- "kms:ListAliases",
- "kms:ListResourceTags",
- "kms:ListKeys",
- "kms:GetKeyPolicy",
- "kms:ListGrants",
- "kms:ListKeyPolicies"
轮询频率
Site24x7 按照设置的轮询频率(1 分钟至 1 天)采集客户托管 CMK 的指标数据。了解更多。
许可证
每个客户托管 CMK 被视为一个基础监视器。了解更多。
支持的指标
以下指标会被采集:
| 属性 | 描述 |
|---|---|
| 密钥材料距到期的剩余分钟数 | 衡量导入的密钥材料到期前的剩余分钟数(适用于来源为外部的 CMK)。 |
| 密钥材料距到期的剩余小时数 | 衡量导入的密钥材料到期前的剩余小时数(适用于来源为外部的 CMK)。 |
| 密钥材料距到期的剩余天数 | 衡量导入的密钥材料到期前的剩余天数(适用于来源为外部的 CMK)。 |
| 客户主密钥(CMK)距删除的剩余分钟数 | 衡量 CMK 被删除前的剩余分钟数(适用于已计划删除的 CMK)。 |
| 客户主密钥(CMK)距删除的剩余小时数 | 衡量 CMK 被删除前的剩余小时数(适用于已计划删除的 CMK)。 |
| 客户主密钥(CMK)距删除的剩余天数 | 衡量 CMK 被删除前的剩余小时数(适用于已计划删除的 CMK)。 |
| 密钥使用年龄 | 衡量客户托管 CMK 自创建以来的天数(该值根据创建日期元数据计算)。 |
监控数据
摘要
摘要选项卡显示 KMS 指标的时序图表及其他元数据,如密钥使用年龄。
密钥策略
密钥策略决定谁可以使用和管理该 CMK。附加到指定客户主密钥(CMK)的密钥策略 JSON 显示在此选项卡中。
授权
授权允许用户以编程方式将 CMK 的使用权委派给 AWS 主体。指定客户主密钥的所有授权列表显示在此选项卡中。
配置
列出以下关于指定 CMK 的信息。
| 属性 | 描述 |
|---|---|
| 密钥 ID | CMK 的唯一标识符 |
| 别名 | CMK 的显示名称 |
| 区域 | 与 CMK 关联的区域 |
| 创建日期 | 密钥创建的日期和时间。 |
| 密钥状态 | CMK 的当前状态。 |
| 密钥用途 | 可使用该 CMK 执行的加密操作。 |
| 来源 | CMK 密钥材料的来源。 |
| 描述 | CMK 的描述信息。 |
| 计划删除日期 | KMS 将删除该 CMK 的日期和时间。 |
| 密钥材料过期日期 | 密钥材料到期的日期和时间。 |
| 是否已启用密钥轮换 | 指示是否已为密钥材料启用自动轮换。 |
| HSM 集群 ID | 包含密钥材料的 AWS CloudHSM 集群的 ID。 |
| 自定义密钥存储名称 | 包含该 CMK 的客户密钥存储的唯一名称。 |
| 密钥存储连接状态 | 指示自定义密钥存储是否已连接到其 AWS CloudHSM 集群。 |
拓扑视图
拓扑视图选项卡提供实时、以资源为中心的依赖关系图。它动态追踪您的 KMS 资源与周边 AWS 基础设施之间的实时连接关系,使您在告警触发时能够更快速地隔离根本原因。如果任何关联组件处于严重状态,将在拓扑视图中相应标注,并附注中断原因,让您无需离开监控页面即可精准定位故障点。与账户级拓扑视图不同,此选项卡将可见范围限定在单个资源,精准回答:此 KMS 资源连接了哪些内容?若发生故障会影响什么?您可以从单个资源向上追踪完整的依赖链,直至其主要父实体、服务类型、区域和 AWS 账户级别。