翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 外部キーストアをモニタリングする
<a name="xks-monitoring"></a>

AWS KMS は、外部キーストアとのやり取りごとにメトリクスを収集し、CloudWatch アカウントに公開します。これらのメトリクスは、各外部キーストアの詳細ページのモニタリングセクションで、グラフを生成するために使用されます。次のトピックでは、グラフを使用して、外部キーストアに影響する運用上および設定上の問題を特定し、トラブルシューティングする方法の詳細を説明します。CloudWatch メトリクスを使用して、外部キーストアが想定どおりに動作しない場合に通知するアラームを設定することをおすすめします。詳細については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。

**Topics**
+ [グラフを表示する](#xks-monitoring-navigate)
+ [グラフの解釈](#interpreting-graphs)

## グラフを表示する
<a name="xks-monitoring-navigate"></a>

さまざまな詳細レベルでグラフを表示できます。デフォルトでは、各グラフは 3 時間の時間範囲と 5 分の[集計期間](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods)を使用します。コンソール内でグラフビューを調整できますが、外部キーストアの詳細ページを閉じるかブラウザを更新すると、変更はデフォルト設定に戻ります。Amazon CloudWatch の用語のヘルプについては、「[Amazon CloudWatch の概念](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html)」を参照してください。

### データポイントの詳細を表示する
<a name="graph-data-point"></a>

各グラフのデータは、[AWS KMS メトリクス](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics)によって収集されます。特定のデータポイントに関する詳細を表示するには、折れ線グラフ上のデータポイントにマウスカーソルを合わせます。これにより、グラフの生成元であるメトリクスに関する詳細情報のポップアップが表示されます。各リスト項目には、そのデータポイントで記録された[ディメンション](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension)値が表示されます。そのデータポイントのディメンション値に使用できるメトリクスデータがない場合、ポップアップには NULL 値 (**—**) が表示されます。一部のグラフでは、1 つのデータポイントに対して複数のディメンションと値が記録されます。[信頼性グラフ](#reliability-graph)などの他のグラフでは、メトリクスによって収集されたデータを使用して固有の値が計算されます。各リスト項目は、各折れ線グラフの色に関連付けられています。

### 時間範囲を変更する
<a name="graph-time-range"></a>

グラフの[時間範囲](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html)を変更するには、モニタリングセクションの右上隅にある事前定義済みの時間範囲の 1 つを選択します。事前定義済みの時間範囲は、1 時間から 1 週間です (**1 時間**、**3 時間**、**12 時間**、**1 日**、**3 日**、**1 週間**)。これにより、すべてのグラフの時間範囲が調整されます。特定のグラフを別の時間範囲で表示したい場合、またはカスタムの時間範囲を設定したい場合は、グラフを拡大するか、Amazon CloudWatch コンソールに表示します。

### グラフを拡大する
<a name="graph-zoom"></a>

[ミニマップズーム機能](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html)を使用すると、ズームインビューとズームアウトビュー間を変更することなく、折れ線グラフと積み上げ面グラフのセクションに焦点を合わせることができます。例えば、ミニマップズーム機能を使用して折れ線グラフのピークに焦点を合わせると、同じタイムラインのモニタリングセクション内の他のグラフに対してスパイクを比較できます。

1. 焦点を合わせるグラフの領域を選択してドラッグし、マウスボタンを放します。

1. ズームをリセットするには、**[Reset zoom]** (ズームのリセット) アイコンを選択します。これは、内側にマイナス (-) 記号が付いた虫眼鏡のような見た目です。

### グラフを拡大する
<a name="graph-enlarge"></a>

グラフを拡大するには、個々のグラフの右上隅にあるメニューアイコンを選択してから、**[Enlarge]** (拡大) を選択します。グラフにカーソルを合わせるとメニューアイコンの横に表示される、拡大アイコンを選択することもできます。

グラフを拡大すると、別の期間、カスタム時間範囲、更新間隔を指定して、グラフの表示をさらに変更できます。これらの変更は、拡大表示を閉じるとデフォルト設定に戻ります。

期間を変更する  

1. **[Period options]** (期間オプション) メニューを選択します。デフォルトでは、このメニューには **[5 minutes]** (5 分) の値が表示されます。

1. 期間を選択します。事前定義された期間は 1 秒から 30 日です。

   たとえば、1 分間の表示を選択できます。これは、トラブルシューティング時に役立ちます。または、詳細度がより低い 1 時間表示を選択します。これは、時間の経過に伴う傾向を確認できるように、より広い期間 (3 日間など) を表示するときに便利です。詳細については、『Amazon CloudWatch ユーザーガイド』の「[期間](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods)」を参照してください。

