VPC エンドポイントを使用した AWS KMS リクエストのログ記録 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC エンドポイントを使用した AWS KMS リクエストのログ記録

AWS CloudTrail は、VPC エンドポイントを使用するすべてのオペレーションを記録します。AWS KMS へのリクエストで VPC エンドポイントが使用されている場合、VPC エンドポイント ID は、そのリクエストが記録されている AWS CloudTrail ログのエントリに表示されます。このエンドポイント ID を使用して、AWS KMS VPC エンドポイントの使用状況を監査できます。

ただし、CloudTrail ログには、他のアカウントやリクエストのプリンシパルによってリクエストされたオペレーションや、他のアカウントの KMS キーやエイリアスに対する AWS KMS オペレーションのリクエストは含まれません。また、お客様の VPC 保護のため、VPC エンドポイントポリシーによって拒否されたが、それ以外の場合には許可されていたであろうと思われるリクエストは AWS CloudTrail には記録されません。

例えば、このサンプルログエントリは、VPC エンドポイントを使用した GenerateDataKey リクエストを記録します。vpcEndpointId フィールドは、ログエントリの最後に表示されます。

{
  "eventVersion":"1.05",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "EX_PRINCIPAL_ID",
    "arn": "arn:aws:iam::111122223333:user/Alice",
    "accessKeyId": "EXAMPLE_KEY_ID",
    "accountId": "111122223333",
    "userName": "Alice"
  },
  "eventTime":"2018-01-16T05:46:57Z",
  "eventSource":"kms.amazonaws.com",
  "eventName":"GenerateDataKey",
  "awsRegion":"eu-west-1",
  "sourceIPAddress":"172.01.01.001",
  "userAgent":"aws-cli/1.14.23 Python/2.7.12 Linux/4.9.75-25.55.amzn1.x86_64 botocore/1.8.27",
  "requestParameters":{
    "keyId":"1234abcd-12ab-34cd-56ef-1234567890ab",
    "numberOfBytes":128
  },
  "responseElements":null,
  "requestID":"a9fff0bf-fa80-11e7-a13c-afcabff2f04c",
  "eventID":"77274901-88bc-4e3f-9bb6-acf1c16f6a7c",
  "readOnly":true,
  "resources":[{
    "ARN":"arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId":"111122223333",
    "type":"AWS::KMS::Key"
  }],
  "eventType":"AwsApiCall",
  "recipientAccountId":"111122223333",
  "vpcEndpointId": "vpce-1234abcdf5678c90a"
}