Giám sát việc sử dụng AWS KMS
Giám sát việc sử dụng AWS KMS
Giám sát đóng vai trò quan trọng trong việc nhận biết tính khả dụng, trạng thái và cách CMK trong AWS KMS được sử dụng, giúp người vận hành có cơ sở duy trì sự ổn định và đảm bảo hiệu suất hệ thống dựa trên các giải pháp AWS. Về cơ bản, đối với AWS KMS, bạn có thể theo dõi:
- Hoạt động liên quan đến mật mã, chẳng hạn như Mã hóa hoặc Giải mã.
- Hoạt động liên quan đến quản lý CMK: EnableKey, ImportKeyMaterial,…
- Hoạt động liên quan tới các sự kiện và các chỉ số khác, chẳng hạn như key expiration, rotate key hoặc thời gian khả dụng đối với key material trước khi chúng bị hết hạn.
Để giám sát các hoạt động này chúng ta sử dụng AWS service như AWS CloudTrail và Amazon CloudWatch, đặc biệt là logs, events và alarms.
AWS KMS và AWS CloudTrail
- AWS KMS có thể được tích hợp với AWS CloudTrail – là dịch vụ cung cấp cho chúng ta lịch sử hoạt động của user, role hoặc các dịch vụ AWS trong AWS KMS.
- CloudTrail cũng chụp lại tất cả các lời gọi API tới dịch vụ AWS KMS như là event, bao gồm cả những lời gọi từ AWS KMS Console và cả những mã lệnh gọi tới AWS KMS API.
Để thấy cách CloudTrail ghi lại những thông tin chúng ta thực hiện những bước sau
- Khởi tạo một data key mới sử dụng lệnh
aws kms generate-data-key --key-id alias/ImportedCMK --key-spec AES_256 --encryption-context project=workshop
2. Kiểm tra hành động được lưu lại trong AWS CloudTrail
- Truy cập vào AWS CloudTrail Console.
- Click Roles.
- Click Event history
- Trong phần Filter, chọn Event name
- Nhập
GenerateDataKey
vào ô tìm kiếm, Nhấn Enter
Bạn có thể filter theo nhiều thông số khác nhau, ví dụ theo User name, theo Event source,… để có được những thông tin cần thiết cho việc đánh giá hiệu năng hoặc giám sát việc sử dụng AWS KMS.
Nhận thông báo AWS KMS Real time với AWS CloudTrail, Amazon CLoudWatch và Amazon SNS
- Truy cập vào AWS SNS Console.
- Click Topics.
- Click Create topic.
- Trong phần Details
- Tại mục Type Chọn Standard
- Tại mục Name Điền
snsworkshop
- Kéo màn hình xuống dưới Click Create topic
- Lưu lại thông tin ARN của topic vừa tạo
- Truy cập vào AWS SNS Console.
- Click Subscriptions.
- Click Create subscription.
- Trong trang Create subscription
- Tại mục Name Điền Topic ARN đã lưu trong bước 4
- Tại mục Protocol Chọn Email
- Tại mục Endpoint Điền địa chỉ email của bạn
- Click Create subcription
- Sau khoảng 1 vài phút bạn sẽ nhận được một email để xác nhận đăng ký.
- Click Confirm subscription
- Truy cập vào AWS EventBridge Console.
- Click Rules.
- Click Create rule.
- Trong trang Rule detail
- Tại mục Name Điền
kmsworkshop-rule
- Click Next
- Kéo màn hình xuống phần Event pattern
- Tại mục AWS service Chọn CloudTrail
- Tại mục Event type Chọn AWS API Call via CloudTrail
- Click Specific operation(s)
- Điền
GenerateDataKey
- Kéo màn hình xuống dưới Click Next
- Trong trang Select target(s)
- Tại mục Select a target Chọn SNS Topic
- Tại mục Topic Chọn snsworkshop
- Click Next
- Trong trang Configure tags
- Click Next
- Trong trang Configure tags
- Kéo màn hình xuống dưới, Click Create rule
Sau khi tạo rule, mỗi lần Data key được sinh ra thì bạn sẽ nhận được thông báo về sự kiện này.
AWS KMS và CloudWatch Metrics
Dịch vụ CloudWatch có thể cung cấp một vài số liệu liên quan tới AWS KMS và CMK.
Khi bạn Import Key Material vào CMK và thiết lập ngày hết hạn cụ thể cho Key Material thì AWS KMS sẽ gửi số liệu và các khía cạnh thông tin khác về cho CloudWatch. Dựa vào đó bạn có thể tạo cảnh báo hoặc trang thông tin tổng quát để bạn có thêm hiểu biết về việc sử dụng AWS KMS.
- Để kiểm tra số liệu
- Click Per-Key Metrics
- Chúng ta sẽ thấy thấy chỉ số SecondsUntilKeyMaterialExpiration của khóa CMK tạo từ Key Material được imported từ trước.
Với thông tin chỉ số này bạn có thể thiết lập cảnh báo khi Key material bị hết hạn.