本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 為外部金鑰存放區建立 CloudWatch 警示
您可以根據外部金鑰存放區指標建立 Amazon CloudWatch 警示,以便在指標值超過您指定的閾值時通知您。警示可將訊息傳送至 [Amazon Simple Notification Service (Amazon SNS) 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)或 [Amazon EC2 Auto Scaling 政策](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work)。如需 CloudWatch 警示的詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
在建立 Amazon CloudWatch 警示之前,您需要 Amazon SNS 主題。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》中的[建立 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)。
**Topics**
+ [建立憑證過期的警示](#cert-expire-alarm)
+ [建立回應逾時的警示](#latency-alarm)
+ [建立可重試錯誤的警示](#retryable-errors-alarm)
+ [針對不可重試的錯誤建立警示](#nonretryable-errors-alarm)
## 建立憑證過期的警示
此警示會使用 AWS KMS 發佈至 CloudWatch 的 [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) 指標來記錄與外部金鑰存放區代理端點關聯的 TLS 憑證的預期到期日。您無法為您帳戶中的所有外部金鑰存放區建立單一警示,也不能為您將來可能建立的外部金鑰存放區建立警示。
我們建議設定警示,以便在憑證設定到期的前 10 天提醒您,但您應該設定最符合您需求的閾值。
**建立警示**
按照[建立以靜態閾值為基礎的 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的指示,使用以下所需值。對於其他欄位,請接受預設值,並按要求提供名稱。
| 欄位 | Value |
| --- | --- |
| 選取指標 | 選擇 **KMS**,然後選擇 **XKS Proxy Certificate Metrics** (XKS 代理憑證指標)。 選取您想要監控的 `XksProxyCertificateName` 旁的核取方塊。 然後選擇 **Select metric (選取指標)**。 |
| 統計數字 | 下限 |
| Period | 5 分鐘 |
| 閾值類型 | 靜態 |
| Whenever ... | 每當 XksProxyCertificateDaysToExpire Lower 10 時。 |
## 建立回應逾時的警示
此警示使用發佈至 CloudWatch AWS KMS 的 [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) 指標來記錄外部金鑰存放區代理回應 AWS KMS 請求所需的毫秒數。您無法為您帳戶中的所有外部金鑰存放區建立單一警示,也不能為您將來可能建立的外部金鑰存放區建立警示。
AWS KMS 預期外部金鑰存放區代理會在 250 毫秒內回應每個請求。我們建議您設定警示,以便在外部金鑰存放區代理的回應時間超過 200 毫秒時提醒您,但您應該設定最符合您需求的閾值。
**建立警示**
按照[建立以靜態閾值為基礎的 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的指示,使用以下所需值。對於其他欄位,請接受預設值,並按要求提供名稱。
| 欄位 | Value |
| --- | --- |
| 選取指標 | 選擇 **KMS**,然後選擇 **XKS Proxy Latency Metrics** (XKS 代理延遲指標)。 選取您想要監控的 `KmsOperation` 旁的核取方塊。 然後選擇 **Select metric (選取指標)**。 |
| 統計數字 | 平均數 |
| Period | 5 分鐘 |
| 閾值類型 | 靜態 |
| Whenever ... | 每當 XksProxyLatency Greater 200 時。 |
## 建立可重試錯誤的警示
此警示使用發佈至 CloudWatch AWS KMS 的 [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) 指標,記錄與外部金鑰存放區代理 AWS KMS 請求相關的例外狀況數目。您無法為您帳戶中的所有外部金鑰存放區建立單一警示,也不能為您將來可能建立的外部金鑰存放區建立警示。
可重試的錯誤會降低您的可靠性百分比,並可指示網路錯誤。我們建議您設定警示,以便在一分鐘內記錄五個以上的可重試錯誤時提醒您,但您應該設定最符合您需求的閾值。
按照[建立以靜態閾值為基礎的 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的指示,使用以下所需值。對於其他欄位,請接受預設值,並按要求提供名稱。
| 欄位 | Value |
| --- | --- |
| 選取指標 | 選擇 **Queries** (查詢) 索引標籤。 將 **Namespace** (命名空間) 選為 `AWS/KMS`。 針對 **Metric name** (指標名稱),輸入 `SUM(XksProxyErrors)`。 針對 **Filter by** (篩選依據),輸入 `ErrorType = Retryable`。 選擇**執行**。然後選擇 **Select metric (選取指標)**。 |
| 標籤 | 可重試的錯誤 |
| Period | 1 分鐘 |
| 閾值類型 | 靜態 |
| Whenever ... | 每當 q1 Greater 5 時。 |
## 針對不可重試的錯誤建立警示
此警示使用發佈至 CloudWatch AWS KMS 的 [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) 指標,記錄與外部金鑰存放區代理 AWS KMS 請求相關的例外狀況數目。您無法為您帳戶中的所有外部金鑰存放區建立單一警示,也不能為您將來可能建立的外部金鑰存放區建立警示。
不可重試的錯誤表示外部金鑰存放區的組態有問題。我們建議您設定警示,以便在一分鐘內記錄五個以上的不可重試錯誤時提醒您,但您應該設定最符合您需求的閾值。
按照[建立以靜態閾值為基礎的 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的指示,使用以下所需值。對於其他欄位,請接受預設值,並按要求提供名稱。
| 欄位 | Value |
| --- | --- |
| 選取指標 | 選擇 **Queries** (查詢) 索引標籤。 將 **Namespace** (命名空間) 選為 `AWS/KMS`。 針對 **Metric name** (指標名稱),輸入 `SUM(XksProxyErrors)`。 針對 **Filter by** (篩選依據),輸入 `ErrorType = Non-retryable`。 選擇**執行**。然後選擇 **Select metric (選取指標)**。 |
| 標籤 | 不可重試的錯誤 |
| Period | 1 分鐘 |
| 閾值類型 | 靜態 |
| Whenever ... | 每當 q1 Greater 5 時。 |