を使用した通話のログ記録 AWS KMS API AWS CloudTrail - AWS Key Management Service
での AWS KMS ログエントリの検索 CloudTrail証跡から AWS KMS イベントを除外する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した通話のログ記録 AWS KMS API AWS CloudTrail

AWS KMS は、ユーザーAWS CloudTrail、ロール、およびその他の サービス AWS KMS による へのすべての呼び出しを記録する AWS サービス と統合されています。 は、 AWS KMS コンソール、、 AWS CloudFormation テンプレート、 AWS Command Line Interface (AWS CLI) AWS KMS APIs、 からのAPI呼び出しを含む、 へのすべての呼び出しをイベント AWS KMS として CloudTrail キャプチャします AWS Tools for PowerShell。

CloudTrail は AWS KMS 、 ListAliasesや などの読み取り専用オペレーション、 CreateKey や などのKMSキーを管理するGetKeyRotationStatusオペレーションPutKeyPolicy、 や GenerateDataKey Decrypt などの暗号化オペレーションを含むすべてのオペレーションを記録します。 Decryptまた、、、、 などDeleteExpiredKeyMaterialDeleteKeySynchronizeMultiRegionKey、 AWS KMS が呼び出す内部オペレーションもログに記録しますRotateKey

CloudTrail は、呼び出し元がリソースへのアクセスを拒否された場合など、成功したすべてのオペレーションと、一部のシナリオで失敗した試行コールを記録します。KMS キーのクロスアカウントオペレーションは、発信者アカウントとKMSキー所有者アカウントの両方に記録されます。ただし、アクセスが拒否されたために拒否されたクロスアカウント AWS KMS リクエストは、発信者のアカウントにのみ記録されます。

セキュリティ上の理由から、Encrypt リクエストの Plaintextパラメータ、 GetKeyPolicy へのレスポンス、暗号化オペレーションなど、一部のフィールドは AWS KMS ログエントリから省略されます。特定のKMSキーの CloudTrail ログエントリの検索を容易にするために、 は、APIオペレーションがKMSキー を返さない場合でも、一部の AWS KMS キー管理オペレーションARNのログエントリの responseElementsフィールドに、影響を受けるキーのキー AWS KMS を追加しますARN。

デフォルトでは、すべての AWS KMS アクションは CloudTrail イベントとして記録されますが、 CloudTrail 証跡からアクションを除外 AWS KMS できます。詳細については、「証跡から AWS KMS イベントを除外する」を参照してください。

詳細はこちら:

トピック

での AWS KMS ログエントリの検索 CloudTrail

CloudTrail ログエントリを検索するには、 CloudTrail コンソールまたは CloudTrail LookupEventsオペレーションを使用します。 は、イベント名、ユーザー名、イベントソースなど、検索をフィルタリングするための多数の属性値 CloudTrail をサポートしています。

で AWS KMS ログエントリを検索しやすくするために CloudTrail、 AWS KMS は、次の CloudTrail ログエントリフィールドに入力します。

注記

2022 年 12 月以降、 は、特定のKMSキーを変更するすべての管理オペレーションにリソースタイプリソース名属性 AWS KMS を入力します。これらの属性値は、、CreateAlias、、CreateGrant、、、、UpdateAlias、 の各オペレーションの古い CloudTrail エントリでは null DeleteAlias DeleteImportedKeyMaterial ImportKeyMaterial ReplicateKey RetireGrant RevokeGrantである可能性がありますUpdatePrimaryRegion

属性 ログエントリ
イベントソース (EventSource) kms.amazonaws.com すべてのオペレーション
リソースタイプ (ResourceType) AWS::KMS::Key CreateKey や など、特定のKMSキーを変更するがEnableKey、 は変更しない管理オペレーションListKeys
リソース名 (ResourceName) キー ARN (またはキー ID とキー ARN) CreateKey や など、特定のKMSキーを変更するがEnableKey、 は変更しない管理オペレーションListKeys

特定のKMSキーの管理オペレーションのログエントリを見つけるために、 AWS KMS は、オペレーションがキー を返さない場合でも AWS KMS API、影響を受けたKMSキーARNのキーをログエントリの responseElements.keyId要素に記録しますARN。

例えば、 DisableKey オペレーションへの呼び出しが成功してもレスポンスの値が返されませんが、null 値の代わりに、DisableKey ログエントリresponseElements.keyIdの値には無効なキーARNの KMS キーが含まれます。

この機能は 2022 年 12 月に追加され、 CreateAlias、、CreateGrantDeleteAliasDeleteKey、、、DisableKeyEnableKeyEnableKeyRotationImportKeyMaterialRotateKeySynchronizeMultiRegionKeyTagResourceUntagResource、、UpdateAlias、、、、、 および の CloudTrail ログエントリに影響しますUpdatePrimaryRegion

証跡から AWS KMS イベントを除外する

AWS KMS リソースの使用と管理の記録を提供するために、ほとんどの AWS KMS ユーザーは CloudTrail 証跡のイベントに依存しています。証跡は、 の作成、無効化、削除、キーポリシーの変更 AWS KMS keys、ユーザーに代わって AWS サービスによるKMSキーの使用など、重要なイベントを監査するための貴重なデータソースになります。場合によっては、暗号化オペレーションの暗号化コンテキストなど、 CloudTrail ログエントリ内のメタデータは、エラーを回避または解決するのに役立ちます。

ただし、 AWS KMS は多数のイベントを生成できるため、 AWS CloudTrail は証跡から AWS KMS イベントを除外します。このトレイルごとの設定では、すべての AWS KMS イベントを除外します。特定の AWS KMS イベントを除外することはできません。

警告

CloudTrail ログから AWS KMS イベントを除外すると、KMSキーを使用するアクションが不明瞭になる可能性があります。このオペレーションを実行するために必要な cloudtrail:PutEventSelectors アクセス許可をプリンシパルに与えるときは注意してください。

証跡から AWS KMS イベントを除外するには:

この除外は、コンソール設定または証跡のイベントセレクタを変更することでいつでも無効にできます。その後、証跡は AWS KMS イベントの記録を開始します。ただし、除外が有効であった間に発生した AWS KMS イベントは復元できません。

コンソールまたは を使用して AWS KMS イベントを除外するとAPI、結果 CloudTrailのPutEventSelectorsAPIオペレーションも CloudTrail ログに記録されます。 AWS KMS イベントが CloudTrail ログに表示されない場合は、 ExcludeManagementEventSources 属性が に設定されているPutEventSelectorsイベントを探しますkms.amazonaws.com