翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# モニタリング AWS KMS keys
モニタリングは、 での の可用性、状態、使用状況を理解し、 AWS ソリューションの信頼性、可用性、パフォーマンス AWS KMS keys AWS KMS を維持する上で重要な部分です。 AWS ソリューションのすべてのパートからモニタリングデータを収集すると、マルチポイント障害が発生した場合にそれをデバッグするのに役立ちます。ただし、KMS キーのモニタリングをスタートする前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。
+ モニタリングの目的は何ですか?
+ どのリソースをモニタリングしますか?
+ どのくらいの頻度でこれらのリソースをモニタリングしますか?
+ 使用する[モニタリングツール](#monitoring-tools)は ?
+ 誰がモニタリングタスクを実行しますか?
+ 問題が発生したときに誰が通知を受け取りますか ?
次のステップでは、KMS キーを経時的にモニタリングして、環境内での通常の AWS KMS の使用および想定のベースラインを確立します。KMS キーをモニタリングする際に、過去のモニタリングデータを保存し、現在のデータと比較することで、通常パターンと異常パターンを識別して、問題に対処する方法を考案できるようにします。
たとえば、KMS キーに影響する AWS KMS API アクティビティとイベントをモニタリングできます。データが、確立基準を上回ったり、下回ったりする場合、修正作業を調査、または実行する必要が生じる場合があります。
通常のパターンのベースラインを確立するには、次の項目をモニタリングします。
+ AWS KMS *データプレーン*オペレーションの API アクティビティ。これは、KMS キーを使用する[暗号化オペレーション](kms-cryptography.md#cryptographic-operations) ([Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)、[Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)、[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) など) です。
+ AWS KMS ユーザーにとって重要な*コントロールプレーン*オペレーションの API アクティビティ。これらのオペレーションはKMS キーを管理し、KMS キーの可用性を変更するオペレーション ([ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)、[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)、[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)、[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)、[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)、[DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) など) をモニタリングします。または、KMS キーのアクセスコントロール ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) および [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) など) を変更します。
+ その他の AWS KMS メトリクス ([インポートされたキーマテリアル](importing-keys.md)の有効期限が切れるまでの残り時間など) およびイベント (インポートされたキーマテリアルの有効期限、KMS キーの削除またはキーローテーションなど)。
## モニタリングツール
AWS には、KMS キーのモニタリングに使用できるさまざまなツールが用意されています。これらのツールの一部はモニタリングを行うように設定できますが、一部のツールは手動による介入が必要です。モニタリングタスクをできるだけ自動化することをお勧めします。
### 自動モニタリングツール
次の自動化されたモニタリングツールを使用して KMS キーを監視し、変更が生じたときに報告させることができます。
+ **AWS CloudTrail ログモニタリング** – アカウント間でログファイルを共有し、CloudWatch Logs に送信CloudWatch CloudTrail ログファイルをリアルタイムでモニタリングし、[CloudTrail Processing Library](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) を使用してログ処理アプリケーションを書き込み、CloudTrail による配信後にログファイルが変更されていないことを確認します。詳細については、*AWS CloudTrail ユーザーガイド*の「[CloudTrail ログファイルのオペレーション](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html)」を参照してください。
+ **Amazon CloudWatch アラーム** - 指定した期間にわたって単一のメトリクスをモニタリングし、複数の期間にわたる特定のしきい値に対するメトリクスの値に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon Simple Notification Service (Amazon SNS) のトピックまたは Amazon EC2 Auto Scaling のポリシーに送信される通知です。CloudWatch アラームは、特定の状態にあるという理由だけでアクションを呼び出すことはありません。状態が変更され、指定された期間維持されている必要があります。詳細については、「[Amazon CloudWatch で KMS キーをモニタリングする](monitoring-cloudwatch.md)」を参照してください。
+ **Amazon EventBridge** — イベントを照合し、1 つ以上のターゲット関数またはストリームにルーティングして、状態情報をキャプチャし、必要に応じて変更または修正措置を講じます。詳細については、[Amazon EventBridge を使用した KMS キーのモニタリング](kms-events.md) および「[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/)」を参照してください。
+ **Amazon CloudWatch Logs** – AWS CloudTrail またはその他のソースからログファイルをモニタリング、保存、およびアクセスします。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)」を参照してください。
### 手動モニタリングツール
KMS キーのモニタリングにおいてもう 1 つの重要な部分は、CloudWatch アラームおよびイベントでカバーされない項目を手動でモニタリングすることです。 AWS KMS、CloudWatch AWS Trusted Advisor、およびその他の AWS ダッシュボードには、環境の状態がat-a-glanceビューが表示されます AWS 。
[AWS KMS コンソール](https://console.aws.amazon.com/kms)の **[AWS マネージドキー]** ページと **[カスタマーマネージドキー]** ページを[カスタマイズ](viewing-console-customize.md#console-customize-tables)して、各 KMS キーに関する次の情報を表示できます。
+ キー ID
+ ステータス
+ 作成日
+ 有効期限 ([インポートされたキーマテリアル](importing-keys.md)を持つ KMS キーの場合)
+ オリジン
+ カスタムキーストア ID ([カスタムキーストア](key-store-overview.md#custom-key-store-overview)のKMS キーの場合)
[CloudWatch コンソールのダッシュボード](https://console.aws.amazon.com/cloudwatch/home) には、以下が表示されます。
+ 現在のアラームとステータス
+ アラームとリソースのグラフ
+ サービスのヘルスステータス
また、CloudWatch を使用して以下のことを行えます。
+ 重視するサービスをモニタリングするための[カスタマイズしたダッシュボード](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html)を作成します
+ メトリクスデータをグラフ化して、問題のトラブルシューティングを行い、傾向を確認する
+ すべての AWS リソースメトリクスを検索して参照する
+ 問題があることを通知するアラームを作成/編集する
AWS Trusted Advisor は、 AWS リソースをモニタリングして、パフォーマンス、信頼性、セキュリティ、コスト効率を向上させるのに役立ちます。すべてのユーザーが 4 つの Trusted Advisor チェックを利用できます。ビジネスまたはエンタープライズサポートプランのユーザーは 50 を超えるチェックを利用できます。詳細については、「[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)」を参照してください。
# を使用した AWS KMS API コールのログ記録 AWS CloudTrail
AWS KMS は、 ユーザー[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)、ロール、およびその他の サービス AWS KMS による へのすべての呼び出しを記録する AWS サービスである と統合されています。CloudTrail は、 AWS KMS コンソール、API、 CloudFormation テンプレート、 AWS Command Line Interface (AWS CLI)、 からの呼び出しなど、 へのすべての AWS KMS APIs 呼び出しをイベント AWS KMS としてキャプチャします AWS Tools for PowerShell。
CloudTrail は AWS KMS 、[ListAliases](ct-listaliases.md) や [GetKeyRotationStatus](ct-getkeyrotationstatus.md) などの読み取り専用オペレーション、[CreateKey](ct-createkey.md) や [PutKeyPolicy](ct-put-key-policy.md) などの KMS キーを管理するオペレーション、[GenerateDataKey](ct-generatedatakey.md) や [Decrypt](ct-decrypt.md) などの[暗号化オペレーションを含むすべてのオペレーション](kms-cryptography.md#cryptographic-operations)をログに記録します。また、[DeleteExpiredKeyMaterial](ct-deleteexpiredkeymaterial.md)、[DeleteKey](ct-delete-key.md)、[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)、[RotateKey](ct-rotatekey.md) など、 が AWS KMS 呼び出す内部オペレーションもログに記録されます。
CloudTrail は成功したすべてのオペレーション、およびいくつかのシナリオにおいて失敗した呼び出しの試行 (発信者がリソースへのアクセスを拒否された場合など) をログに記録します。[KMS キーに対するアカウントを横断したオペレーション](key-policy-modifying-external-accounts.md)は、発信者のアカウントと KMS キー所有者のアカウントの両方に記録されます。ただし、アクセスが拒否されたために拒否されたクロスアカウント AWS KMS リクエストは、発信者のアカウントにのみ記録されます。
セキュリティ上の理由から、[Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) リクエストの `Plaintext`パラメータ、[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) または暗号化オペレーションへのレスポンスなど、一部のフィールドは AWS KMS ログエントリから省略されます。特定の KMS キーの CloudTrail ログエントリを検索しやすくするために、API オペレーションが[キー ARN](concepts.md#key-id-key-ARN) を返さない場合でも、 は影響を受ける KMS キーのキー ARN を一部の AWS KMS キー管理オペレーションのログエントリの `responseElements`フィールド AWS KMS に追加します。
デフォルトでは、すべての AWS KMS アクションは CloudTrail イベントとして記録されますが、CloudTrail 証跡からアクションを除外 AWS KMS できます。詳細については、「[証跡からの AWS KMS イベントの除外](#filtering-kms-events)」を参照してください。
**詳細はこちら:**
+ 認証済みプラットフォームの AWS KMS オペレーションの CloudTrail ログの例については、「」を参照してください[認証済みリクエストのモニタリング](ct-attestation.md)。
**Topics**
+ [CloudTrail での AWS KMS ログエントリの検索](#searching-kms-ct)
+ [証跡からの AWS KMS イベントの除外](#filtering-kms-events)
+ [AWS KMS ログエントリの例](understanding-kms-entries.md)
## CloudTrail での AWS KMS ログエントリの検索
CloudTrail ログエントリを検索するときは、[CloudTrail コンソール](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html)か [CloudTrail LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) オペレーションを使用します。CloudTrail は、イベント名、ユーザー名、イベントソースなど、検索をフィルタリングするための多数の[属性値](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#filtering-cloudtrail-events)をサポートしています。
CloudTrail で AWS KMS ログエントリを検索しやすくするために、 AWS KMS は次の CloudTrail ログエントリフィールドに入力します。
**注記**
2022 年 12 月以降、 は特定の KMS キーを変更するすべての管理オペレーションで**リソースタイプ**と**リソース名**属性 AWS KMS を入力します。これらの属性値は、次のオペレーションでは、NULL か、CloudTrail の古いエントリになる場合があります: [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)、[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)、[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)、[DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)、[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)、[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)、[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)、[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)、[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)、[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)。
| 属性 | 値 | ログエントリ |
| --- | --- | --- |
| イベントソース (EventSource) | kms.amazonaws.com | すべてのオペレーション |
| リソースタイプ (ResourceType) | AWS::KMS::Key | 特定の KMS キーを変更する管理オペレーション (CreateKey や EnableKey など。ListKeys は除く)。 |
| リソース名 (ResourceName) | キー ARN (またはキー ID およびキー ARN) | 特定の KMS キーを変更する管理オペレーション (CreateKey や EnableKey など。ListKeys は除く)。 |
特定の KMS キーの管理オペレーションのログエントリを見つけるために、 AWS KMS AWS KMS API オペレーションがキー ARN を返さない場合でも、 は影響を受ける KMS キーのキー ARN をログエントリの `responseElements.keyId`要素に記録します。
例えば、[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) オペレーションの呼び出しが成功しても応答には値が返されませんが、NULL 値の代わりに、[DisableKey ログエントリ](ct-disablekey.md)の `responseElements.keyId` 値には、無効になっている KMS キーのキーARN が追加されます。
この機能は 2022 年 12 月に追加されました。その影響を受ける CloudTrail ログエントリは以下の通りです: [CreateAlias](ct-createalias.md)、[CreateGrant](ct-creategrant.md)、[DeleteAlias](ct-deletealias.md)、[DeleteKey](ct-delete-key.md)、[DisableKey](ct-disablekey.md)、[EnableKey](ct-enablekey.md)、[EnableKeyRotation](ct-enablekeyrotation.md)、[ImportKeyMaterial](ct-importkeymaterial.md)、[RotateKey](ct-rotatekey.md)、[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)、[TagResource](ct-tagresource.md)、[UntagResource](ct-untagresource.md)、[UpdateAlias](ct-updatealias.md)、[UpdatePrimaryRegion](ct-update-primary-region.md)。
## 証跡からの AWS KMS イベントの除外
AWS KMS リソースの使用と管理の記録を提供するために、ほとんどの AWS KMS ユーザーは CloudTrail 証跡のイベントに依存しています。証跡は、作成、無効化、削除、キーポリシーの変更 AWS KMS keys、ユーザーに代わって AWS のサービスによる KMS キーの使用など、重要なイベントを監査するための貴重なデータソースになります。場合によっては、CloudTrail ログエントリのメタデータ (暗号化オペレーションの[暗号化コンテキスト](encrypt_context.md)など) が、エラーを回避または解決するために役立ちます。
ただし、 AWS KMS は多数のイベントを生成するため、証跡から AWS KMS イベントを除外 AWS CloudTrail します。この証跡ごとの設定では、すべての AWS KMS イベントを除外します。特定の AWS KMS イベントを除外することはできません。
**警告**
CloudTrail ログから AWS KMS イベントを除外すると、KMS キーを使用するアクションが隠される可能性があります。このオペレーションを実行するために必要な `cloudtrail:PutEventSelectors` アクセス許可をプリンシパルに与えるときは注意してください。
