翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon CloudWatch で KMS キーをモニタリングする
Amazon CloudWatch を使用して AWS KMS keys をモニタリングできます。これは、AWS KMS から raw データを収集し、リアルタイムに近い読み取り可能なメトリクスに加工する AWS サービスです。これらのデータは、履歴情報にアクセスして、時間の経過に伴う KMS キーの使用や変更に関する理解を深められるように 2 週間記録されます。
Amazon CloudWatch を使用すると、次に示すような重要なイベントのアラートを受け取ることができます。
-
KMS キーにインポートされたキーマテリアルの有効期限が近づいています。
-
削除保留中の KMS キーがまだ使用されています。
-
KMS キーのキーマテリアルが自動的にローテーションされました。
-
KMS キーが削除されました。
リクエストレートがクォータ値の一定の割合に達したときに警告する Amazon CloudWatch アラームを作成することもできます。詳細については、AWS Security Blog の「Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch
AWS KMS のメトリクスとディメンション
AWS KMS は、Amazon CloudWatch メトリクスを事前に定義することで、重要なデータを簡単にモニタリングしてアラームを作成できるようにします。AWS Management Console と Amazon CloudWatch API を使用して、AWS KMS メトリクスを表示できます。
このセクションでは、各 AWS KMS メトリクスと各メトリクスのディメンションを一覧表示し、これらのメトリクスとディメンションに基づいて CloudWatch アラームを作成するための基本的なガイダンスを提供します。
注記
ディメンショングループ名:
Amazon CloudWatch コンソールでメトリクスを表示するには、[Metrics] (メトリクス) セクションでディメンショングループ名を選択します。これにより、[Metric name] (メトリクス名) でフィルタリングできます。このトピックには、各 AWS KMS メトリクスのメトリクス名とディメンショングループ名が含まれています。
AWS Management Console と Amazon CloudWatch API を使用して、AWS KMS メトリクスを表示できます。詳細については、「Amazon CloudWatch ユーザーガイド」の「使用可能なメトリクスの表示」を参照してください。
トピック
SecondsUntilKeyMaterialExpiration
KMS キーにインポートされたキーマテリアルの有効期限が切れるまでの残り秒数です。このメトリクスは、インポートされたキーマテリアル (EXTERNAL のキーマテリアルのオリジン) と有効期限を持つ KMS キーに対してのみ有効です。
このメトリクスを使用して、インポートしたキーマテリアルの有効期限までの残り時間を追跡します。残り秒数が定義したしきい値を下回った場合は、新しい有効期限を使用してキーマテリアルを再インポートできます。この SecondsUntilKeyMaterialExpiration メトリクスは KMS キーに固有です。このメトリクスを使用して、複数の KMS キーや将来作成する可能性のある KMS キーを監視することはできません。このメトリクスをモニタリングする CloudWatch アラームの作成に関するヘルプについては、「インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する」を参照してください。
このメトリクスで最も有用な統計は Minimum で、指定された統計期間のすべてのデータポイントの最小残り時間を示します。このメトリクスの唯一の有効な単位は Seconds です。
ディメンショングループ名: [Per-Key Metrics] (キーごとのメトリクス)
| ディメンション | 説明: 関連する AWS |
|---|---|
| KeyId | 各 KMS キーの値です。 |
KMS キーのキー削除をスケジュールすると、AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間を設定することで、KMS キーが不要であり、今後も使用しないことを確認できます。また、待機期間中に暗号化操作でユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するよう、CloudWatch アラームを設定することもできます。このようなアラームから通知を受け取った場合は、KMS キーの削除をキャンセルする必要がある可能性があります。
手順については、削除保留中のKMSキーの使用を検出するアラームを作成する を参照してください。
ExternalKeyStoreThrottle
AWS KMS がスロットルする (ThrottlingException で応答する) 各外部キーストアの KMS キーに対する暗号化オペレーションのリクエスト数です。このメトリクスは、外部キーストアにのみ適用されます。