時間範囲またはタイムゾーンを変更する  

1. 1 時間～1 週間の事前定義済み時間範囲 (**1 時間**、**3時間**、**12 時間**、**1 日**、**3 日**、**1 週間**) から 1 つを選択します。また、**[Custom]** (カスタム) を選択して独自の時間範囲を設定することもできます。

1. **[Custom]** (カスタム) を選択します。

   1. 時間範囲ボックスの左上隅にある **[Absolute]** (絶対値) タブを選択します。カレンダーのピッカーまたはテキストフィールドボックスを使用して、時間範囲を指定します。

   1. タイムゾーン: ボックスの右上隅にあるドロップダウンを選択します。タイムゾーンは **[UTC]** または **[Local time zone]** (ローカルタイムゾーン) に変更できます。

1. 時間範囲を指定したら、**[Apply]** (適用) を選択します。

グラフのデータ更新頻度を変更する  

1. 右上隅にある **[Refresh options]** (更新オプション) メニューを選択します。

1. 更新間隔 (**オフ**、**10 秒**、**1 分**、**2分**、**5 分**、**15 分**) を選択します。

### Amazon CloudWatch コンソールでグラフを表示する
<a name="graph-in-cloudwatch"></a>

モニタリングセクションのグラフは、 AWS KMS が Amazon CloudWatch に公開する事前定義済みのメトリクスから生成されます。グラフを CloudWatch コンソール内で開き、CloudWatch ダッシュボードに保存できます。外部キーストアが複数ある場合は、CloudWatch でそれぞれのグラフを開いて 1 つのダッシュボードに保存し、その状態と使用状況を比較できます。

**Amazon CloudWatch ダッシュボードに追加する**  
すべてのグラフを Amazon CloudWatch ダッシュボードに追加するには、右上隅にある **[Add to dashboard]** (ダッシュボードに追加) を選択します。既存のダッシュボードを選択するか、新しいロールを作成できます。このダッシュボードを使用して、グラフとアラームのカスタマイズされたビューを作成する方法については、『Amazon CloudWatch ユーザーガイド』の「[Amazon CloudWatch ダッシュボードの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

**CloudWatch メトリクスで表示する**  
個々のグラフの右上隅にあるメニューアイコンを選択し、**[View in metrics]** (メトリクスで表示) を選択すると、このグラフが Amazon CloudWatch コンソールに表示されます。CloudWatch コンソールからこの 1 つのグラフをダッシュボードに追加して、時間範囲、期間、更新間隔を変更できます。詳細については、『Amazon CloudWatch ユーザーガイド』の「[メトリクスのグラフ化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html)」を参照してください。

## グラフの解釈
<a name="interpreting-graphs"></a>

AWS KMS には、 AWS KMS コンソール内の外部キーストアの状態をモニタリングするためのグラフがいくつか用意されています。これらのグラフは自動的に設定され、[AWS KMS メトリクス](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics)から生成されます。

グラフデータは、外部キーストアと外部キーへの呼び出しの一部として収集されます。呼び出しを行わなかった時間範囲内にデータ入力グラフが表示されることがあります。このデータは、外部キーストアプロキシと外部キーマネージャーのステータスをチェックするために がユーザーに代わって AWS KMS 行う定期的な`GetHealthStatus`呼び出しから取得されます。グラフに **[No data available]** (利用可能なデータなし) というメッセージが表示された場合は、その時間帯に呼び出しが記録されなかったか、外部キーストアが [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state) 状態であったことを示します。[ビューをより広い時間範囲に調整する](#graph-time-range)ことで、外部キーストアが切断された時間を特定できる場合があります。

**Topics**
+ [Total requests](#total-requests-graph)
+ [信頼性](#reliability-graph)
+ [レイテンシー](#latency-graph)
+ [例外の上位 5 位](#top-5-exceptions-graph)
+ [証明書の有効期限日数](#cert-expire-graph)

### Total requests
<a name="total-requests-graph"></a>

特定の時間範囲内に特定の外部キーストアに対して受信された AWS KMS リクエストの合計数。このグラフを使用して、スロットリングのリスクがあるかどうかを判断します。

AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションのリクエストを処理できることをお勧めします。5 分間で呼び出しが 54 万件近くになると、スロットリングのリスクが生じます。

[ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling) メトリクスで AWS KMS スロットリングする外部キーストアの KMS キーに対する暗号化オペレーションのリクエスト数をモニタリングできます。

「リクエスト率が極めて高いため」、リクエストが拒否されたことを説明するメッセージが表示され、`KMSInvalidStateException` エラーが頻発する場合は、外部キーマネージャーまたは外部キーストアプロキシが現在のリクエストレートに対応できていない可能性があります。可能な場合は、リクエスト率を下げます。また、カスタムキーストアのリクエストクォータ値の引き下げをリクエストすることも検討してください。このクォータ値を減らすとスロットリングが増加する可能性がありますが、 AWS KMS が余分なリクエストを外部キーストアプロキシまたは外部キーマネージャーに送信する前にすぐに拒否していることを示します。クォータの削減をリクエストするには、[AWS サポート センター](https://console.aws.amazon.com/support/home)にアクセスしてケースを作成してください。

リクエストの合計のグラフは、外部キーストアプロキシから AWS KMS が受信した成功と失敗の両方のレスポンスに関するデータを収集する、[XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) メトリクスから生成されます。[特定のデータポイントを表示する](#graph-data-point)と、ポップアップに`CustomKeyStoreId`ディメンションの値と、そのデータポイントで記録された AWS KMS リクエストの合計数が表示されます。`CustomKeyStoreId` は常に同じになります。

### 信頼性
<a name="reliability-graph"></a>

外部キーストアプロキシが成功したレスポンスまたは再試行不可能なエラーを返した AWS KMS リクエストの割合。このグラフを使用して、外部キーストアプロキシのオペレーション状態を評価します。

グラフに 100% 未満の値が表示されている場合は、プロキシが応答しなかったか、再試行可能なエラーで応答したことを示します。これは、ネットワークの問題、外部キーストアプロキシまたは外部キーマネージャーの速度低下、または実装上のバグを示している可能性があります。

リクエストに不正な認証情報が含まれていてプロキシが `AuthenticationFailedException` で応答した場合でも、プロキシは[外部キーストアプロキシ API リクエスト](keystore-external.md#concept-proxy-apis)で誤った値を識別するため、グラフには 100% の信頼性が表示され、失敗することが予想されます。信頼性グラフのパーセンテージが 100% の場合、外部キーストアプロキシは想定どおりに応答しています。グラフに 100% 未満の値が表示されている場合、プロキシは再試行可能なエラーで応答したか、タイムアウトしています。例えば、リクエスト率が極めて高いためにプロキシが「`ThrottlingException`」を返した場合、プロキシはリクエスト失敗の原因となった特定の問題を識別できないため、信頼性の割合が低下します。これは、再試行可能なエラーは一時的な問題である可能性が高く、リクエストを再試行することで解決できるためです。

次のエラーレスポンスは、信頼性の割合を低下させます。[例外の上位 5 位](#top-5-exceptions-graph) グラフと [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) メトリクスを使用して、プロキシが再試行可能な各エラーを返す頻度をさらにモニタリングすることができます。
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`

信頼性グラフは、 が外部キーストアプロキシから AWS KMS 受信した成功したレスポンスと失敗したレスポンスの両方に関するデータを収集する [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)メトリクスから算出されます。信頼性の割合は、レスポンスが `Retryable` の `ErrorType` 値をもつ場合にのみ低下します。[特定のデータポイントを表示する](#graph-data-point)と、ポップアップに`CustomKeyStoreId`ディメンションの値と、そのデータポイントで記録された AWS KMS リクエストの信頼性の割合が表示されます。`CustomKeyStoreId` は常に同じになります。

[XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) メトリクスを使用して、1 分間に再試行可能なエラーが 5 回以上記録された場合に警告することで、潜在的なネットワーク上の問題を通知する CloudWatch アラームを作成することをお勧めします。詳細については、「[再試行可能なエラーのアラームを作成する](xks-alarms.md#retryable-errors-alarm)」を参照してください。

### レイテンシー
<a name="latency-graph"></a>

外部キーストアプロキシが AWS KMS リクエストに応答するのにかかるミリ秒数。このグラフを使用して、外部キーストアプロキシと外部キーマネージャーのパフォーマンスを評価します。

AWS KMS は、外部キーストアプロキシが 250 ミリ秒以内に各リクエストに応答することを期待します。ネットワークタイムアウトの場合、 AWS KMS はリクエストを 1 回再試行します。プロキシが 2 回失敗した場合、記録されるレイテンシーは、両方のリクエスト試行のタイムアウト制限を合わせたもので、グラフには約 500 ミリ秒が表示されます。それ以外の、プロキシが 250 ミリ秒のタイムアウト制限内に応答しないすべての場合、記録されるレイテンシーは 250 ミリ秒です。プロキシが暗号化と復号オペレーションで頻繁にタイムアウトする場合は、外部プロキシ管理者に相談してください。レイテンシー問題のトラブルシューティングについては、「[レイテンシーとタイムアウトエラー](xks-troubleshooting.md#fix-xks-latency)」を参照してください。