証跡から AWS KMS イベントを除外するには:
+ CloudTrail コンソールでは、[追跡の作成時](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)または[追跡の更新時](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)に、[**Log Key Management Service events**] (Key Management Service のイベントを記録) 設定を使用します。手順については、「 AWS CloudTrail ユーザーガイド[」の「 を使用した管理イベントのログ記録 AWS マネジメントコンソール](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html)」を参照してください。
+ CloudTrail API では、[PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html) オペレーションを実行します。`ExcludeManagementEventSources` 属性を `kms.amazonaws.com` の値でイベントセレクタに追加します。例については、「 AWS CloudTrail ユーザーガイド」の[「例: AWS Key Management Service イベントを記録しない証跡](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-additional-cli-commands.html#configuring-event-selector-example-kms)」を参照してください。
この除外は、コンソール設定または証跡のイベントセレクタを変更することでいつでも無効にできます。その後、証跡は AWS KMS イベントの記録を開始します。ただし、除外が有効である間に発生した AWS KMS イベントを回復することはできません。
コンソールまたは API を使用して AWS KMS イベントを除外すると、結果の CloudTrail `PutEventSelectors` API オペレーションも CloudTrail Logs に記録されます。 AWS KMS イベントが CloudTrail ログに表示されない場合は、`ExcludeManagementEventSources` 属性が `kms.amazonaws.com` に設定されている `PutEventSelectors` イベントを探します。
# AWS KMS ログエントリの例
AWS KMS は、 AWS KMS オペレーションを呼び出すとき、および AWS サービスがユーザーに代わって オペレーションを呼び出すときに CloudTrail ログにエントリを書き込みます。 AWS KMS また、 は、ユーザーに代わって オペレーションを呼び出すときにエントリを書き込みます。例えば、削除をスケジュールした [KMS キーを削除する](ct-delete-key.md)と、エントリが書き込まれます。
以下のトピックでは、 AWS KMS オペレーションの CloudTrail ログエントリの例を示します。
認証済みプラットフォーム AWS KMS から へのリクエストの CloudTrail ログエントリの例については、「」を参照してください[認証済みリクエストのモニタリング](ct-attestation.md)。
**Topics**
+ [CancelKeyDeletion](ct-cancel-key-deletion.md)
+ [ConnectCustomKeyStore](ct-connect-keystore.md)
+ [CreateAlias](ct-createalias.md)
+ [CreateCustomKeyStore](ct-create-keystore.md)
+ [CreateGrant](ct-creategrant.md)
+ [CreateKey](ct-createkey.md)
+ [Decrypt](ct-decrypt.md)
+ [DeleteAlias](ct-deletealias.md)
+ [DeleteCustomKeyStore](ct-delete-keystore.md)
+ [期限切れのキーのマテリアルを削除](ct-deleteexpiredkeymaterial.md)
+ [DeleteImportedKeyMaterial](ct-deleteimportedkeymaterial.md)
+ [DeleteKey](ct-delete-key.md)
+ [DescribeCustomKeyStores](ct-describe-keystores.md)
+ [DescribeKey](ct-describekey.md)
+ [DisableKey](ct-disablekey.md)
+ [DisableKeyRotation](ct-disable-key-rotation.md)
+ [DisconnectCustomKeyStore](ct-disconnect-keystore.md)
+ [EnableKey](ct-enablekey.md)
+ [EnableKeyRotation](ct-enablekeyrotation.md)
+ [暗号化](ct-encrypt.md)
+ [GenerateDataKey](ct-generatedatakey.md)
+ [GenerateDataKeyPair](ct-generatedatakeypair.md)
+ [GenerateDataKeyPairWithoutPlaintext](ct-generatedatakeypairwithoutplaintext.md)
+ [GenerateDataKeyWithoutPlaintext](ct-generatedatakeyplaintext.md)
+ [GenerateMac](ct-generatemac.md)
+ [GenerateRandom](ct-generaterandom.md)
+ [GetKeyPolicy](ct-getkeypolicy.md)
+ [GetKeyRotationStatus](ct-getkeyrotationstatus.md)
+ [GetParametersForImport](ct-getparametersforimport.md)
+ [ImportKeyMaterial](ct-importkeymaterial.md)
+ [ListAliases](ct-listaliases.md)
+ [ListGrants](ct-listgrants.md)
+ [ListKeyRotations](ct-listkeyrotations.md)
+ [PutKeyPolicy](ct-put-key-policy.md)
+ [ReEncrypt](ct-reencrypt.md)
+ [ReplicateKey](ct-replicate-key.md)
+ [RetireGrant](ct-retire-grant.md)
+ [RevokeGrant](ct-revoke-grant.md)
+ [RotateKey](ct-rotatekey.md)
+ [RotateKeyOnDemand](ct-rotatekeyondemand.md)
+ [ScheduleKeyDeletion](ct-schedule-key-deletion.md)
+ [Sign](ct-sign.md)
+ [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)
+ [TagResource](ct-tagresource.md)
+ [UntagResource](ct-untagresource.md)
+ [UpdateAlias](ct-updatealias.md)
+ [UpdateCustomKeyStore](ct-update-keystore.md)
+ [UpdateKeyDescription](ct-update-key-description.md)
+ [UpdatePrimaryRegion](ct-update-primary-region.md)
+ [VerifyMac](ct-verifymac.md)
+ [Verify](ct-verify.md)
+ [Amazon EC2 の例1](ct-ec2one.md)
+ [Amazon EC2 の例 2](ct-ec2two.md)
# CancelKeyDeletion
次の例は、[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html) オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。削除の詳細については AWS KMS keys、「」を参照してください[を削除する AWS KMS key](deleting-keys.md)。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-27T21:53:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CancelKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "e3452e68-d4b0-4ec7-a768-7ae96c23764f",
"eventID": "d818bf03-6655-48e9-8b26-f279a07075fd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ConnectCustomKeyStore
次の例は、 [https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。カスタムキーストアの接続に関する詳細については、「[AWS CloudHSM キーストアを切断する](connect-keystore.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ConnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateAlias
次の例は、[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) オペレーションの AWS CloudTrail ログエントリを示しています。`resources` 要素には、エイリアスと KMS キーリソースのフィールドが含まれます。でのエイリアスの作成については AWS KMS、「」を参照してください[エイリアスを作成する](alias-create.md)。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-14T23:08:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/ExampleAlias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "caec1e0c-ce03-419e-bdab-6ab1f7c57c01",
"eventID": "2dd6e784-8286-46a6-befd-d64e5a02fb28",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# CreateCustomKeyStore
次の例は、 AWS CloudHSM キーストアで [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)オペレーションを呼び出すことで生成された AWS CloudTrail ログエントリを示しています。カスタムキーストアの作成に関する詳細については、「[AWS CloudHSM キーストアを作成する](create-keystore.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# CreateGrant
次の例は、[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) オペレーションの AWS CloudTrail ログエントリを示しています。で権限を作成する方法については AWS KMS、「」を参照してください[の許可 AWS KMS](grants.md)。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:53:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"constraints": {
"encryptionContextSubset": {
"ContextKey1": "Value1"
}
},
"operations": ["Encrypt",
"RetireGrant"],
"granteePrincipal": "EX_PRINCIPAL_ID"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "f3c08808-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "5d529779-2d27-42b5-92da-91aaea1fc4b5",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# CreateKey
これらの例は、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションの AWS CloudTrail ログエントリを示しています。
`CreateKey` ログエントリは、[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) リクエストの `CreateKey` リクエストまたは `CreateKey` オペレーションによって生成されます。
以下は、[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)を作成する [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションの CloudTrail ログエントリを示す例です。KMS キー作成の詳細については、[KMS キーを作成する](create-keys.md) を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-08-10T22:38:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"description": "",
"origin": "EXTERNAL",
"bypassPolicyLockoutSafetyCheck": false,
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"keyUsage": "ENCRYPT_DECRYPT"
},
"responseElements": {
"keyMetadata": {
"AWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Aug 10, 2022, 10:38:27 PM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "PendingImport",
"origin": "EXTERNAL",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"requestID": "1aef6713-0223-4ff7-9a6d-781360521930",
"eventID": "36327b37-f4f6-40a9-92ab-48064ec905a2",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
次の例は、 [AWS CloudHSM キーストア](keystore-cloudhsm.md)に対称暗号化 KMS キーを作成する `CreateKey` オペレーションの CloudTrail ログを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-14T17:39:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyUsage": "ENCRYPT_DECRYPT",
"bypassPolicyLockoutSafetyCheck": false,
"origin": "AWS_CLOUDHSM",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"customKeyStoreId": "cks-1234567890abcdef0",
"description": ""
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"creationDate": "Oct 14, 2021, 5:39:50 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "AWS_CLOUDHSM",
"customKeyStoreId": "cks-1234567890abcdef0",
"cloudHsmClusterId": "cluster-1a23b4cdefg",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false
}
},
"additionalEventData": {
"backingKey": "{\"backingKeyId\":\"backing-key-id\"}"
},
"requestID": "4f0b185c-588c-4767-9e90-c618f7e13cad",
"eventID": "c73964b8-703d-49e4-bd9e-f773d0ee1e65",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
次の例は、[外部キーストア](keystore-external.md)に対称暗号化 KMS キーを作成する `CreateKey` オペレーションの CloudTrail ログを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-07T22:37:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"tags": [],
"keyUsage": "ENCRYPT_DECRYPT",
"description": "",
"origin": "EXTERNAL_KEY_STORE",
"multiRegion": false,
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"bypassPolicyLockoutSafetyCheck": false,
"customKeyStoreId": "cks-1234567890abcdef0",
"xksKeyId": "bb8562717f809024"
},
"responseElements": {
"keyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Dec 7, 2022, 10:37:45 PM",
"enabled": true,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Enabled",
"origin": "EXTERNAL_KEY_STORE",
"customKeyStoreId": "cks-1234567890abcdef0",
"keyManager": "CUSTOMER",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"keySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": false,
"xksKeyConfiguration": {
"id": "bb8562717f809024"
}
}
},
"requestID": "ba197c82-3ac7-487a-8ff4-7736bbeb1316",
"eventID": "838ad5f4-5fdd-4044-afd7-4dbd88c6af56",
"readOnly": false,
"resources": [
{
"accountId": "227179770375",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:227179770375:key/39c5eb22-f37c-4956-92ca-89e8f8b57ab2"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Decrypt
