Amazon でKMSキーをモニタリングする EventBridge - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon でKMSキーをモニタリングする EventBridge

Amazon EventBridge (旧 Amazon CloudWatch Events) を使用して、KMSキーのライフサイクルで次の重要なイベントを警告できます。

  • キー内のKMSキーマテリアルは自動的にローテーションされました。

  • キー内のインポートされたKMSキーマテリアルの有効期限が切れています。

  • 削除がスケジュールされていたKMSキーが削除されました。

AWS KMS は Amazon と統合して EventBridge 、KMSキーに影響する重要なイベントを通知します。各イベントは JSON (JavaScript Object Notation) で表され、イベント名、イベントが発生した日時、影響を受ける が含まれます。これらのイベントを収集し、 AWS Lambda 関数、Amazon SNSトピック、Amazon SQSキュー、Amazon Kinesis Data Streams のストリーム、組み込みターゲットなどの 1 つ以上のターゲットにルーティングするルールを確立できます。

読み取り/書き込みAPIリクエストを記録する AWS CloudTrail ときに によって出力されるイベントなど、他の種類のイベント EventBridge で を使用する方法の詳細については、「Amazon EventBridge ユーザーガイド」を参照してください。

以下のトピックでは、 が AWS KMS 生成する EventBridge イベントについて説明します。

KMS CMK ローテーション

AWS KMS は、対称暗号化キーでKMSキーマテリアルの自動ローテーションをサポートします。カスタマーマネージドキーについては、キーマテリアルの年次ローテーションはオプションです。AWS マネージドキー のキーマテリアルは毎年自動的にローテーションされます。

は、キーマテリアルを AWS KMS ローテーションするたびに、KMS CMK Rotationイベントを に送信します EventBridge。このイベントはベストエフォートベースで AWS KMS 生成されます。

このイベントの例を以下に示します。

{ "version": "0", "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718", "detail-type": "KMS CMK Rotation", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

KMS インポートされたキーマテリアルの有効期限

キーマテリアルをKMSキー にインポートする場合、オプションでキーマテリアルの有効期限を指定できます。キーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除し、対応するKMS Imported Key Material Expirationイベントを に送信します EventBridge。 はこのイベントをベストエフォートベースで AWS KMS 生成します。

このイベントの例を以下に示します。

{ "version": "0", "id": "9da9af57-9253-4406-87cb-7cc400e43465", "detail-type": "KMS Imported Key Material Expiration", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }

KMS CMK 削除

KMS キーの削除をスケジュールすると、 AWS KMS はKMSキーを削除する前に待機期間を適用します。待機期間が終了すると、 はKMSキー AWS KMS を削除し、KMS CMK Deletionイベントを に送信します EventBridge。 はこの EventBridge イベントを AWS KMS 保証します。再試行により、同じKMSキーを削除する複数のイベントが数秒以内に生成される可能性があります。

このイベントの例を以下に示します。

{ "version": "0", "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a", "detail-type": "KMS CMK Deletion", "source": "aws.kms", "account": "111122223333", "time": "2022-08-10T16:37:50Z", "region": "us-west-2", "resources": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" ], "detail": { "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab" } }