Amazon によるモニタリング EventBridge - AWS Key Management Service
KMS CMK ローテーションKMS でインポートされたキーマテリアルの有効期限KMS CMK 削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon によるモニタリング EventBridge

Amazon EventBridge (以前の Amazon CloudWatch Events) を使用して、KMS キーのライフサイクルにおける以下の重要なイベントを警告できます。

  • KMS キーのキーマテリアルが自動的にローテーションされました。

  • KMS キーにインポートされたキーマテリアルの有効期限が切れました。

  • 削除が予定されていた KMS キーが削除されました。

AWS KMS は Amazon と統合 EventBridge して、KMS キーに影響する重要なイベントを通知します。各イベントは JSON (JavaScript Object Notation) で表され、イベント名、イベントが発生した日時、および影響を受ける が含まれます。これらのイベントを収集し、AWS Lambda 関数、Amazon SNS トピック、Amazon SQS キュー、Amazon Kinesis Data Streams のストリーム、組み込みターゲットなどの 1 つ以上のターゲットにイベント送信のルールを確立できます。

読み取り/書き込み API リクエストを記録するAWS CloudTrailときに によって出力されるイベントなど、他の種類のイベント EventBridge で を使用する方法の詳細については、「Amazon EventBridge ユーザーガイド」を参照してください。

以下のトピックでは、 がAWS KMS生成する EventBridge イベントについて説明します。

KMS CMK ローテーション

AWS KMS は、対称暗号化 KMS キーのキーマテリアルの自動ローテーションをサポートします。カスタマーマネージドキーについては、キーマテリアルの年次ローテーションはオプションです。AWS マネージドキー のキーマテリアルは毎年自動的にローテーションされます。

がキーマテリアルをローAWS KMSテーションするたびに、 にKMS CMK Rotationイベントが送信されます EventBridge。 はベストエフォートベースでこのイベントAWS KMSを生成します。

このイベントの例を以下に示します。

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}

KMS でインポートされたキーマテリアルの有効期限

キーマテリアルを KMS キーにインポートすると、キーマテリアルの有効期限を任意で指定することができます。キーマテリアルの有効期限が切れると、 はキーマテリアルAWS KMSを削除し、対応するKMS Imported Key Material Expirationイベントを に送信します EventBridge。 はベストエフォートベースでこのイベントAWS KMSを生成します。

このイベントの例を以下に示します。

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}

KMS CMK 削除

KMS キーのキー削除をスケジュールすると、AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間が終了すると、 は KMS キーAWS KMSを削除し、 にKMS CMK Deletionイベントを送信します EventBridge。 はこの EventBridge イベントをAWS KMS保証します。再試行により、同じ KMS キーを削除する複数のイベントが数秒以内に生成される場合があります。

このイベントの例を以下に示します。

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2022-08-10T16:37:50Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}