ExternalKeyStoreThrottle メトリクスは、外部キーストアの KMS キー、および暗号化オペレーションと DescribeKey オペレーションのリクエストにのみ適用されます。AWS KMS は、リクエストレートが外部キーストアのカスタムキーストアのリクエストクォータを超えると、これらのリクエストをスロットルします。このメトリクスには、外部キーストアプロキシまたは外部キーマネージャーによるスロットリングは含まれていません。
このメトリクスを使用して、カスタムキーストアのリクエストクォータの値を確認および調整します。AWS KMS がこれらの KMS キーのリクエストを頻繁にスロットリングしていることをこのメトリクスが示している場合は、カスタムキーストアのリクエストクォータ値の引き上げをリクエストすることを検討してください。ヘルプについては、「Service Quotas ユーザーガイド」の「Requesting a quota increase」(クォータ引き上げのリクエスト) を参照してください。
「リクエストレートが極めて高いため」リクエストが拒否されたこと、または「外部キーストアプロキシが時間内に応答しなかったために」リクエストが拒否されたことを説明するメッセージで KMSInvalidStateException エラーが頻発する場合は、外部キーマネージャーまたは外部キーストアプロキシが現在のリクエストレートに対応していないことを示している可能性があります。可能な場合は、リクエスト率を下げます。また、カスタムキーストアのリクエストクォータ値の引き下げをリクエストすることも検討してください。このクォータ値を引き下げると、スロットリング (および ExternalKeyStoreThrottle メトリック値) が増加する可能性がありますが、AWS KMS は超過リクエストが外部キーストアプロキシまたは外部キーマネージャーに送信される前にすぐに拒否します。クォータの削減をリクエストするには、AWS Support センター
ディメンショングループ名: [Keystore Throttle Metrics] (キーストアスロットルメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | 各 AWS KMS API オペレーションの値です。このメトリクスは、暗号化オペレーションと外部キーストアの KMS キーに対する DescribeKey オペレーションにのみ適用されます。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされているキースペックは SYMMETRIC_DEFAULT のみです。 |
XksProxyCertificateDaysToExpire
外部キーストアプロキシエンドポイント (XksProxyUriEndpoint) の TLS 証明書の有効期限が切れるまでの日数です。このメトリクスは、外部キーストアにのみ適用されます。
このメトリクスを使用して、TLS 証明書の有効期限切れが近づいていることを通知する CloudWatch アラームを作成します。証明書の有効期限が切れると、AWS KMS は外部キーストアプロキシと通信できなくなります。証明書が更新されるまで、外部キーストアの KMS キーで保護されているすべてのデータにアクセスできなくなります。
証明書アラームは、暗号化されたリソースへのアクセスを妨げる可能性のある証明書の有効期限切れを防ぎます。アラームを設定することで、組織は有効期限が切れる前に証明書を更新する時間をもつことができます。
ディメンショングループ名: [XKS Proxy Certificate Metrics] (XKS プロキシ証明書メトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| CertificateName | TLS 証明書のサブジェクト名 (CN) です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、外部キーストアをモニタリングする を参照してください。
XksProxyCredentialAge
現在の外部キーストアのプロキシ認証情報 (XksProxyAuthenticationCredential) が外部キーストアに関連付けられてからの日数です。このカウントは、外部キーストアの作成または更新の一環として、認証情報を入力した時点から開始されます。このメトリクスは、外部キーストアにのみ適用されます。
この値は、認証情報の有効期限を知らせるためのものです。ただし、外部キーストアプロキシで認証情報を作成した時点ではなく、認証情報を外部キーストアに関連付けた時点からカウントが開始されるため、プロキシでの認証情報の経過時間の正確なインジケータではない場合があります。
このメトリクスを使用して、外部キーストアのプロキシ認証情報をローテーションするように通知する CloudWatch アラームを作成します。
ディメンショングループ名: [Per-Keystore Metrics] (キーストアごとのメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、外部キーストアをモニタリングする を参照してください。
XksProxyErrors
外部キーストアプロキシへの AWS KMS リクエストに関連する例外の数です。このカウントには、外部キーストアプロキシが AWS KMS に返す例外と、外部キーストアプロキシが 250 ミリ秒のタイムアウト間隔内に AWS KMS に応答しない場合に発生するタイムアウトエラーが含まれます。このメトリクスは、外部キーストアにのみ適用されます。