これらの例は、[Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーションの AWS CloudTrail ログエントリを示しています。
`Decrypt` オペレーションの CloudTrail ログエントリには、リクエストで暗号化アルゴリズムが指定されていなくても、常に `requestParameters` に `encryptionAlgorithm` が含まれます。リクエスト内の暗号化テキストとレスポンス内のプレーンテキストは省略されます。
**Topics**
+ [標準の対称暗号化キーを使用した復号](#ct-decrypt-default)
+ [標準の対称暗号化キーを使用した復号の失敗](#ct-decrypt-fail)
+ [キーストアで KMS AWS CloudHSM キーを使用して復号する](#ct-decrypt-hsm)
+ [外部キーストアの KMS キーを使用した復号](#ct-decrypt-xks)
+ [外部キーストアの KMS キーを使用した復号の失敗](#ct-decrypt-xks-fail)
+ [ポスト量子 TLS 接続を介した標準対称暗号化キーによる復号](#ct-decrypt-default-pqtls)
## 標準の対称暗号化キーを使用した復号
次の CloudTrail ログエントリの例では、`Decrypt` オペレーションに標準の対称暗号化キーを使用しています。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## 標準の対称暗号化キーを使用した復号の失敗
次の CloudTrail ログエントリの例では、標準の対称暗号化 KMS キーを使用した、失敗した `Decrypt` オペレーションが記録されています。例外 (`errorCode`) とエラーメッセージ (`errorMessage`) が記載されており、エラーの解決に役立ちます。
このケースでは、`Decrypt` リクエストで指定された対称暗号化 KMS キーは、データの暗号化に使用された対称暗号化 KMS キーではありませんでした。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## キーストアで KMS AWS CloudHSM キーを使用して復号する
次の CloudTrail ログエントリの例では、[AWS CloudHSM キーストア](keystore-cloudhsm.md)の KMS キーを使用した `Decrypt` オペレーションが記録されています。カスタムキーストアの KMS キーを使用した暗号化オペレーションのすべてのログエントリには、`customKeyStoreId` と `backingKeyId` を持つ `additionalEventData` フィールドが含まれます。`backingKeyId` フィールドで返される値は、CloudHSM キーの `id` 属性です。`additionalEventData` は、このリクエストでは指定されていません。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 外部キーストアの KMS キーを使用した復号
次の CloudTrail ログエントリの例では、[外部キーストア](keystore-external.md)の KMS キーを使用した `Decrypt` オペレーションが記録されています。`additionalEventData`フィールドには、`customKeyStoreId` の他に[外部キー ID](keystore-external.md#concept-external-key) (`XksKeyId`) が含まれます。`additionalEventData` は、このリクエストでは指定されていません。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 外部キーストアの KMS キーを使用した復号の失敗
次の CloudTrail ログエントリの例では、[外部キーストア](keystore-external.md)の KMS キーを使用した `Decrypt` オペレーションの失敗が記録されています。CloudWatch は、成功したリクエストだけでなく失敗したリクエストも記録します。失敗を記録するとき、CloudTrail のログエントリには、例外 (errorCode) とそれに伴うエラーメッセージ (errorMessage) が追加されます。
こちらの例のように、失敗リクエストが外部キーストアのプロキシに到達した場合、`requestId` 値を使って失敗したリクエストを、外部キーストアプロキシが記録する、対応するリクエスト (プロキシが提供している場合) に関連付けることができます。
外部キーストアでの `Decrypt` リクエストに関するヘルプは、「[復号エラー](xks-troubleshooting.md#fix-xks-decrypt)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## ポスト量子 TLS 接続を介した標準対称暗号化キーによる復号
以下は、ポスト量子 TLS 接続を介した標準対称暗号化キーを使用する`Decrypt`オペレーションの CloudTrail ログエントリの例です。`tlsDetails` セクションの keyExchange フィールドには と記載されています`X25519MLKEM768`。これは、TLS で現在使用されている従来のキー交換アルゴリズムである [Curve 25519 ](https://en.wikipedia.org/wiki/Curve25519)上の[楕円曲線ディフィーヘルマン](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH) と、米国国立標準技術研究所 (NISTML-KEM) が[最初の標準ポスト量子キー合意アルゴリズムとして指定した](https://csrc.nist.gov/pubs/fips/203/final)パブリックキー暗号化およびキー確立アルゴリズムである[Module-Lattice-Basedキーカプセル化メカニズム](https://csrc.nist.gov/pubs/fips/203/final) () を組み合わせた*ハイブリッド*アルゴリズムです。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```
# DeleteAlias
次の例は、[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html) オペレーションの AWS CloudTrail ログエントリを示しています。エイリアスの削除については、を参照してください [エイリアスを削除する](alias-delete.md)。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-04T00:52:27Z"
}
}
},
"eventTime": "2014-11-04T00:52:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteAlias",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9542792-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "12f48554-bb04-4991-9cfc-e7e85f68eda0",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-east-1:111122223333:alias/my_alias",
"accountId": "111122223333"
},
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DeleteCustomKeyStore
次の例は、 [https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。カスタムキーストアの作成に関する詳細については、「[AWS CloudHSM キーストアを削除する](delete-keystore.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# 期限切れのキーのマテリアルを削除
キーマテリアルを AWS KMS key (KMS キー) にインポートするとき、そのキーマテリアルの有効期限日時を設定できます。 は、[キーマテリアルをインポート](ct-importkeymaterial.md)するとき (有効期限設定を使用)、および が期限切れのキーマテリアル AWS KMS を削除するときに、CloudTrail ログにエントリ AWS KMS を記録します。インポートされたキーマテリアルを使用する KMS キーの作成の詳細については、[キーの AWS KMS キーマテリアルのインポート](importing-keys.md) を参照してください。
次の例は、 が期限切れのキーマテリアル AWS KMS を削除したときに生成される AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-22T19:55:11Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteExpiredKeyMaterial",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "cfa932fd-0d3a-4a76-a8b8-616863a2b547",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"eventCategory": "Management"
}
```
# DeleteImportedKeyMaterial
KMS キーにキーマテリアルをインポートすると、インポートしたキーマテリアルは、[DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) オペレーションを使っていつでも削除できます。インポートしたキーマテリアルを KMS キーから削除すると、このKMS キーのキーの状態は `PendingImport` に変わり、暗号化オペレーションに使用できなくなります。詳細については、「[インポートされたキーマテリアルを削除する](importing-keys-delete-key-material.md)」を参照してください。
次の例は、 `DeleteImportedKeyMaterial`オペレーション用に生成された AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteImportedKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "dcf0e82f-dad0-4622-a378-a5b964ad42c1",
"eventID": "2afbb991-c668-4641-8a00-67d62e1fecbd",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# DeleteKey
これらの例は、KMS キーが削除されたときに生成される AWS CloudTrail ログエントリを示しています。KMS キーを削除するには、[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) オペレーションを使用します。指定された待機期間が経過すると、 AWS KMS は KMS キーを削除し、次のようなエントリを CloudTrail ログに記録してそのイベントを記録します。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
`ScheduleKeyDeletion` オペレーションの CloudTrail ログエントリの例については、「[ScheduleKeyDeletion](ct-schedule-key-deletion.md)」を参照してください。KMS キーの削除の詳細については、[を削除する AWS KMS key](deleting-keys.md) を参照してください。
次の例の CloudTrail ログエントリでは、 AWS KMSでキーマテリアルを持つ KMS キーの `DeleteKey` オペレーションが記録されています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-07-31T00:07:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "b25f9cda-74e1-4458-847b-4972a0bf9668",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
次の CloudTrail ログエントリは、 AWS CloudHSM [カスタムキーストア](key-store-overview.md#custom-key-store-overview)に KMS キーの`DeleteKey`オペレーションを記録します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"SUCCESS\"}]"
},
"eventID": "1234585c-4b0c-4340-ab11-662414b79239",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
# DescribeCustomKeyStores
次の例は、 [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。カスタムキーストアの表示に関する詳細については、「[AWS CloudHSM キーストアを表示する](view-keystore.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeCustomKeyStores",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "2ea1735f-628d-43e3-b2ee-486d02913a78",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# DescribeKey
次の例は、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションの AWS CloudTrail ログエントリを示しています。 AWS KMS コンソールで`DescribeKey`オペレーションを呼び出すか [KMS キーを表示する](viewing-keys.md)と、次のようなエントリ AWS KMS が記録されます。この呼び出しは、 AWS KMS マネジメントコンソールでキーを表示した結果です。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-26T18:01:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKey
次の例は、[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) オペレーションの AWS CloudTrail ログエントリを示しています。 AWS KMS keys での有効化と無効化の詳細については AWS KMS、「」を参照してください[キーの有効化と無効化](enabling-keys.md)。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# DisableKeyRotation
次の例は、[DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html) オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。自動キーローテーションについては、「[ローテーション AWS KMS keys](rotate-keys.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:31:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "d6a9351a-ed6e-4581-88d1-2a9a8a538497",
"eventID": "6313164c-83aa-4cc3-9e1a-b7c426f7a5b1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# DisconnectCustomKeyStore
次の例は、 [https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。カスタムキーストアの切断に関する詳細については、「[AWS CloudHSM キーストアを切断する](disconnect-keystore.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DisconnectCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# EnableKey
次の例は、[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) オペレーションの AWS CloudTrail ログエントリを示しています。 AWS KMS keys での有効化と無効化の詳細については AWS KMS、「」を参照してください[キーの有効化と無効化](enabling-keys.md)。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:20Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d528a6fb-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "be393928-3629-4370-9634-567f9274d52e",
"readOnly": false,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# EnableKeyRotation
次の例は、[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) オペレーションへの呼び出しの AWS CloudTrail ログエントリを示しています。キーがローテーションされたときに書き込まれる CloudTrail ログエントリの例については、「[RotateKey](ct-rotatekey.md)」を参照してください。 AWS KMS keysのローテーションの詳細については、[ローテーション AWS KMS keys](rotate-keys.md) を参照してください。
**注記**
[rotation-period](rotate-keys.md#rotation-period) はオプションのリクエストパラメータです。自動キーローテーションを有効にするときにローテーション期間を指定しない場合、デフォルト値は 365 日となります。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:41:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "EnableKeyRotation",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"rotationPeriodInDays": 180
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "81f5b794-452b-4d6a-932b-68c188165273",
"eventID": "fefc43a7-8e06-419f-bcab-b3bf18d6a401",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# 暗号化
次の例は、[暗号化](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)オペレーションの AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"Department": "Engineering"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "f3423043-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "91235988-eb87-476a-ac2c-0cdc244e6dca",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKey
次の例は、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) オペレーションの AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateDataKeyPair
次の例は、[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) オペレーションの AWS CloudTrail ログエントリを示しています。この例は、対称暗号化 AWS KMS keyで暗号化された RSA キーペアを生成するオペレーションを記録します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPair",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_3072",
"encryptionContext": {
"Project": "Alpha"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyPairWithoutPlaintext
次の例は、[GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) オペレーションの AWS CloudTrail ログエントリを示しています。この例は、対称暗号化 AWS KMS keyで暗号化された RSA キーペアを生成するオペレーションを記録します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyPairWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyPairSpec": "RSA_4096",
"encryptionContext": {
"Index": "5"
},
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "52fb127b-0fe5-42bb-8e5e-f560febde6b0",
"eventID": "9b6bd6d2-529d-4890-a949-593b13800ad7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# GenerateDataKeyWithoutPlaintext
次の例は、[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) オペレーションの AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:46:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"keySpec": "AES_256",
"encryptionContext": {
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "d6b8e411-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f7734272-9ec5-4c80-9f36-528ebbe35e4a",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GenerateMac
次の例は、[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) オペレーションの AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-12-23T19:26:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_512",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# GenerateRandom
次の例は、[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) オペレーションの AWS CloudTrail ログエントリを示しています。このオペレーションでは を使用しないため AWS KMS key、 `resources`フィールドは空です。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateRandom",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"requestID": "df1e3de6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "239cb9f7-ae05-4c94-9221-6ea30eef0442",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyPolicy
次の例は、[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) オペレーションの AWS CloudTrail ログエントリを示しています。KMS キーのキーポリシーの表示についての詳細は、[キーポリシーを表示する](key-policy-viewing.md) を参照してください。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:50:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default"
},
"responseElements": null,
"requestID": "93746dd6-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "4aa7e4d5-d047-452a-a5a6-2cce282a7e82",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# GetKeyRotationStatus
次の例は、[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) オペレーションの AWS CloudTrail ログエントリを示しています。KMS キーのキーマテリアルの自動ローテーションおよびオンデマンドローテーションの詳細については、「[ローテーション AWS KMS keys](rotate-keys.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T19:16:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetKeyRotationStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "12f9b7e8-49b9-4c1c-a7e3-34ac0cdf0467",
"eventID": "3d082126-9e7d-4167-8372-a6cfcbed4be6",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# GetParametersForImport
次の例は、[GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) オペレーションの使用時に生成される AWS CloudTrail ログエントリを示しています。このオペレーションは、KMS キーにキーマテリアルをインポートするときに使用する公開キーとインポートトークンを返します。`GetParametersForImport` オペレーションを使用するか、 AWS KMS コンソールを使用してパブリックキーとインポートトークンをダウンロードすると、同じ CloudTrail エントリが記録されます。 [ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード](importing-keys-get-public-key-and-token.md)
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-25T23:58:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GetParametersForImport",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"wrappingAlgorithm": "RSAES_OAEP_SHA_256",
"wrappingKeySpec": "RSA_2048"
},
"responseElements": null,
"requestID": "b5786406-e3c7-43d6-8d3c-6d5ef96e2278",
"eventID": "4023e622-0c3e-4324-bdef-7f58193bba87",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ImportKeyMaterial
次の例は、[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) オペレーションの使用時に生成される AWS CloudTrail ログエントリを示しています。`ImportKeyMaterial` オペレーションを使用するか、 AWS KMS コンソールを使用して[キーマテリアルを にインポート](importing-keys-import-key-material.md)すると、同じ CloudTrail エントリが記録されます AWS KMS key。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:31Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ImportKeyMaterial",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"validTo": "May 21, 2025, 5:47:45 AM",
"expirationModel": "KEY_MATERIAL_EXPIRES",
"importType": "NEW_KEY_MATERIAL",
"keyMaterialDescription": "ExampleKeyMaterialA"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "89e10ee7-a612-414d-95a2-a128346969fd",
"eventID": "c7abd205-a5a2-4430-bbfa-fc10f3e2d79f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ListAliases
次の例は、[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html) オペレーションの AWS CloudTrail ログエントリを示しています。このオペレーションでは特定のエイリアス または が使用されないため AWS KMS key、 `resources`フィールドは空です。でのエイリアスの表示については AWS KMS、「」を参照してください[KMS キーのエイリアス名とエイリアス ARN を見つける](alias-view.md)。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:51:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListAliases",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"limit": 5,
"marker": "eyJiIjoiYWxpYXMvZTU0Y2MxOTMtYTMwNC00YzEwLTliZWItYTJjZjA3NjA2OTJhIiwiYSI6ImFsaWFzL2U1NGNjMTkzLWEzMDQtNGMxMC05YmViLWEyY2YwNzYwNjkyYSJ9"
},
"responseElements": null,
"requestID": "bfe6c190-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "a27dda7b-76f1-4ac3-8b40-42dfba77bcd6",
"readOnly": true,
"resources": [],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListGrants
次の例は、[ListGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) オペレーションの AWS CloudTrail ログエントリを示しています。の許可の詳細については AWS KMS、「」を参照してください[の許可 AWS KMS](grants.md)。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-04T00:52:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListGrants",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"marker": "eyJncmFudElkIjoiMWY4M2U2ZmM0YTY2NDgxYjQ2Yzc4MTdhM2Y4YmQwMDFkZDNiYmQ1MGVlYTMyY2RmOWFiNWY1Nzc1NDNjYmNmMyIsImtleUFybiI6ImFybjphd3M6dHJlbnQtc2FuZGJveDp1cy1lYXN0LTE6NTc4Nzg3Njk2NTMwOmtleS9lYTIyYTc1MS1lNzA3LTQwZDAtOTJhYy0xM2EyOGZhOWViMTEifQ\u003d\u003d",
"limit": 10
},
"responseElements": null,
"requestID": "e5c23960-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "d24380f5-1b20-4253-8e92-dd0492b3bd3d",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# ListKeyRotations
次の例は、[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html) オペレーションの AWS CloudTrail ログエントリを示しています。KMS キーのキーマテリアルの自動ローテーションおよびオンデマンドローテーションの詳細については、「[ローテーション AWS KMS keys](rotate-keys.md)」を参照してください。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-21T05:42:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeyRotations",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"includeKeyMaterial": "ALL_KEY_MATERIAL"
},
"responseElements": null,
"requestID": "99c88d32-f2db-455e-8a9a-23855258a452",
"eventID": "8ce0e74b-b9c7-45a2-96ef-83136d38068e",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# PutKeyPolicy
次の例は、[PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。キーポリシー更新する方法の詳細については、「[キーポリシーを変更する](key-policy-modifying.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T20:06:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "PutKeyPolicy",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"policyName": "default",
"policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",\n \"Statement\" : [ {\n \"Sid\" : \"Enable IAM User Permissions\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::111122223333:root\"\n },\n \"Action\" : \"kms:*\",\n \"Resource\" : \"*\"\n } ]\n}",
"bypassPolicyLockoutSafetyCheck": false
},
"responseElements": null,
"requestID": "7bb906fa-dc21-4350-b65c-808ff0f72f55",
"eventID": "c217db1f-903f-4a2f-8f88-9580182d6313",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# ReEncrypt
次の例は、[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) オペレーションの AWS CloudTrail ログエントリを示しています。このログエントリの `resources`フィールドは AWS KMS keys、ソース KMS キーと送信先 KMS キーの 2 つをその順序で指定します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-22T19:34:55Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceEncryptionContext": {
"Project": "Alpha",
"Department": "Engineering"
},
"destinationKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"destinationEncryptionContext": {
"Level": "3A"
}
},
"responseElements": null,
"additionalEventData": {
"destinationKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"sourceKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "03769fd4-acf9-4b33-adf3-2ab8ca73aadf",
"eventID": "542d9e04-0e8d-4e05-bf4b-4bdeb032e6ec",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
# ReplicateKey
次の例は、[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。`ReplicateKey` リクエストにより、`ReplicateKey` オペレーションおよび [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションが実行されます。
マルチリージョンキーのレプリケーションについては、[マルチリージョンのレプリカキーを作成する](multi-region-keys-replicate.md) を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-18T01:29:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReplicateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"replicaRegion": "us-west-2",