レスポンスが遅い場合は、外部キーマネージャーが現在のリクエストトラフィックを処理できないことを示している場合もあります。 AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションのリクエストを処理できることをお勧めします。外部キーマネージャーが 1 秒あたり 1,800 件のリクエストを処理できない場合は、[カスタムキーストアの KMS キーリクエストクォータ](requests-per-second.md#rps-key-stores)の引き下げをリクエストすることを検討してください。外部キーストアの KMS キーを使用した暗号化オペレーションのリクエストは、外部キーストアプロキシまたは外部キーマネージャーによって処理され、後で拒否されるのではなく、[スロットリング](throttling.md)例外でフェイルファストします。

レイテンシーグラフは [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) メトリクスから生成されます。[特定のデータポイントを表示すると](#graph-data-point)、ポップアップには `KmsOperation` および `XksOperation` のディメンション値とともに、そのデータポイントで記録されたオペレーションの平均レイテンシーが表示されます。リスト項目は、最大レイテンシーから最低レイテンシーの順に並べられます。

[XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) メトリクスを使用して、レイテンシーがタイムアウト制限に近づいたときに通知する CloudWatch アラームを作成することをお勧めします。詳細については、「[レスポンスタイムアウトのアラームを作成する](xks-alarms.md#latency-alarm)」を参照してください。

### 例外の上位 5 位
<a name="top-5-exceptions-graph"></a>

任意の時間範囲で暗号化オペレーションと管理オペレーションが失敗した場合の、例外の上位 5 位です。このグラフを使用して、最も頻発するエラーを追跡することで、エンジニアリング作業に優先順位を付けることができます。

この数には、外部キーストアプロキシから AWS KMS 受信した例外と`XksProxyUnreachableException`、外部キーストアプロキシとの通信を確立できない場合に内部で AWS KMS 返される例外が含まれます。

再試行可能なエラーの発生率が高い場合はネットワークエラーの可能性、再試行できないエラーの発生率が高い場合は、外部キーストアの設定に関する問題である可能性があります。たとえば、 のスパイクは、 で設定された認証情報 AWS KMS と外部キーストアプロキシの間に不一致がある`AuthenticationFailedExceptions`ことを示します。外部キーストア設定を確認するには、「[外部キーストアを表示する](view-xks-keystore.md)」を参照してください。外部キーストア設定を編集するには、「[外部キーストアプロパティを編集する](update-xks-keystore.md)」を参照してください。

が外部キーストアプロキシから AWS KMS 受け取る例外は、オペレーションが失敗した場合に が AWS KMS 返す例外とは異なります。 AWS KMS 暗号化オペレーションは、外部キーストアの外部設定または接続状態に関連するすべての障害`KMSInvalidStateException`に対して を返します。問題を特定するには、添付のエラーメッセージテキストを使用します。

