AWS Key Management Service (KMS) 监控集成

AWS Key Management Service (KMS) 是一种托管服务,使您能够创建和管理用于加密数据的加密密钥。通过 Site24x7 的集成,您可以跟踪和提醒来自外部的 CMK 的key material 到期。

设置和配置

  • 如果您还没有这样做,请通过为 Site24x7 创建 IAM 用户或在您的 AWS 账户和 Site24x7 的 AWS 账户之间创建跨账户 IAM 角色来启用对 AWS 资源的编程访问。了解更多
  • 在集成 AWS 账户页面中,确保选中 KMS 服务旁边的复选框。了解更多

策略和许可

Site24x7 使用各种 KMS 服务 API 来收集有关Customer Master Key的信息。将 AWS 托管策略ReadOnlyAccess分配给 Site24x7 实体(IAM 用户或 IAM 角色)以帮助 Site24x7 收集指标和元数据。如果要分配自定义策略,请确保策略 JSON 中存在以下读取级别操作。了解更多

  • "kms:DescribeCustomKeyStores",
  • "kms:DescribeKey",
  • "kms:GetKeyRotationStatus",
  • "kms:ListAliases",
  • "kms:ListResourceTags",
  • "kms:ListKeys",
  • "kms:GetKeyPolicy",
  • "kms:ListGrants",
  • "kms:ListKeyPolicies"

轮询频率

Site24x7 根据轮询频率集(1 分钟到一天)收集客户管理的 CMK 的指标数据。了解更多

许可

每个客户管理的 CMK 都被视为一个基本监视器。了解更多

支持的指标

收集以下指标:

属性 描述
离key material 到期还有几分钟 监测导入的key material 到期前剩余的分钟数(适用于来源为外部的 CMK)。
距离key material 到期的剩余时间 监测导入的key material 到期前剩余的小时数(适用于来源为外部的 CMK)
距离key material 到期的剩余天数 监测导入的key material 到期前的剩余天数(适用于来源为外部的 CMK)。
距离Customer Master Key (CMK) 删除还有几分钟。 监测在删除 CMK 之前剩余的分钟数(适用于计划删除的 CMK)。
距离Customer Master Key (CMK) 删除的时间。 监测在删除 CMK 之前剩余的小时数(适用于计划删除的 CMK)。
距离Customer Master Key (CMK) 删除的天数。 监测删除 CMK 之前剩余的小时数。(适用于计划删除的 CMK)
关键时间 监测自创建客户托管 CMK 以来的天数(该值使用创建日期元数据计算)。

AWS KMS 监控 UI 页面

概括

摘要选项卡显示 KMS 指标和其他元数据(如密钥时间)的时间序列图表。

关键策略

关键策略确定谁可以使用和管理该 CMK。附加到指定Customer Master Key (CMK) 的密钥策略 JSON 显示在选项卡中。

赠与

授权允许用户以编程方式将 CMK 的使用委托给 AWS 委托人。指定Customer Master Key的所有授权列表显示在选项卡中。

配置

列出有关指定 CMK 的以下信息。

属性 描述
密钥 ID CMK 的唯一标识符
别名 CMK 的显示名称
地区 与 CMK 关联的区域
创立日期 创建密钥的数据和时间。
密钥状态 CMK 的状态。
密钥用法 您可以使用 CMK 的加密操作。
起源 CMK 的key material 的来源。
描述 CMK 的描述
删除计划日期 KMS 删除 CMK 的日期和时间。
key material 有效期 key material 过期的日期和时间。
是否启用密钥轮换 指示是否启用key material 的自动轮换。
HSM 集群 ID 包含key material 的 AWS CloudHSM 集群的 ID。
自定义密钥存储名称 包含 CMK 的客户密钥存储的唯一名称
密钥库连接状态 指示自定义密钥存储是否连接到其 AWS CloudHSM 集群。