本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 監控 AWS KMS keys
<a name="monitoring-overview"></a>

監控是了解 AWS KMS keys 中 的可用性、狀態和用量， AWS KMS 以及維護 AWS 解決方案的可靠性、可用性和效能的重要部分。收集 AWS 解決方案全面的監控資料，可協助在出現多點故障時進行偵錯。不過，在您開始監控 KMS 金鑰之前，應先建立監控計畫，為下列問題提供解答：
+ 監控目標是什麼？
+ 要監控哪些資源？
+ 監控這些資源的頻率為何？
+ 要使用哪些[監控工具](#monitoring-tools)？
+ 誰將執行監控任務？
+ 發生問題時應該通知誰？

下一個步驟是隨時間監控您的 KMS 金鑰，以建立您環境中 AWS KMS 正常使用和期望的基準。當您監控 KMS 金鑰時，請存放歷史記錄監控資料，如此才能與目前的資料做比較、辨識正常模式和異常狀況、規劃問題處理方式。

例如，您可以監控會影響 KMS 金鑰的 AWS KMS API 活動和事件。當資料高於或低於既定常規，您可能需要調查或採取修正動作。

若要建立正常模式的基準，請監控下列項目：
+ AWS KMS *資料平面操作的 API *活動。這些是使用 KMS 金鑰的[密碼編譯操作](kms-cryptography.md#cryptographic-operations)，例如 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)、[Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)、[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 和 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)。
+ AWS KMS *控制平面*操作的 API 活動對您而言很重要。這些操作管理 KMS 金鑰，而且您可能希望監控會變更 KMS 金鑰可用性 (例如 [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)、[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)、[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)、[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)、[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) 和 [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)) 或變更 KMS 金鑰存取控制 (例如 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 和 [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)) 的項目。
+ 其他 AWS KMS 指標 （例如在您[匯入金鑰材料](importing-keys.md)過期之前剩餘的時間） 和事件 （例如匯入金鑰材料過期，或是 KMS 金鑰的刪除或金鑰輪換）。

## 監控工具
<a name="monitoring-tools"></a>

AWS 提供各種工具，可讓您用來監控 KMS 金鑰。您可以設定其中一些工具來進行監控，但有些工具需要手動介入。建議您盡可能自動化監控任務。

### 自動化監控工具
<a name="monitoring-tools-automated"></a>

您可以使用下列自動化監控工具來監看 KMS 金鑰，並在發生變更時進行回報。
+ **AWS CloudTrail 日誌監控** – 在帳戶之間共用日誌檔案、透過將日誌檔案傳送到 CloudTrail CloudWatch Logs 來即時監控 CloudTrail 日誌檔案、使用 [CloudTrail Processing Library](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) 寫入日誌處理應用程式，以及驗證您的日誌檔案在 CloudTrail 交付後並未變更。如需詳細資訊，請參閱《AWS CloudTrail 使用者指南》**中的[使用 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html)。
+ **Amazon CloudWatch 警示**：監看指定時段內的單一指標，並根據與多個時段內給定之閾值相對的指標值來執行一或多個動作。此動作是傳送到 Amazon Simple Notification Service (Amazon SNS) 主題或 Amazon EC2 Auto Scaling 政策的通知。CloudWatch 警示不會只因處於特定狀態就調用動作，狀態必須已變更並已維持一段指定的時間。如需詳細資訊，請參閱[使用 Amazon CloudWatch 監控 KMS 金鑰](monitoring-cloudwatch.md)。
+ **Amazon EventBridge** – 匹配事件並將事件路由至一或多個目標函數或串流，以擷取狀態資訊，如果需要的話，也能進行變更或採取修正動作。如需詳細資訊，請參閱 [使用 Amazon EventBridge 監控 KMS 金鑰](kms-events.md) 和《[Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)》。
+ **Amazon CloudWatch Logs** – 從 AWS CloudTrail 或其他來源監控、存放和存取您的日誌檔案。如需詳細資訊，請參閱 [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)。

### 手動監控工具
<a name="monitoring-tools-manual"></a>

監控 KMS 金鑰的另一個重要部分是手動監控 CloudWatch 警示和事件未涵蓋的項目。 AWS KMS、CloudWatch AWS Trusted Advisor和其他 AWS 儀表板可讓您at-a-glance檢視環境 AWS 的狀態。

您可以[自訂](viewing-console-customize.md#console-customize-tables) [AWS KMS 主控台](https://console.aws.amazon.com/kms)的 **AWS 受管金鑰** 和**客戶受管金鑰**頁面，以顯示有關每個 KMS 金鑰的下列資訊：
+ 金鑰 ID
+ 狀態
+ Creation (建立) 日期
+ 過期日期 (適用於具有[匯入金鑰材料​](importing-keys.md)的 KMS 金鑰)
+ Origin
+ 自訂金鑰存放區 ID (適用於[自訂金鑰存放區​](key-store-overview.md#custom-key-store-overview)中的 KMS 金鑰)

[CloudWatch 主控台儀表板](https://console.aws.amazon.com/cloudwatch/home)會顯示下列項目：
+ 目前警示與狀態
+ 警示與資源的圖表
+ 服務運作狀態

此外，您可以使用 CloudWatch 執行下列動作：
+ 建立[自定儀表板](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html)來監控您注重的服務
+ 用於疑難排解問題以及探索驅勢的圖形指標資料。
+ 搜尋和瀏覽您的所有 AWS 資源指標
+ 建立與編輯要通知發生問題的警示

AWS Trusted Advisor 可協助您監控 AWS 資源，以提高效能、可靠性、安全性和成本效益。所有使用者皆可使用四個 Trusted Advisor 檢查；商業或企業支援計劃的使用者可使用超過 50 個檢查。如需詳細資訊，請參閱[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)。