次の表は、上位 5 つの例外グラフに表示される可能性のある例外と、 から AWS KMS 返される対応する例外を示しています。


| エラータイプ | グラフに表示される例外 | から AWS KMS 返された例外 | 
| --- | --- | --- | 
| 再試行不可 | AccessDeniedException <br />トラブルシューティングのヘルプについては、[プロキシの承認に関する問題](xks-troubleshooting.md#fix-xks-authorization) を参照してください。 | `CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | AuthenticationFailedException <br />トラブルシューティングのヘルプについては、[認証情報エラー](xks-troubleshooting.md#fix-xks-credentials) を参照してください。 | `CreateCustomKeyStore` および `UpdateCustomKeyStore` オペレーションに対応する **`XksProxyIncorrectAuthenticationCredentialException`**<br />`CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行可能 | **`DependencyTimeoutException`**<br />トラブルシューティングのヘルプについては、[レイテンシーとタイムアウトエラー](xks-troubleshooting.md#fix-xks-latency) を参照してください。 | `CreateCustomKeyStore` および `UpdateCustomKeyStore` オペレーションに対応する **`XksProxyUriUnreachableException`**<br />`CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行可能 | **`InternalException`**<br />外部キーマネージャーと通信できないため、外部キーストアプロキシがリクエストを拒否しました。外部キーストアプロキシ設定が正しく、外部キーマネージャーが使用可能であることを検証します。 | `CreateCustomKeyStore` および `UpdateCustomKeyStore` オペレーションに対応する **`XksProxyInvalidResponseException`**<br />`CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | **`InvalidCiphertextException`**<br />トラブルシューティングのヘルプについては、[復号エラー](xks-troubleshooting.md#fix-xks-decrypt) を参照してください。 | 暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | **`InvalidKeyUsageException`**<br />トラブルシューティングのヘルプについては、[外部キーの暗号化オペレーションエラー](xks-troubleshooting.md#fix-external-key-crypto) を参照してください。 | `CreateKey` オペレーションに対応する **`XksKeyInvalidConfigurationException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | **`InvalidStateException`**<br />トラブルシューティングのヘルプについては、[外部キーの暗号化オペレーションエラー](xks-troubleshooting.md#fix-external-key-crypto) を参照してください。 | `CreateKey` オペレーションに対応する **`XksKeyInvalidConfigurationException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | **`InvalidUriPathException`**<br />トラブルシューティングのヘルプについては、[一般的な設定エラー](xks-troubleshooting.md#fix-xks-gen-configuration) を参照してください。 | `CreateCustomKeyStore` および `UpdateCustomKeyStore` オペレーションに対応する **`XksProxyInvalidConfigurationException`**<br />`CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | **`KeyNotFoundException`**<br />トラブルシューティングのヘルプについては、[外部キーエラー](xks-troubleshooting.md#fix-external-key) を参照してください。 | `CreateKey` オペレーションに対応する **`XksKeyNotFoundException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行可能 | **`ThrottlingException`**<br />リクエスト率が極めて高いため、外部キーストアプロキシがリクエストを拒否しました。この外部キーストアの KMS キーを使用して、呼び出しの頻度を減らします。 | `CreateCustomKeyStore` および `UpdateCustomKeyStore` オペレーションに対応する **`XksProxyUriUnreachableException`**<br />`CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | **`UnsupportedOperationException`**<br />トラブルシューティングのヘルプについては、[外部キーの暗号化オペレーションエラー](xks-troubleshooting.md#fix-external-key-crypto) を参照してください。 | `CreateKey` オペレーションに対応する **`XksKeyInvalidResponseException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行不可 | **`ValidationException`**<br />トラブルシューティングのヘルプについては、[プロキシの問題](xks-troubleshooting.md#fix-xks-proxy) を参照してください。 | `CreateCustomKeyStore` および `UpdateCustomKeyStore` オペレーションに対応する **`XksProxyInvalidResponseException`**<br />`CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 
| 再試行可能 | **`XksProxyUnreachableException`**<br />このエラーが繰り返し表示される場合は、外部キーストアプロキシがアクティブでネットワークに接続されていること、および外部キーストアの URI パスとエンドポイント URI または VPC サービス名が正しいことを確認します。 | `CreateCustomKeyStore` および `UpdateCustomKeyStore` オペレーションに対応する **`XksProxyUriUnreachableException`**<br />`CreateKey` オペレーションに対応する **`CustomKeyStoreInvalidStateException`**。<br />暗号化オペレーションに対応する **`KMSInvalidStateException`**。 | 

上位 5 位の例外グラフは、[XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) メトリクスから生成されます。[任意のデータポイントを表示する](#graph-data-point)と、ポップアップに `ExceptionName` ディメンションの値と、そのデータポイントで例外が記録された回数が表示されます。5 つのリスト項目は、最高頻度から最低頻度の例外の順に並べられます。

[XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) メトリクスを使用して、1 分間に再試行不可能なエラーが 5 回以上記録された場合に警告することで、潜在的な設定問題を通知する CloudWatch アラームを作成することをお勧めします。詳細については、「[再試行不可能なエラーのアラームを作成する](xks-alarms.md#nonretryable-errors-alarm)」を参照してください。

### 証明書の有効期限日数
<a name="cert-expire-graph"></a>

外部キーストアプロキシエンドポイント (`XksProxyUriEndpoint`) の TLS 証明書の有効期限が切れるまでの日数です。このグラフを使用して、TLS 証明書の有効期限をモニタリングします。

証明書の有効期限が切れると、 AWS KMS は外部キーストアプロキシと通信できません。証明書が更新されるまで、外部キーストアの KMS キーで保護されているすべてのデータにアクセスできなくなります。

証明書の有効期限までの日数のグラフは、[XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) メトリクスから生成されます。このメトリクスを使用して、有効期限切れの接近を通知する CloudWatch アラームを作成することを強くお勧めします。証明書の有効期限が切れると、暗号化されたリソースにアクセスできなくなる可能性があります。アラームを設定することで、組織は有効期限が切れる前に証明書を更新する時間をもつことができます。詳細については、「[証明書の有効期限切れアラームを作成する](xks-alarms.md#cert-expire-alarm)」を参照してください。