"bypassPolicyLockoutSafetyCheck": false,
"description": ""
},
"responseElements": {
"replicaKeyMetadata": {
"aWSAccountId": "111122223333",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"creationDate": "Nov 18, 2020, 1:29:18 AM",
"enabled": false,
"description": "",
"keyUsage": "ENCRYPT_DECRYPT",
"keyState": "Creating",
"origin": "AWS_KMS",
"keyManager": "CUSTOMER",
"keySpec": "SYMMETRIC_DEFAULT",
"customerMasterKeySpec": "SYMMETRIC_DEFAULT",
"encryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"multiRegion": true,
"multiRegionConfiguration": {
"multiRegionKeyType": "REPLICA",
"primaryKey": {
"arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-east-1"
},
"replicaKeys": [
{
"arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"region": "us-west-2"
}
]
}
},
"replicaPolicy": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":[{\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:user/Alice\"},\n \"Action\":\"kms:*\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Bob\"},\n \"Action\":\"kms:CreateGrant\",\n \"Resource\":\"*\"\n }, {\n \"Effect\":\"Allow\",\n \"Principal\":{\"AWS\":\"arn:aws:iam::012345678901:user/Charlie\"},\n \"Action\":\"kms:Encrypt\",\n \"Resource\":\"*\"\n}]\n}",
},
"requestID": "abcdef68-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "fedcba44-6773-4f96-8763-1993aec9ae6a",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RetireGrant
次の例は、[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。グラント廃止の詳細については、「[グラントの使用停止と取り消し](grant-delete.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:39:33Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RetireGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "1d274d57-5697-462c-a004-f25fcc29fa26",
"eventID": "0771bcfb-3e24-4332-9ac8-e1c06563eecf",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RevokeGrant
次の例は、[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。グラント取り消しの詳細については、「[グラントの使用停止と取り消し](grant-delete.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:35:17Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RevokeGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"responseElements": null,
"requestID": "59d94c03-c5b7-428d-ae6e-f2c4b47d2917",
"eventID": "07a23a39-6526-4ae2-b31e-d35fbe9e24ee",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# RotateKey
これらの例は、 をローテーションするオペレーションの AWS CloudTrail ログエントリを示しています AWS KMS keys。KMS キーのローテーションの詳細については、[ローテーション AWS KMS keys](rotate-keys.md) を参照してください。
次の例は、自動キーローテーションが有効化されている対称暗号化 KMS キーをローテーションするオペレーションの CloudTrail ログエントリを示しています。自動ローテーションの有効化については、「[ローテーション AWS KMS keys](rotate-keys.md)」を参照してください。
`EnableKeyRotation` オペレーションを記録する CloudTrail ログエントリの例については、[EnableKeyRotation](ct-enablekeyrotation.md) を参照してください。
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyOrigin": "AWS_KMS",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
次の例は、[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) オペレーションによって開始されたオンデマンドローテーションの CloudTrail ログエントリを示します。対称暗号化 KMS キーのローテーションの詳細については、「[オンデマンドキーローテーションの実行](rotating-keys-on-demand.md)」を参照してください。
`RotateKeyOnDemand` オペレーションを記録する CloudTrail ログエントリの例については、[RotateKeyOnDemand](ct-rotatekeyondemand.md) を参照してください。
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-05-20T20:44:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "ON_DEMAND",
"keyOrigin": "EXTERNAL",
"previousKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"currentKeyMaterialId": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# RotateKeyOnDemand
次の例は、[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) オペレーションの AWS CloudTrail ログエントリを示しています。キーがローテーションされたときに書き込まれる CloudTrail ログエントリの例については、「[RotateKey](ct-rotatekey.md)」を参照してください。KMS キーのキーマテリアルのオンデマンドローテーションの詳細については、「[オンデマンドキーローテーションの実行](rotating-keys-on-demand.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2024-02-20T17:41:57Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKeyOnDemand",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "9e1dee86-eb84-42fd-8f25-e3fc7dbb32c8",
"eventID": "00a09fbc-20d6-4a58-9b92-7da85984ab77",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# ScheduleKeyDeletion
これらの例は、[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) オペレーションの AWS CloudTrail ログエントリを示しています。
キーの削除時に書き込まれる CloudTrail ログエントリの例については、「[DeleteKey](ct-delete-key.md)」を参照してください。 AWS KMS keysの削除の詳細については、「[を削除する AWS KMS key](deleting-keys.md)」を参照してください。
次の例では、単一リージョン KMS キーに対する `ScheduleKeyDeletion` リクエストが記録されています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-23T18:58:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 20,
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"keyState": "PendingDeletion",
"deletionDate": "Apr 12, 2021 18:58:30 PM"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
次の例では、レプリカキーを持つマルチリージョン KMS キーに対する `ScheduleKeyDeletion` リクエストが記録されています。
AWS KMS は、すべてのレプリカキーが削除されるまでマルチリージョンキーを削除しないため、 `responseElements`フィールドでは、 `keyState`は `PendingReplicaDeletion`で、 `deletionDate`フィールドは省略されます。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-28T17:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"pendingWindowInDays": 30,
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab"
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"keyState": "PendingReplicaDeletion",
"pendingWindowInDays": 30
},
"requestID": "12341411-d846-42a6-a476-b1cbe3011f89",
"eventID": "abcda5f-396d-494c-9380-0c47860df5f1",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
次の の例では、 AWS CloudHSM [カスタムキーストア](key-store-overview.md#custom-key-store-overview)に KMS キーの`ScheduleKeyDeletion`リクエストを記録します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:25:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ScheduleKeyDeletion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"pendingWindowInDays": 30
},
"responseElements": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"deletionDate": "Nov 2, 2021, 11:25:25 PM",
"keyState": "PendingDeletion",
"pendingWindowInDays": 30
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]"
},
"requestID": "abcd9f60-2c9c-4a0b-a456-d5d998f7f321",
"eventID": "ca01996a-01b0-4edd-bbbb-25d7b6d1a6fa",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Sign
これらの例は、[署名](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)オペレーションの AWS CloudTrail ログエントリを示しています。
次の例は、非対称の RSA KMS キーを使用してファイルのデジタル署名を生成する [Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) オペレーションの CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:36:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Sign",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"messageType": "RAW",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256"
},
"responseElements": null,
"requestID": "8d0b35e0-46cf-48b9-be99-bf2ebc9ab9fb",
"eventID": "107b3cac-b125-4556-9702-12a2b9afcff7",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# SynchronizeMultiRegionKey
次の例は、 が[マルチリージョンキー](multi-region-keys-overview.md)を AWS KMS 同期するときに生成される AWS CloudTrail ログエントリを示しています。同期には、マルチリージョンプライマリキー[の共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)をレプリカキーにコピーするクロスリージョン呼び出しが含まれます。 は、マルチリージョンキーを定期的に AWS KMS 同期して、関連するすべてのマルチリージョンキーが同じキーマテリアルを持つようにします。
CloudTrail ログエントリの `resources` 要素には、 AWS リージョンを含む、マルチリージョンプライマリキーのキー ARN が含まれます。関連するマルチリージョンレプリカキーとそのリージョンは、このログエントリには一覧表示されません。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2020-11-18T02:04:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "SynchronizeMultiRegionKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "12345681-de97-42e9-bed0-b02ae1abd8dc",
"eventID": "abcdec99-2b5c-4670-9521-ddb8f031e146",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# TagResource
次の例は、タグキーが 、タグ値が のタグを追加するための `Department` [TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) オペレーションへの呼び出しの AWS CloudTrail ログエントリを示しています`IT`。
キーがローテーションされたときに書き込まれる `UntagResource` CloudTrail ログエントリの例については、「[UntagResource](ct-untagresource.md)」を参照してください。タグ付けの詳細については AWS KMS keys、「」を参照してください[のタグ AWS KMS](tagging-keys.md)。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "TagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tags": [
{
"tagKey": "Department",
"tagValue": "IT"
}
]
},
"responseElements": null,
"requestID": "b942584a-f77d-4787-9feb-b9c5be6e746d",
"eventID": "0a091b9b-0df5-4cf9-b667-6f2879532b8f",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UntagResource
次の例は、タグキーが のタグを削除するための [UntagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_UntagResource.html) オペレーションへの呼び出しの AWS CloudTrail ログエントリを示しています`Dept`。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
`TagResource` CloudTrail ログエントリの例については、「[TagResource](ct-tagresource.md)」を参照してください。 AWS KMS keysのタグ付けの詳細については、[のタグ AWS KMS](tagging-keys.md) を参照してください。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-07-01T21:19:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UntagResource",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"tagKeys": [
"Dept"
]
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "cb1d507b-6015-47f4-812b-179713af8068",
"eventID": "0b00f4b0-036e-411d-aa75-87eb4a35a4b3",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateAlias
次の例は、[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) オペレーションの AWS CloudTrail ログエントリを示しています。`resources` 要素には、エイリアスと KMS キーリソースのフィールドが含まれます。でのエイリアスの作成については AWS KMS、「」を参照してください[エイリアスを作成する](alias-create.md)。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2020-11-13T23:18:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"aliasName": "alias/my_alias",
"targetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "d9472f40-63bc-11e4-bc2b-4198b6150d5c",
"eventID": "f72d3993-864f-48d6-8f16-e26e1ae8dff0",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:alias/my_alias"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# UpdateCustomKeyStore
次の例は、 [https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)オペレーションを呼び出してカスタムキーストアのクラスター ID を更新することで生成された AWS CloudTrail ログエントリを示しています。カスタムキーストアの編集に関する詳細については、「[AWS CloudHSM キーストア設定の編集](update-keystore.md)」を参照してください。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-21T20:17:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateCustomKeyStore",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg"
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreName": "ExampleKeyStore",
"clusterId": "cluster-1a23b4cdefg"
},
"requestID": "abcde9e1-f1a3-4460-a423-577fb6e695c9",
"eventID": "114b61b9-0ea6-47f5-a9d2-4f2bdd0017d5",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
}
```
# UpdateKeyDescription
次の例は、[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html) オペレーションを呼び出して生成された AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-09-01T19:22:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdateKeyDescription",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"description": "New key description"
},
"responseElements": null,
"requestID": "8c3c1f8b-336d-4896-b034-4eb9916bc9b3",
"eventID": "f5f3d548-2e9e-4658-8427-9dcb5b1ea791",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# UpdatePrimaryRegion
次の例は、[マルチリージョンキー](multi-region-keys-overview.md)で [UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) オペレーションを呼び出すことで生成される AWS CloudTrail ログエントリを示しています。
`UpdatePrimaryRegion` オペレーションでは、2 つの CloudTrail ログエントリが書き込まれます。1 つはレプリカキーに変換されるマルチリージョンのプライマリキーを持つリージョンにあり、もう 1 つはプライマリキーに変換されるマルチリージョンのレプリカキーを持つリージョンにあります。
2022 年 12 月以降に記録されたこのオペレーションの CloudTrail ログエントリには、このオペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN が `responseElements.keyId` 値に含まれます。
次の例は、マルチリージョンキーがプライマリキーからレプリカキー (us-west-2) に変更されたリージョンの `UpdatePrimaryRegion` のCloudTrail ログエントリを示しています。`primaryRegion` フィールドは、プライマリキー (ap-northeast-1) をホストするリージョンを表示します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "3c4226b0-1e81-48a8-a333-7fa5f3cbd118",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
次の例は、マルチリージョンキーがプライマリキーからレプリカキー (ap-northeast-1) に変更されたリージョンの `UpdatePrimaryRegion` の CloudTrail ログエントリを示しています。このログエントリは、以前のプライマリリージョンを識別しません。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice",
"invokedBy": "kms.amazonaws.com"
},
"eventTime": "2021-03-10T20:23:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "UpdatePrimaryRegion",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"primaryRegion": "ap-northeast-1"
},
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ee408f36-ea01-422b-ac14-b0f147c68334",
"eventID": "091e6be5-737f-43c6-8431-e3679d6d0619",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# VerifyMac
次の例は、[VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) オペレーションの AWS CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-31T19:25:54Z",
"eventSource": "kms.amazonaws.com",
"eventName": "VerifyMac",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"macAlgorithm": "HMAC_SHA_384",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "f35da560-edff-4d6e-9b40-fb306fa9ef1e",
"eventID": "6b464487-6dea-44cd-84ad-225d7450c975",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Verify
これらの例は、[Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) オペレーションの AWS CloudTrail ログエントリを示しています。
次の例は、非対称の RSA KMS キーを使用してファイルのデジタル署名を検証する [Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) オペレーションの CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-03-07T22:50:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Verify",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"signingAlgorithm": "RSASSA_PKCS1_V1_5_SHA_256",
"keyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"messageType": "RAW"
},
"responseElements": null,
"requestID": "c73ab82a-af82-4750-ae2c-b6bb790e9c28",
"eventID": "3b4331cd-5b7b-4de5-bf5f-82ec22f0dac0",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Amazon EC2 の例1
次の例では、Amazon EC2 マネジメントコンソールで、デフォルトのボリュームキーを使用して暗号化されたボリュームを作成する IAM プリンシパルが記録されています。
次の例は、ユーザー Alice が Amazon EC2 マネジメントコンソールのデフォルトのボリュームキーを使用して作成した、暗号化されたボリュームの CloudTrail ログエントリを示しています。EC2 ログファイルレコードには、値が `"vol-13439757"` の `volumeId` フィールドが含まれます。 AWS KMS レコードには、値が の `encryptionContext`フィールドが含まれています`"aws:ebs:id": "vol-13439757"`。同様に、2 つのレコード間の `principalId` と `accountId` が一致します。レコードは、暗号化されたボリュームを作成するとボリュームコンテンツの暗号化に使用されるデータキーが生成されるという事実を示しています。
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:18Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateVolume",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"size": "10",
"zone": "us-east-1a",
"volumeType": "gp2",
"encrypted": true
},
"responseElements": {
"volumeId": "vol-13439757",
"size": "10",
"zone": "us-east-1a",
"status": "creating",
"createTime": 1415220618876,
"volumeType": "gp2",
"iops": 30,
"encrypted": true
},
"requestID": "1565210e-73d0-4912-854c-b15ed349e526",
"eventID": "a3447186-135f-4b00-8424-bc41f1a93b4f",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T20:50:19Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "&AWS; Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-13439757"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-123456789012-758241111-1415220618",
"eventID": "4bd2a696-d833-48cc-b72c-05e61b608399",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Amazon EC2 の例 2
次の例では、Amazon EC2 インスタンスを実行する IAM プリンシパルにより、KMS キーで暗号化されたデータボリュームを作成してマウントします。このアクションは、複数の CloudTrail ログレコードを生成します。Amazon EBS と暗号化の詳細については、「[Amazon EBS 暗号化の要件](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-instance-permissions)」を参照してください。
ボリュームが作成されると、Amazon EC2 はお客様に代わって動作し、暗号化されたデータキーを AWS KMS () から取得します`GenerateDataKeyWithoutPlaintext`。次に、データキーの復号を可能にする許可 (`CreateGrant`) を作成します。ボリュームがマウントされると、Amazon EC2 は AWS KMS を呼び出してデータキー () を復号します`Decrypt`。
Amazon EC2 インスタンスの `instanceId` である `"i-81e2f56c"` が `RunInstances` イベントに表示されます。同じインスタンス ID が、作成された許可 (`"111122223333:aws:ec2-infrastructure:i-81e2f56c"`) の `granteePrincipal` と、`Decrypt` 呼び出し (`"arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c"`) のプリンシパルである引き受けたロールを修飾します。
データボリュームを保護する KMS キーの[キー ARN](concepts.md#key-id-key-ARN) は、3 つの AWS KMS 呼び出しすべて (`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`、`GenerateDataKeyWithoutPlaintext`、および `CreateGrant`) に表示されます`Decrypt`。
```
{
"Records": [
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:27Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "RunInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"imageId": "ami-b66ed3de",
"minCount": 1,
"maxCount": 1
}
]
},
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2"
}
]
},
"instanceType": "m3.medium",
"blockDeviceMapping": {
"items": [
{
"deviceName": "/dev/xvda",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": true,
"volumeType": "gp2"
}
},
{
"deviceName": "/dev/sdb",
"ebs": {
"volumeSize": 8,
"deleteOnTermination": false,
"volumeType": "gp2",
"encrypted": true
}
}
]
},
"monitoring": {
"enabled": false
},
"disableApiTermination": false,
"instanceInitiatedShutdownBehavior": "stop",
"clientToken": "XdKUT141516171819",
"ebsOptimized": false
},
"responseElements": {
"reservationId": "r-5ebc9f74",
"ownerId": "111122223333",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"instancesSet": {
"items": [
{
"instanceId": "i-81e2f56c",
"imageId": "ami-b66ed3de",
"instanceState": {
"code": 0,
"name": "pending"
},
"amiLaunchIndex": 0,
"productCodes": {
},
"instanceType": "m3.medium",
"launchTime": 1415223328000,
"placement": {
"availabilityZone": "us-east-1a",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"stateReason": {
"code": "pending",
"message": "pending"
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
},
"virtualizationType": "hvm",
"hypervisor": "xen",
"clientToken": "XdKUT1415223327917",
"groupSet": {
"items": [
{
"groupId": "sg-98b6e0f2",
"groupName": "launch-wizard-2"
}
]
},
"networkInterfaceSet": {
},
"ebsOptimized": false
}
]
}
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "cd75a605-2fee-4fda-b847-9c3d330ebaae",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:35Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"granteePrincipal": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": {
"grantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a"
},
"requestID": "41c4b4f7-8bce-4773-bf0e-5ae3bb5cbce2",
"eventID": "c1ad79e3-0d3f-402a-b119-d5c31d7c6a6c",
"readOnly": false,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2014-11-05T21:35:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
},
"numberOfBytes": 64,
"keyId": "alias/aws/ebs"
},
"responseElements": null,
"requestID": "create-111122223333-758247346-1415223332",
"eventID": "ac3cab10-ce93-4953-9d62-0b6e5cba651d",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-infrastructure:i-81e2f56c",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-infrastructure/i-81e2f56c",
"accountId": "111122223333",
"accessKeyId": "",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-11-05T21:35:38Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-infrastructure",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-infrastructure",
"accountId": "111122223333",
"userName": "aws:ec2-infrastructure"
}
}
},
"eventTime": "2014-11-05T21:35:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-f67bafb2"
