削除保留中のKMSキーの使用を検出するアラームを作成する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

削除保留中のKMSキーの使用を検出するアラームを作成する

AWS CloudTrail、Amazon CloudWatch Logs、Amazon Simple Notification Service (Amazon SNS) の機能を組み合わせて、アカウント内の誰かが削除保留中のKMSキーを使用しようとすると通知する Amazon CloudWatch アラームを作成できます。この通知を受け取った場合は、KMSキーの削除をキャンセルし、削除の決定を再検討することができます。

次の手順では、Key ARN is pending deletion「エラーメッセージが CloudTrail ログファイルに書き込まれるたびに通知するアラームを作成します。このエラーメッセージは、個人またはアプリケーションが暗号化オペレーション でKMSキーを使用しようとしたことを示します。通知はエラーメッセージにリンクされるため、ListKeys、、 などの削除が保留中のKMSキーで許可されているAPIオペレーションを使用するとトリガーされませんCancelKeyDeletionPutKeyPolicy。このエラーメッセージを AWS KMS API返すオペレーションのリストについては、「」を参照してくださいAWS KMS キーのキーステータス

受信した通知 E メールには、KMSキーまたは暗号化オペレーションは一覧表示されません。その情報はログ にあります CloudTrail。その代わりに、アラームの状態が [OK] から [アラーム] に変わったことが E メールで報告されます。アラームと状態の変更の詳細については CloudWatch、「Amazon CloudWatch ユーザーガイド」の「Amazon アラームの使用」を参照してください。 CloudWatch

警告

この Amazon CloudWatch アラームは、 以外の非対称キーのパブリックKMSキーの使用を検出できません AWS KMS。復号できない暗号文の作成など、パブリックKMSキー暗号化に使用される非対称キーを削除する特別なリスクの詳細については、「」を参照してくださいDeleting asymmetric KMS keys

この手順では、保留中の削除例外のインスタンスを検出する CloudWatch ロググループメトリクスフィルターを作成します。次に、ロググループメトリクスに基づいて CloudWatch アラームを作成します。ロググループメトリクスフィルターの詳細については、Amazon CloudWatch Logs ユーザーガイドの「フィルターを使用したログイベントからのメトリクスの作成」を参照してください。

  1. CloudTrail ログを解析する CloudWatch メトリクスフィルターを作成します。

    以下の必須値を使用して、「ロググループのメトリクススフィルターを作成する」の手順に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

    フィールド
    フィルターパターン

    { $.eventSource = kms* && $.errorMessage = "* is pending deletion."}

    メトリクス値 1
  2. ステップ 1 で作成したメトリクスフィルターに基づいて CloudWatch アラームを作成します。

    以下の必須値を使用して、ロググループメトリクスフィルターに基づいて CloudWatch アラームを作成するの手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。

    フィールド
    メトリクスフィルター

    ステップ 1 で作成したメトリクスフィルターの名前。

    しきい値タイプ 静的
    条件 常に metric-nameより大きい/等しい 1
    アラームをポイントするデータ 1 のうち 1
    欠損データ処理 欠損データを良好 (しきい値に違反していない) として扱う

この手順を完了すると、新しい CloudWatchアラームが ALARM状態になるたびに通知が送信されます。このアラームの通知を受信した場合、データの暗号化または復号に削除が予定されているKMSキーがまだ必要である可能性があります。その場合は、KMSキーの削除をキャンセルし、削除の決定を再検討します。