AWS Key Management Service でのログ記録とモニタリング

AWS KMS API オペレーションへのすべての呼び出しは、AWS CloudTrail ログにイベントとしてキャプチャされます。これらのログには、AWS KMS コンソールからのすべての API 呼び出し、および AWS KMS やその他の AWS のサービスによる呼び出しが記録されます。クロスアカウント API コール (別の AWS アカウント で KMS キーを使用する呼び出しなど) は、両方のアカウントの CloudTrail ログに記録されます。

トラブルシューティングまたは監査を行う際、ログを使用して KMS キーのライフサイクルを再構築できます。また、暗号化オペレーションにおける KMS キーの管理および使用を表示することもできます。詳細については、「を使用した通話のログ記録 AWS KMS API AWS CloudTrail」を参照してください。

AWS CloudTrail およびその他のソースのログファイルをモニタリング、保存、アクセスします。詳細については、『Amazon CloudWatch ユーザーガイド』を参照してください。

AWS KMS では、KMS キーとそれらが保護するリソースの問題を防ぐのに役立つ有用な情報を CloudWatch が保存します。詳細については、「Amazon CloudWatch で KMS キーをモニタリングする」を参照してください。

AWS KMS は、KMS キーがローテーションまたは削除されたとき、または KMS キーにインポートされたキーマテリアルの有効期限が切れたときに、EventBridge を生成します。AWS KMS イベント (API 操作) を検索し、1 つ以上のターゲット関数またはストリームにルーティングして、状態情報を取得します。詳細については、Amazon EventBridge を使用した KMS キーのモニタリング および「Amazon EventBridge ユーザーガイド」を参照してください。

CloudWatch メトリクスを使用して、KMS キーをモニタリングできます。このメトリクスは AWS KMS からraw データを収集してパフォーマンスメトリクスを作成します。データは 2 週間間隔で記録されるため、現在および過去の情報の傾向を表示できます。これにより、KMS キーがどのように使用され、それらの使用が時間の経過とともにどのように変化するかを理解できます。CloudWatch メトリクスを使用して KMS キーをモニタリングする方法については、AWS KMS のメトリクスとディメンション を参照してください。

指定した期間における単一のメトリックスの変化を監視します。次に、一定期間におけるしきい値に対するメトリックの値に基づいてアクションを実行します。例えば、暗号化オペレーションで削除がスケジュールされている KMS キーの使用を誰かが試みたときにトリガーされる CloudWatch アラームを作成できます。これは、KMS キーがまだ使用中であり、削除すべきではないことを示します。詳細については、「削除保留中のKMSキーの使用を検出するアラームを作成する」を参照してください。

AWS Security Hub を使用すると、セキュリティ業界標準とベスト プラクティスへの準拠について AWS KMS の使用状況をモニターリングできます。Security Hub は、セキュリティコントロールを使用してリソース設定とセキュリティ標準を評価し、お客様がさまざまなコンプライアンスフレームワークに準拠できるようサポートします。詳細については、「AWS Security Hub ユーザーガイド」の「AWS Key Management Service コントロール」を参照してください。