}
},
"responseElements": null,
"requestID": "b4b27883-6533-11e4-b4d9-751f1761e9e5",
"eventID": "edb65380-0a3e-4123-bbc8-3d1b7cff49b0",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}
```
# Amazon CloudWatch で KMS キーをモニタリングする
Amazon CloudWatch AWS KMS keys を使用して をモニタリングできます。Amazon CloudWatch は、 から raw データを収集し、ほぼリアルタイムの読み取り可能なメトリクス AWS KMS に処理する AWS サービスです。 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/) これらのデータは、履歴情報にアクセスして、時間の経過に伴う KMS キーの使用や変更に関する理解を深められるように 2 週間記録されます。
Amazon CloudWatch を使用すると、次に示すような重要なイベントのアラートを受け取ることができます。
+ KMS キーにインポートされたキーマテリアルの有効期限が近づいています。
+ 削除保留中の KMS キーがまだ使用されています。
+ KMS キーのキーマテリアルが自動的にローテーションされました。
+ KMS キーが削除されました。
リクエストレートがクォータ値の一定の割合に達したときに警告する [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/) アラームを作成することもできます。詳細については、 *AWS セキュリティブログ*の[Service Quotas と Amazon CloudWatch を使用して AWS KMS API リクエストレートを管理する](https://aws.amazon.com/blogs/security/manage-your-aws-kms-api-request-rates-using-service-quotas-and-amazon-cloudwatch/)」を参照してください。
## AWS KMS メトリクスとディメンション
AWS KMS は Amazon CloudWatch メトリクスを事前定義し、重要なデータのモニタリングとアラームの作成を容易にします。 AWS マネジメントコンソール および Amazon CloudWatch API を使用して AWS KMS メトリクスを表示できます。
このセクションでは、各 AWS KMS メトリクスと各メトリクスのディメンションを一覧表示し、これらのメトリクスとディメンションに基づいて CloudWatch アラームを作成するための基本的なガイダンスを提供します。
**注記**
**ディメンショングループ名**:
Amazon CloudWatch コンソールでメトリクスを表示するには、**[Metrics]** (メトリクス) セクションでディメンショングループ名を選択します。これにより、**[Metric name]** (メトリクス名) でフィルタリングできます。このトピックには、各 AWS KMS メトリクスのメトリクス名とディメンショングループ名が含まれています。
AWS マネジメントコンソール および Amazon CloudWatch API を使用して AWS KMS メトリクスを表示できます。詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[使用可能なメトリクスの表示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html)」を参照してください。
**Topics**
+ [SuccessfulRequest](#key-level-api-usage-metric)
+ [SecondsUntilKeyMaterialExpiration](#key-material-expiration-metric)
+ [CloudHSMKeyStoreThrottle](#metric-throttling-cloudhsm)
+ [ExternalKeyStoreThrottle](#metric-throttling)
+ [XksProxyCertificateDaysToExpire](#metric-xks-proxy-certificate-days-to-expire)
+ [XksProxyCredentialAge](#metric-xks-proxy-credential-age)
+ [XksProxyErrors](#metric-xks-proxy-errors)
+ [XksExternalKeyManagerStates](#metric-xks-ekm-states)
+ [XksProxyLatency](#metric-xks-proxy-latency)
### SuccessfulRequest
特定の KMS キーに対する暗号化オペレーションの成功したリクエストの数。`SuccessfulRequest` メトリクスを使用すると、CloudWatch の AWS KMS API 使用状況にキーレベルのフィルタリングを適用できます。このメトリクスの `Sum` 統計は、対象期間中に成功したリクエストの総数を定義します。
このメトリクスを使用して、リクエストクォータの最大部分を消費する KMS キー、または最も API 料金が高い KMS キーを特定します。`SuccesfulRequest` メトリクスに基づいて CloudWatch アラームを作成して、異常な AWS KMS API 使用パターンの通知を取得することもできます。これらのアラートは、意図せずにリクエストクォータを超える可能性や予期しない料金が発生する可能性がある非効率的なワークフローを特定するのに役立ちます。
**のディメンション `SuccessfulRequest`**
| ディメンション | 説明 |
| --- | --- |
| KeyArn | 各 KMS キーの値です。 |
| 運用 | 各 AWS KMS API オペレーションの値。このメトリクスは、暗号化オペレーションにのみ適用されます。 |
[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) オペレーションの場合、`SuccessfulRequest` メトリクスには送信元と送信先の KMS キーの両方のディメンションが含まれます。
| ディメンション | 説明 |
| --- | --- |
| SourceKeyArn | 暗号文を復号した KMS キーの値。 |
| DestinationKeyArn | データを再暗号化した KMS キーの値。 |
| 運用 | 各 AWS KMS API オペレーションの値。この場合は ReEncrypt。 |
### SecondsUntilKeyMaterialExpiration
KMS キーに[インポートされたキーマテリアル](importing-keys.md)の有効期限が切れるまでの残り秒数。このメトリクスは、インポートされたキーマテリアル (`EXTERNAL` の[キーマテリアルのオリジン](create-keys.md#key-origin)) と有効期限を持つ KMS キーに対してのみ有効です。
このメトリクスを使用して、有効期限が最も早いインポートされたキーマテリアルの有効期限が切れるまでの残り時間を追跡します。定義済みのしきい値を残り時間が下回った場合は、KMS キーの可用性を維持するために新しい有効期限日が設定されたキーマテリアルを再インポートする必要があります。この `SecondsUntilKeyMaterialExpiration` メトリクスは KMS キーに固有です。このメトリクスを使用して、複数の KMS キーや将来作成する可能性のある KMS キーを監視することはできません。このメトリクスをモニタリングする CloudWatch アラームの作成に関するヘルプについては、「[インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する](imported-key-material-expiration-alarm.md)」を参照してください。
このメトリクスで最も有用な統計は `Minimum` で、指定された統計期間のすべてのデータポイントの最小残り時間を示します。このメトリクスの唯一の有効な単位は `Seconds` です。
**ディメンショングループ名**: **[Per-Key Metrics]** (キーごとのメトリクス)
**`SecondsUntilKeyMaterialExpiration` のディメンション**
| ディメンション | 説明、関連 AWS |
| --- | --- |
| KeyId | 各 KMS キーの値です。 |
KMS キーの[キー削除をスケジュールする](deleting-keys.md)と、 AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間を設定することで、KMS キーが不要であり、今後も使用しないことを確認できます。また、待機期間中に[暗号化操作](kms-cryptography.md#cryptographic-operations)でユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するよう、CloudWatch アラームを設定することもできます。このようなアラームから通知を受け取った場合は、KMS キーの削除をキャンセルする必要がある可能性があります。
手順については、「[削除待ち状態の KMS キーの使用を検出するアラームの作成](deleting-keys-creating-cloudwatch-alarm.md)」を参照してください。
### CloudHSMKeyStoreThrottle
が AWS KMS スロットリングする ( と応答する`ThrottlingException`) 各キーストアの KMS AWS CloudHSM キーに対する暗号化オペレーションのリクエストの数。このメトリクスは AWS CloudHSM キーストアにのみ適用されます。
`CloudHSMKeyStoreThrottle` メトリクスは、キーストア内の AWS CloudHSM KMS キーと[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)のリクエストにのみ適用されます。 AWS KMS [は、リクエストレートがキーストアのカスタムキーストアリクエストクォータを超えたときに、これらのリクエストをスロットリング](throttling.md)します。 [カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores) AWS CloudHSM このメトリクスには、 AWS CloudHSM クラスターによるスロットリングも含まれます。
**ディメンショングループ名**: **[Keystore Throttle Metrics]** (キーストアスロットルメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各 AWS CloudHSM キーストアの値。 |
| KmsOperation | 各 AWS KMS API オペレーションの値。このメトリクスは、 AWS CloudHSM キーストアの KMS キーに対する暗号化オペレーションにのみ適用されます。 |
| KeySpec | KMS キーの各タイプの値です。[キーストアでサポートされている KMS キーのキー仕様](create-keys.md#key-spec)は、SYMMETRIC\$1DEFAULT のみです。 AWS CloudHSM |
### ExternalKeyStoreThrottle
AWS KMS スロットリングする各外部キーストアの KMS キーに対する暗号化オペレーションのリクエストの数 ( と応答)`ThrottlingException`。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
`ExternalKeyStoreThrottle` メトリクスは、外部キーストアの KMS キーと[、暗号化オペレーション](kms-cryptography.md#cryptographic-operations)のリクエストにのみ適用されます。 AWS KMS [は、リクエストレートが外部キーストアのカスタムキーストアリクエストクォータを超えたときに、これらのリクエストをスロットリング](throttling.md)します。 [カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)このメトリクスには、外部キーストアプロキシまたは外部キーマネージャーによるスロットリングは含まれていません。
このメトリクスを使用して、カスタムキーストアのリクエストクォータの値を確認および調整します。このメトリクスが AWS KMS がこれらの KMS キーのリクエストを頻繁にスロットリングしていることを示している場合は、カスタムキーストアリクエストクォータ値の増加をリクエストすることを検討してください。詳細については、「Service Quotas ユーザーガイド」の「[Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)」参照してください。
「リクエストレートが極めて高いため」リクエストが拒否されたこと、または「外部キーストアプロキシが時間内に応答しなかったために」リクエストが拒否されたことを説明するメッセージで `KMSInvalidStateException` エラーが頻発する場合は、外部キーマネージャーまたは外部キーストアプロキシが現在のリクエストレートに対応していないことを示している可能性があります。可能な場合は、リクエスト率を下げます。また、カスタムキーストアのリクエストクォータ値の引き下げをリクエストすることも検討してください。このクォータ値を減らすと、スロットリング (および`ExternalKeyStoreThrottle`メトリクス値) が増加する可能性がありますが、 AWS KMS が外部キーストアプロキシまたは外部キーマネージャーに送信される前に、過剰なリクエストを迅速に拒否していることを示します。クォータの削減をリクエストするには、[AWS サポート センター](https://console.aws.amazon.com/support/home)にアクセスしてケースを作成してください。
**ディメンショングループ名**: **[Keystore Throttle Metrics]** (キーストアスロットルメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | 各 AWS KMS API オペレーションの値。このメトリクスは、外部キーストアの KMS キーに対する暗号化オペレーションにのみ適用されます。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされている[キースペック](create-keys.md#key-spec)は SYMMETRIC\$1DEFAULT のみです。 |
### XksProxyCertificateDaysToExpire
[外部キーストアプロキシエンドポイント](create-xks-keystore.md#require-endpoint) (`XksProxyUriEndpoint`) の TLS 証明書の有効期限が切れるまでの日数です。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
このメトリクスを使用して、TLS 証明書の有効期限切れが近づいていることを通知する CloudWatch アラームを作成します。証明書の有効期限が切れると、 AWS KMS は外部キーストアプロキシと通信できません。証明書が更新されるまで、外部キーストアの KMS キーで保護されているすべてのデータにアクセスできなくなります。
証明書アラームは、暗号化されたリソースへのアクセスを妨げる可能性のある証明書の有効期限切れを防ぎます。アラームを設定することで、組織は有効期限が切れる前に証明書を更新する時間をもつことができます。
**ディメンショングループ名**: **[XKS Proxy Certificate Metrics]** (XKS プロキシ証明書メトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| CertificateName | TLS 証明書のサブジェクト名 (CN) です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksProxyCredentialAge
現在の外部キーストアの[プロキシ認証情報](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) が外部キーストアに関連付けられてからの日数です。このカウントは、外部キーストアの作成または更新の一環として、認証情報を入力した時点から開始されます。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
この値は、認証情報の有効期限を知らせるためのものです。ただし、外部キーストアプロキシで認証情報を作成した時点ではなく、認証情報を外部キーストアに関連付けた時点からカウントが開始されるため、プロキシでの認証情報の経過時間の正確なインジケータではない場合があります。
このメトリクスを使用して、外部キーストアのプロキシ認証情報をローテーションするように通知する CloudWatch アラームを作成します。
**ディメンショングループ名**: **[Per-Keystore Metrics]** (キーストアごとのメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksProxyErrors
[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)への AWS KMS リクエストに関連する例外の数。この数には、外部キーストアプロキシが に返す例外 AWS KMS と、外部キーストアプロキシが 250 ミリ秒のタイムアウト間隔 AWS KMS 内に応答しない場合に発生するタイムアウトエラーが含まれます。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
このメトリクスを使用して、外部キーストアの KMS キーのエラーレートを追跡します。最も頻発するエラーが明らかになるため、エンジニアリング作業に優先順位を付けることができます。例えば、再試行不可能なエラーの発生率が高くなっている KMS キーは、外部キーストアの設定に問題があることを示している可能性があります。外部キーストア設定を確認するには、「[外部キーストアを表示する](view-xks-keystore.md)」を参照してください。外部キーストア設定を編集するには、「[外部キーストアプロパティを編集する](update-xks-keystore.md)」を参照してください。
**ディメンショングループ名**: **[XKS Proxy Error Metrics]** (XKS プロキシエラーメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値。 |
| XksOperation | 各[外部キーストアプロキシ API オペレーション](keystore-external.md#concept-proxy-apis)の値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされている[キースペック](create-keys.md#key-spec)は SYMMETRIC\$1DEFAULT のみです。 |
| ErrorType | 値:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/monitoring-cloudwatch.html) |
| ExceptionName | 値: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/monitoring-cloudwatch.html) |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksExternalKeyManagerStates
以下の各ヘルス状態 (`Active`、`Degraded`、`Unavailable`) における[外部キーマネージャーインスタンス](keystore-external.md#concept-ekm)数のカウントです。このメトリクスの情報は、各外部キーストアに関連付けられた外部キーストアプロキシから取得されます。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
