KMS キーの過去の使用状況を確認する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

KMS キーの過去の使用状況を確認する

KMS キーを削除する前に、そのキーで暗号化された暗号化テキストの数を確認する必要がある場合があります。AWS KMS は、この情報や暗号化テキストを保存しません。KMS キーの過去の使用状況を把握することで、後で必要になるかどうかを判断できる場合があります。このトピックでは、KMS キーの過去の使用状況の確認に役立つ複数の戦略を示します。

警告

過去と実際の使用方法を決定するためのこれらの戦略は、AWS ユーザーと AWS KMS オペレーションに対してのみ有効です。AWS KMS の外部で非対称 KMS キーの公開キーの使用を検出することはできません。公開キーの暗号化に使用される非対称 KMS キーを削除する際の特別なリスク (復号できない暗号テキストの作成など) の詳細については、Deleting asymmetric KMS keys を参照してください。

KMS キーのアクセス許可内容を確認し、潜在的な使用の範囲を判断する

現在、KMS キーにアクセスできるユーザーやアプリケーションを明らかにすることで、KMS キーが使用されている範囲や、今後必要かどうかを判断できる場合があります。現在、KMS キーにアクセスできるユーザーやアプリケーションを明らかにする方法については、AWS KMS keys へのアクセスを特定する を参照してください。

AWS CloudTrail ログを確認して実際の使用状況を判断する

KMS キーの使用履歴を使用して、特定の KMS キーで暗号化された暗号化テキストがあるかどうかを判断できます。

すべての AWS KMS API アクティビティは AWS CloudTrail ログファイルに記録されます。KMS キーが配置されているリージョンに CloudTrail 追跡を作成すると、CloudTrail ログファイルを調べて、特定の KMS キーに対するすべての AWS KMS API アクティビティの履歴を表示できます。トレイルを持っていない場合でも、 CloudTrail イベント履歴で最近のイベントを表示できます。AWS KMS による CloudTrail の使用方法の詳細については、を使用した通話のログ記録 AWS KMS API AWS CloudTrail を参照してください。

次の例は、KMS キーを使用して、Amazon Simple Storage Service (Amazon S3) に保存されているオブジェクトを保護するときに生成される CloudTrail ログエントリを示しています。この例では、KMS キー (SSE-KMS) を使用したサーバー側の暗号化を使用してデータを保護し、オブジェクトを Amazon S3 にアップロードします。SSE-KMS を使用して Amazon S3 にオブジェクトをアップロードする場合は、オブジェクトの保護に使用する KMS キーを指定します。Amazon S3 では AWS KMS GenerateDataKey オペレーションを使用してオブジェクトの一意のデータキーをリクエストします。このリクエストイベントは、CloudTrail に次のようなエントリで記録されます。

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}, "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "cea04450-5817-11e5-85aa-97ce46071236", "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

後で Amazon S3 からこのオブジェクトをダウンロードすると、Amazon S3 は AWS KMS に Decrypt リクエストを送信し、指定された KMS キーを使用してオブジェクトのデータキーを復号します。これを行うと、CloudTrail ログファイルに次のようなエントリが含まれます。

{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user", "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2015-09-10T23:12:48Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/Admins", "accountId": "111122223333", "userName": "Admins" } }, "invokedBy": "internal.amazonaws.com" }, "eventTime": "2015-09-10T23:58:39Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "internal.amazonaws.com", "userAgent": "internal.amazonaws.com", "requestParameters": { "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}}, "responseElements": null, "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0", "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

AWS KMS API アクティビティはすべて CloudTrail によって記録されます。これらのログエントリを評価すると、特定の KMS キーの過去の使用状況を明らかにし、その KMS キーを削除する必要があるかどうかを判断できる場合があります。

AWS KMS API アクティビティが CloudTrail ログファイルにどのように表示されるかの例については、を使用した通話のログ記録 AWS KMS API AWS CloudTrail を参照してください。CloudTrail の詳細については、AWS CloudTrail ユーザーガイドを参照してください。