跳转至

采集器「AWS-KMS」配置手册

阅读本文前,请先阅读:

使用本采集器前,必须安装「观测云集成 Core 核心包」及其配套的第三方依赖包

1. 配置结构

本采集器配置结构如下:

字段 类型 是否必须 说明
regions list 必须 所需采集的地域列表
regions[#] str 必须 地域 ID。如:'cn-north-1'
总表见附录

2. 配置示例

采集北京地域的实例数据

Python
1
2
3
collector_configs = {
    'regions': ['cn-north-1' ]
}

配置过滤器(可选项)

本采集器脚本支持用户自定义过滤器,让用户通过对象属性筛选出目标资源。过滤器函数返回值为 True|False

  • True:目标资源需要被采集。

  • False 目标资源不需要被采集

支持筛选的对象属性:

属性 描述
KeyId key ID
Arn arn
Python
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
# 示例:开启过滤器,根据对象的 KeyId 和 Arn 属性过滤,配置格式如下:
def filter_instance(instance):
    '''
    采集 Arn 为 xxx 并且 Arn 为 xxx 的实例
    '''
    # return True
    key_id = instance['KeyId']
    arn = instance['Arn']
    if key_id in ['xxx'] and arn in ['xxx']:
        return True
    return False


@DFF.API('AWS-KMS Collection', timeout=3600, fixed_crontab='* * * * *')
def run():
    Runner(main.DataCollector(account, collector_configs, filters=[filter_instance])).run()

3. 数据上报格式

数据正常同步后,可以在观测云的「基础设施-资源目录」中查看数据。

上报的数据示例如下:

JSON
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
{
  "measurement": "aws_kms",
  "tags": {
    "AWSAccountId": "2946xxxx",
    "Arn"         : "arn:aws-cn:kms:cn-northwest-1:xxxx",
    "Enabled"     : "true",
    "KeyId"       : "7293addb-xxxx",
    "KeyManager"  : "AWS",
    "KeySpec"     : "SYMMETRIC_DEFAULT",
    "KeyState"    : "Enabled",
    "KeyUsage"    : "ENCRYPT_DECRYPT",
    "MultiRegion" : "false",
    "Origin"      : "AWS_KMS",
    "name"        : "7293addb-xxxx"
  },
  "fields": {
    "CreationDate": "2022-09-01T16:24:26.768000+08:00",
    "Description" : "Default key that protects my RDS database volumes when no other key is defined",
    "message"     : "{实例 JSON 数据}"
  }
}

tags、fields 中的字段可能会随后续更新有所变动

4. IAM 策略权限

如果用户使用带入 IAM 角色的方式采集资源,需要开启一定的操作权限

该采集器需要以下权限:

kms:ListKeys

kms:DescribeKey

X. 附录

请参考 AWS 官方文档: