本文介紹KMSLog Service功能支援採集的資料、資產詳情、計費說明及使用限制等。
什麼是Log Service
KMSLog Service功能基於阿里雲Log Service,在KMS控制台為您提供KMS執行個體的日誌查詢與分析,同時支援儲存180天內的訪問日誌,助力您的應用符合合規要求。關於阿里雲Log Service的詳細介紹,請參見什麼是Log Service。
支援採集的資料
Log Service功能僅採集KMS執行個體處理的業務請求資訊。KMS執行個體處理的業務請求資訊可通過日誌欄位api_name和share_gateway_api_name來標識業務請求情境。根據調用方發起業務請求時使用的KMS Endpoint不同進行區分,具體請參見下表。關於KMS Endpoint的詳細介紹,請參見Endpoint說明。
Log Service不會採集KMS資源管控類操作的資訊,但您可以使用Action Trail(ActionTrail)對KMS資源的管控類操作進行查詢。瞭解完整的支援審計的操作事件,請參見Key Management Service支援被審計的事件說明。關於如何查詢操作事件,請參見使用Action Trail查詢Key Management Service的操作事件。
通過KMS服務Endpoint
share_gateway_api_name
api_name
事件說明
事件情境描述
GetSecretValue
Decrypt
擷取憑據值。
自建應用擷取憑據值。
GenerateDataKey
GenerateDataKey
產生資料密鑰操作。
情境一:雲產品整合KMS。
情境二:自建應用,使用者建立憑據或存入憑據值。
GenerateDataKeyWithoutPlaintext
GenerateDataKey
產生資料密鑰且僅返回資料密鑰密文操作。
雲產品整合KMS。
Encrypt
Encrypt
使用對稱金鑰對資料進行加密操作。
雲產品整合KMS。
Decrypt
Decrypt
使用對稱金鑰對資料進行解密操作。
雲產品整合KMS。
AsymmetricEncrypt
Encrypt
使用非對稱金鑰對資料進行加密操作。
雲產品整合KMS。
AsymmetricDecrypt
Decrypt
使用非對稱金鑰對資料進行解密操作。
雲產品整合KMS。
AsymmetricSign
Sign
使用非對稱金鑰對資料進行資料簽名操作。
雲產品整合KMS。
AsymmetricVerify
Verify
使用非對稱金鑰對資料進行數位簽章驗證操作。
雲產品整合KMS。
通過KMS執行個體Endpoint
用於您的自建應用使用KMS執行個體的情境,該情境share_gateway_api_name欄位為空白。
api_name
事件說明
GetSecretValue
擷取憑據值。
AdvanceEncrypt
將明文資料通過KMS祕密金鑰加密為密文。
僅當密鑰為軟體密鑰管理執行個體的對稱金鑰時支援使用該介面。
AdvanceDecrypt
將使用KMS祕密金鑰加密的密文解密為明文。
僅當密鑰為軟體密鑰管理執行個體的對稱金鑰時支援使用該介面。
AdvanceGenerateDataKey
用於產生資料密鑰。
僅當密鑰為軟體密鑰管理執行個體的對稱金鑰時支援使用該介面。
GenerateDataKeyPair
產生非對稱的資料金鑰組,並返回私密金鑰明文。
GenerateDataKeyPairWithoutPlaintext
產生非對稱的資料金鑰組,不返回私密金鑰明文。
GenerateDataKey
產生資料密鑰。
Encrypt
將明文加密為密文。
Decrypt
將密文解密為明文。
Sign
使用非對稱金鑰進行簽名。
Verify
使用非對稱金鑰進行驗簽。
GetPublicKey
擷取指定非對稱金鑰的公開金鑰。
資產詳情
您開啟Log Service後,Log Service將自動為該KMS執行個體建立專案(Project),並在該專案(Project)下建立日誌庫(Logstore),日誌資料存放在日誌庫(Logstore)中。Project的所屬地區與您的KMS執行個體相同。
您可以登入Log Service控制台,查看Project(名稱為kms-log-KMS執行個體ID)和Logstore(名稱為kms_audit_log)。
請勿刪除KMS日誌相關的Project和Logstore,否則將無法正常推送日誌到Log Service。
計費說明
由KMS售賣Log Service功能,根據日誌儲存容量收取費用,且僅支援以訂用帳戶方式收取費用。日誌儲存容量最小為1000 GB,並以1000 GB為單位遞增,費用每1000 GB為80 美元/月。
KMS收取的Log Service費用覆蓋儲存空間以及查詢分析。如果您使用Log Service的其他功能,例如日誌加工、轉投或索引等,需要向Log Service產品單獨進行後付費,具體計費,請參見按使用功能計費模式計費項目。
Log Service的購買時間長度與KMS執行個體綁定,新購KMS執行個體時根據KMS執行個體的購買時間長度計算Log Service的費用,通過升級KMS執行個體開啟Log Service時,會根據KMS執行個體的剩餘時間長度(精確到分鐘層級)計算Log Service的費用。
使用限制
開啟Log Service後,日誌儲存時間長度預設為180天且不支援修改。
請確保日誌儲存空間充足,當日誌儲存空間被佔滿後無法寫入新的日誌,此時請您及時擴容,但需要注意的是目前擴容後不支援降配。
說明KMS控制台中顯示的日誌儲存空間用量並非即時更新,與實際使用方式間存在兩個小時的延遲。
開啟Log Service後,暫不支援直接關閉,如您確實需要關閉,請聯絡阿里雲支援人員。具體操作,請參見聯絡我們。
KMS執行個體必須處於可用狀態,否則KMS的Log Service功能將暫停使用。如果KMS執行個體已到期且未續約,在到期的第16天,Project會隨KMS執行個體釋放而自動刪除。
如何計算所需的日誌儲存容量
一般情況下,每條請求日誌大約佔用1 KB儲存空間,如果業務的平均請求量為100 QPS,則一天的日誌儲存所需要的儲存空間為:100*60*60*24*1 = 8,640,000 KB(約8.2 GB),預設儲存時間長度為180天,則日誌儲存容量約佔8.2*180=1,476 GB。您開啟Log Service時,日誌儲存容量可以選擇2,000 GB。