このメトリクスを使用して、外部キーストアの KMS キーのエラーレートを追跡します。最も頻発するエラーが明らかになるため、エンジニアリング作業に優先順位を付けることができます。例えば、再試行不可能なエラーの発生率が高くなっている KMS キーは、外部キーストアの設定に問題があることを示している可能性があります。外部キーストア設定を確認するには、「外部キーストアの表示」を参照してください。外部キーストア設定を編集するには、「外部キーストアプロパティの編集」を参照してください。
ディメンショングループ名: [XKS Proxy Error Metrics] (XKS プロキシエラーメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値です。 |
| XksOperation | 各外部キーストアプロキシ API オペレーションの値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされているキースペックは SYMMETRIC_DEFAULT のみです。 |
| ErrorType | 値:
|
| ExceptionName |
値:
|
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、外部キーストアをモニタリングする を参照してください。
XksExternalKeyManagerStates
以下の各ヘルス状態 (Active、Degraded、Unavailable) における外部キーマネージャーインスタンス数のカウントです。このメトリクスの情報は、各外部キーストアに関連付けられた外部キーストアプロキシから取得されます。このメトリクスは、外部キーストアにのみ適用されます。
以下は、外部キーストアに関連付けられた外部キーマネージャーインスタンスのヘルス状態です。各外部キーストアプロキシは、外部キーマネージャーのヘルス状態を測定するために、異なるインジケータを使用する場合があります。詳細については、外部キーストアプロキシのドキュメントを参照してください。
-
Active: 外部キーマネージャーは正常です。 -
Degraded: 外部キーマネージャーに異常がありますが、トラフィックは処理できます。 -
Unavailable: 外部キーマネージャーはトラフィックを処理できません。
このメトリクスを使用して、外部キーマネージャーインスタンスが劣化して使用できなくなったことを警告する CloudWatch アラームを作成します。各状態の外部キーマネージャーインスタンスを判断するには、外部キーストアプロキシログを参照してください。
ディメンショングループ名: [XKS External Key Manager Metrics] (XKS 外部キーマネージャーメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| XksExternalKeyManagerState | 各ヘルス状態の値です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、外部キーストアをモニタリングする を参照してください。
XksProxyLatency
外部キーストアプロキシが AWS KMS リクエストに応答するまでにかかるミリ秒数です。リクエストがタイムアウトした場合、記録される値は 250 ミリ秒のタイムアウト制限です。このメトリクスは、外部キーストアにのみ適用されます。
このメトリクスを使用して、外部キーストアプロキシと外部キーマネージャーのパフォーマンスを評価します。プロキシが暗号化オペレーションと復号オペレーションで頻繁にタイムアウトする場合は、外部プロキシ管理者に相談してください。
応答が遅い場合は、外部キーマネージャーが現在のリクエストトラフィックを処理できていない可能性もあります。AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションリクエストを処理できることを推奨しています。外部キーマネージャーが 1 秒あたり 1,800 件のリクエストを処理できない場合は、カスタムキーストアの KMS キーリクエストクォータの引き下げをリクエストすることを検討してください。外部キーストアの KMS キーを使用した暗号化オペレーションのリクエストは、外部キーストアプロキシまたは外部キーマネージャーによって処理され、後で拒否されるのではなく、スロットリング例外でフェイルファストします。
ディメンショングループ名: [XKS Proxy Latency Metrics] (XKS プロキシレイテンシーメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値です。 |
| XksOperation | 各外部キーストアプロキシ API オペレーションの値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされているキースペックは SYMMETRIC_DEFAULT のみです。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、外部キーストアをモニタリングする を参照してください。