以下は、外部キーストアに関連付けられた外部キーマネージャーインスタンスのヘルス状態です。各外部キーストアプロキシは、外部キーマネージャーのヘルス状態を測定するために、異なるインジケータを使用する場合があります。詳細については、外部キーストアプロキシのドキュメントを参照してください。
+ `Active`: 外部キーマネージャーは正常です。
+ `Degraded`: 外部キーマネージャーに異常がありますが、トラフィックは処理できます。
+ `Unavailable`: 外部キーマネージャーはトラフィックを処理できません。
このメトリクスを使用して、外部キーマネージャーインスタンスが劣化して使用できなくなったことを警告する CloudWatch アラームを作成します。各状態の外部キーマネージャーインスタンスを判断するには、外部キーストアプロキシログを参照してください。
**ディメンショングループ名**: **[XKS External Key Manager Metrics]** (XKS 外部キーマネージャーメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| XksExternalKeyManagerState | 各ヘルス状態の値です。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
### XksProxyLatency
外部キーストアプロキシが AWS KMS リクエストに応答するまでにかかるミリ秒数です。リクエストがタイムアウトした場合、記録される値は 250 ミリ秒のタイムアウト制限です。このメトリクスは、[外部キーストア](keystore-external.md)にのみ適用されます。
このメトリクスを使用して、外部キーストアプロキシと外部キーマネージャーのパフォーマンスを評価します。プロキシが暗号化オペレーションと復号オペレーションで頻繁にタイムアウトする場合は、外部プロキシ管理者に相談してください。
レスポンスが遅い場合は、外部キーマネージャーが現在のリクエストトラフィックを処理できないことを示している場合もあります。 AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションのリクエストを処理できることをお勧めします。外部キーマネージャーが 1 秒あたり 1,800 件のリクエストを処理できない場合は、[カスタムキーストアの KMS キーリクエストクォータ](requests-per-second.md#rps-key-stores)の引き下げをリクエストすることを検討してください。外部キーストアの KMS キーを使用した暗号化オペレーションのリクエストは、外部キーストアプロキシまたは外部キーマネージャーによって処理され、後で拒否されるのではなく、[スロットリング例外](throttling.md)でフェイルファストします。
**ディメンショングループ名**: **[XKS Proxy Latency Metrics]** (XKS プロキシレイテンシーメトリクス)
| ディメンション | 説明 |
| --- | --- |
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値。 |
| XksOperation | 各[外部キーストアプロキシ API オペレーション](keystore-external.md#concept-proxy-apis)の値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされている[キースペック](create-keys.md#key-spec)は SYMMETRIC\$1DEFAULT のみです。 |
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。手順については、「[外部キーストアをモニタリングする](xks-monitoring.md)」を参照してください。
# インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する
KMS キーのインポートされたキーマテリアルの有効期限が近づいたときに通知する CloudWatch アラームを作成できます。例えば、有効期限が 30 日未満になるとアラームが通知します。
[キーマテリアルを KMS キーにインポート](importing-keys.md)すると、キーマテリアルの有効期限の日時を任意で指定することができます。キーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除し、KMS キーは使用できなくなります。KMS キーを再度使用するには、[キーマテリアルを再インポート](importing-keys-import-key-material.md#reimport-key-material)する必要があります。ただし、有効期限が切れる前にキーマテリアルを再インポートすると、その KMS キーを使用するプロセスが中断されるのを防ぐことができます。
このアラームは、インポートされたキーマテリアルの有効期限が切れる KMS キーについて AWS KMS が CloudWatch に発行する[`SecondsUntilKeyMaterialExpires`メトリクス](monitoring-cloudwatch.md#key-material-expiration-metric)を使用します。各アラームはこのメトリクスを使用して、特定の KMS キーのインポートされたキーマテリアルを監視します。キーマテリアルの有効期限が近づいているすべての KMS キーに対して単一のアラームを作成したり、将来作成する可能性のある KMS キーに対してアラームを作成したりすることはできません。
**要件**
インポートされたキーマテリアルの有効期限を監視する CloudWatch アラームには、次のリソースが必要です。
+ 有効期限が切れる、インポートされたキーマテリアルを含む KMS キー。
+ Amazon SNS トピック 詳細については、「Amazon CloudWatch ユーザーガイド」の「[Amazon SNS トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)」を参照してください。
アラームの作成
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | [**KMS**] を選択し、次に [**キーごとのメトリクス**] を選択します。 KMS キーと `SecondsUntilKeyMaterialExpires` メトリクスを含む行を選択します。次に **[Select metric]** (メトリクスの選択) を選択します。 **メトリクス**リストには、インポートされたキーマテリアルが有効期限切れになっている KMS キーの `SecondsUntilKeyMaterialExpires` メトリクスのみが表示されます。アカウントとリージョンにこれらのプロパティを持つ KMS キーがない場合、このリストは空になります。 |
| 統計 | 最小値 |
| Period | 1 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | メトリクス名が 1 より大きい場合は必ず |
# 外部キーストアの CloudWatch アラームを作成する
外部キーストアメトリクスに基づいて Amazon CloudWatch アラームを作成し、メトリクス値が指定したしきい値を超えたときに通知するように設定できます。アラームは、[Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) トピックまたは [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-scale-based-on-demand.html#as-how-scaling-policies-work) ポリシーにメッセージを送信できます。CloudWatch アラームの詳細については、「Amazon CloudWatch ユーザーガイド」の「[Amazon CloudWatch でのアラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
Amazon CloudWatch アラームを作成する前に、Amazon SNS トピックが必要です。詳細については、「Amazon CloudWatch ユーザーガイド」の「[Amazon SNS トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)」を参照してください。
**Topics**
+ [証明書の有効期限切れアラームを作成する](#cert-expire-alarm)
+ [レスポンスタイムアウトのアラームを作成する](#latency-alarm)
+ [再試行可能なエラーのアラームを作成する](#retryable-errors-alarm)
+ [再試行不可能なエラーのアラームを作成する](#nonretryable-errors-alarm)
## 証明書の有効期限切れアラームを作成する
このアラームは、 AWS KMS がCloudWatch に公開する [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) メトリクスを使用して、外部キーストアプロキシエンドポイントに関連付けられた TLS 証明書の想定される有効期限を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
証明書の有効期限が切れる 10 日前に警告するようアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
アラームの作成
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[KMS]**、**[XKS Proxy Certificate Metrics]** (XKS プロキシ証明書メトリクス) の順に選択します。 モニタリングする `XksProxyCertificateName` の横にあるチェックボックスをオンにします。 次に **[Select metric]** (メトリクスの選択) を選択します。 |
| 統計 | 最小値 |
| Period | 5 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [XksProxyCertificateDaysToExpire] が 10 よりも Lower である場合は常に。 |
## レスポンスタイムアウトのアラームを作成する
このアラームは、 が CloudWatch AWS KMS に発行する [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency)メトリクスを使用して、外部キーストアプロキシが AWS KMS リクエストに応答するのにかかるミリ秒数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
AWS KMS は、外部キーストアプロキシが 250 ミリ秒以内に各リクエストに応答することを期待します。外部キーストアプロキシが応答に 200 ミリ秒以上かかった場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
アラームの作成
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[KMS]**、**[XKS Proxy Latency Metrics]** (XKS プロキシレイテンシーメトリクス) の順に選択します。 モニタリングする `KmsOperation` の横にあるチェックボックスをオンにします。 次に **[Select metric]** (メトリクスの選択) を選択します。 |
| 統計 | 平均 |
| Period | 5 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [XksProxyLatency] が 200 よりも Greater の場合は常に。 |
## 再試行可能なエラーのアラームを作成する
このアラームは、 が CloudWatch AWS KMS に発行する [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)メトリクスを使用して、外部キーストアプロキシへの AWS KMS リクエストに関連する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
再試行可能なエラーは信頼性の割合を低下させます。また、ネットワークエラーを示している可能性があります。1 分間に再試行可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[クエリ]** タブを選択します。 **[Namespace]** (名前空間) として `AWS/KMS` を選択します。 **[Metric name]** (メトリクス名) に `SUM(XksProxyErrors)` を入力します。 **[Filter by]** (フィルタリング基準) に `ErrorType = Retryable` を入力します。 **[Run]** (実行) を選択します。次に **[Select metric]** (メトリクスの選択) を選択します。 |
| ラベル | 再試行可能なエラー |
| Period | 1 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [q1] が 5 よりも Greater の場合はいつでも。 |
## 再試行不可能なエラーのアラームを作成する
このアラームは、 が CloudWatch AWS KMS に発行する [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)メトリクスを使用して、外部キーストアプロキシへの AWS KMS リクエストに関連する例外の数を記録します。アカウント内のすべての外部キーストアに対して 1 つのアラームを作成したり、今後作成する可能性のある外部キーストアに対してアラームを作成したりすることはできません。
再試行不可能なエラーは、外部キーストアの設定に問題があることを示している可能性があります。1 分間に再試行不可能なエラーが 5 回以上記録された場合に警告するアラームを設定することをお勧めしますが、ニーズに最適なしきい値を設定する必要があります。
「[静的しきい値に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)」の指示に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| メトリクスの選択 | **[クエリ]** タブを選択します。 **[Namespace]** (名前空間) として `AWS/KMS` を選択します。 **[Metric name]** (メトリクス名) に `SUM(XksProxyErrors)` を入力します。 **[Filter by]** (フィルタリング基準) に `ErrorType = Non-retryable` を入力します。 **[Run]** (実行) を選択します。次に **[Select metric]** (メトリクスの選択) を選択します。 |
| ラベル | 再試行不可能なエラー |
| Period | 1 分 |
| しきい値タイプ | 静的 |
| Whenever ..。 | [q1] が 5 よりも Greater の場合はいつでも。 |
# Amazon EventBridge を使用した KMS キーのモニタリング
Amazon EventBridge (以前の Amazon CloudWatch Events) を使用して、KMS キーのライフサイクルにおける次の重要なイベントについて警告を受け取ることができます。
+ KMS キーのキーマテリアルのローテーションが自動的またはオンデマンドで行われます。
+ KMS キーにインポートされたキーマテリアルの有効期限が切れました。
+ 削除が予定されていた KMS キーが削除されました。
AWS KMS は Amazon EventBridge と統合され、KMS キーに影響する重要なイベントを通知します。各イベントは、[JSON (JavaScript Object Notation)](http://json.org) で表され、イベント名、イベント日時、その影響などが含まれています。これらのイベントを収集し、 AWS Lambda 関数、Amazon SNS トピック、Amazon SQS キュー、Amazon Kinesis Data Streams のストリーム、組み込み*ターゲット*などの 1 つ以上のターゲットにルーティングするルールを確立できます。
EventBridge を他の種類のイベントで使用する方法の詳細については、[「Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/) AWS CloudTrail 」を参照してください。
以下のトピックでは、 が AWS KMS 生成する EventBridge イベントについて説明します。
## KMS CMK ローテーション
AWS KMS は、対称暗号化 KMS キーでのキーマテリアル[の自動ローテーションとオンデマンド](rotate-keys.md)ローテーションをサポートします。
はキーマテリアルを AWS KMS ローテーションするたびに、`KMS CMK Rotation`イベントを EventBridge に送信します。 はこのイベントをベストエフォートベースで AWS KMS 生成します。
このイベントの例を以下に示します。
```
{
"version": "0",
"id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
"detail-type": "KMS CMK Rotation",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-origin": "AWS_KMS",
"rotation-type": "ON_DEMAND",
"previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
"current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
}
}
```
## KMS でインポートされたキーマテリアルの有効期限
[キーマテリアルを KMS キーにインポートする](importing-keys.md)と、キーマテリアルの有効期限を任意で指定することができます。キーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除し、対応する`KMS Imported Key Material Expiration`イベントを EventBridge に送信します。 はこのイベントをベストエフォートベースで AWS KMS 生成します。
このイベントの例を以下に示します。
```
{
"version": "0",
"id": "9da9af57-9253-4406-87cb-7cc400e43465",
"detail-type": "KMS Imported Key Material Expiration",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
"key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
## KMS CMK 削除
KMS キーの[キー削除をスケジュールする](deleting-keys.md)と、 AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間の終了後、 AWS KMS は KMS キーを削除し、EventBridge へ `KMS CMK Deletion` イベントを送信します。 AWS KMS はこの EventBridge を保証します。再試行により、同じ KMS キーを削除する複数のイベントが数秒以内に生成される場合があります。
このイベントの例を以下に示します。
```
{
"version": "0",
"id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
"detail-type": "KMS CMK Deletion",
"source": "aws.kms",
"account": "111122223333",
"time": "2025-05-23T03:11:54Z",
"region": "us-west-2",
"resources": [
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
],
"detail": {
"key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
```