本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为外部密钥存储创建 CloudWatch 警报


您可以根据外部密钥存储指标创建 Amazon CloudWatch 警报，以便在指标值超过您指定的阈值时通知您。警报可以将消息发送到 [Amazon Simple Notification Service（Amazon SNS）主题](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)或 [Amazon EC2 Auto Scaling 策略](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work)。有关 CloudWatch 警报的详细信息，请参阅[亚马逊* CloudWatch 用户指南中的使用亚马逊 CloudWatch *警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。

在创建亚马逊 CloudWatch 警报之前，您需要一个亚马逊 SNS 主题。有关详情，请参阅[亚马逊* CloudWatch 用户指南中的创建 Ama* zon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)。

**Topics**
+ [

## 创建证书到期警报
](#cert-expire-alarm)
+ [

## 创建响应超时警报
](#latency-alarm)
+ [

## 创建可重试错误警报
](#retryable-errors-alarm)
+ [

## 创建不可重试错误警报
](#nonretryable-errors-alarm)

## 创建证书到期警报


此警报使用 AWS KMS 发布到的[XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire)指标 CloudWatch 来记录与您的外部密钥存储代理端点关联的 TLS 证书的预期到期时间。您无法为账户中的所有外部密钥存储创建单个警报，也无法为将来可能会创建的外部密钥存储创建警报。

我们建议将警报设置为在证书将要过期的前 10 天提醒您，但您应设置最适合您需求的阈值。

**创建警报**

使用以下必填值按照[基于静态阈值创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的说明进行操作。对于其他字段，请接受默认值并按要求提供名称。


| Field | Value | 
| --- | --- | 
| 选择指标 |  选择 **KMS**，然后选择 **XKS Proxy Certificate Metrics**（XKS 代理证书指标）。 选中要监控的 `XksProxyCertificateName` 旁的复选框。 然后选择 **Select metric（选择指标）**。  | 
| Statistic | 最小值 | 
| 周期 | 5 分钟 | 
| 阈值类型 | 静态 | 
| 当 ... | 无论何时Lower都XksProxyCertificateDaysToExpire是10。 | 

## 创建响应超时警报


此警报使用 AWS KMS 发布 CloudWatch到的[XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency)指标来记录外部密钥存储代理响应请求所花费的毫秒数。 AWS KMS 您无法为账户中的所有外部密钥存储创建单个警报，也无法为将来可能会创建的外部密钥存储创建警报。

AWS KMS 期望外部密钥存储代理在 250 毫秒内对每个请求做出响应。我们建议设置警报，以在外部密钥存储代理响应时间超过 200 毫秒时提醒您，但您应该设置最适合您需求的阈值。

**创建警报**

使用以下必填值按照[基于静态阈值创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的说明进行操作。对于其他字段，请接受默认值并按要求提供名称。


| Field | Value | 
| --- | --- | 
| 选择指标 |  选择 **KMS**，然后选择 **XKS Proxy Latency Metrics**（XKS 代理延迟指标）。 选中要监控的 `KmsOperation` 旁的复选框。 然后选择 **Select metric（选择指标）**。  | 
| Statistic | 平均值 | 
| 周期 | 5 分钟 | 
| 阈值类型 | 静态 | 
| 当 ... | 无论何时Greater都XksProxyLatency是200。 | 

## 创建可重试错误警报


此警报使用 AWS KMS 发布到的[XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)指标 CloudWatch 来记录与您的外部密钥存储代理 AWS KMS 请求相关的异常数量。您无法为账户中的所有外部密钥存储创建单个警报，也无法为将来可能会创建的外部密钥存储创建警报。

可重试错误会降低您的可靠性百分比，并可能表示网络错误。我们建议设置警报，以在一分钟内记录超过五个可重试错误时提醒您，但您应该设置最适合您需求的阈值。

使用以下必填值按照[基于静态阈值创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的说明进行操作。对于其他字段，请接受默认值并按要求提供名称。


| Field | Value | 
| --- | --- | 
| 选择指标 |  选择 **Query**（查询）选项卡。 对于 **Namespace**（命名空间），选择 `AWS/KMS`。 对于 **Metric name**（指标名称），输入 `SUM(XksProxyErrors)`。 对于 **Filter by**（筛选条件），输入 `ErrorType = Retryable`。 选择**运行**。然后选择 **Select metric（选择指标）**。  | 
| 标签 | Retryable errors | 
| 周期 | 1 minute | 
| 阈值类型 | 静态 | 
| 当 ... | 每当 q1 Greater 5 时。 | 

## 创建不可重试错误警报


此警报使用 AWS KMS 发布到的[XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)指标 CloudWatch 来记录与您的外部密钥存储代理 AWS KMS 请求相关的异常数量。您无法为账户中的所有外部密钥存储创建单个警报，也无法为将来可能会创建的外部密钥存储创建警报。

不可重试错误可能表示您的外部密钥存储的配置存在问题。我们建议设置警报，以在一分钟内记录超过五个不可重试错误时提醒您，但您应该设置最适合您需求的阈值。

使用以下必填值按照[基于静态阈值创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)中的说明进行操作。对于其他字段，请接受默认值并按要求提供名称。


| Field | Value | 
| --- | --- | 
| 选择指标 |  选择 **Query**（查询）选项卡。 对于 **Namespace**（命名空间），选择 `AWS/KMS`。 对于 **Metric name**（指标名称），输入 `SUM(XksProxyErrors)`。 对于 **Filter by**（筛选条件），输入 `ErrorType = Non-retryable`。 选择**运行**。然后选择 **Select metric（选择指标）**。  | 
| 标签 | Non-retryable errors | 
| 周期 | 1 minute | 
| 阈值类型 | 静态 | 
| 当 ... | 每当 q1 Greater 5 时。 |