AWS Key Management Service
開発者ガイド

AWS CloudTrail を使用した AWS KMS API コールのログ記録

AWS KMS は AWS CloudTrail と統合されています。このサービスは、AWS KMS 内でユーザーやロール、または AWS のサービスによって実行されたアクションを記録するサービスです。CloudTrail は、AWS KMS コンソールからのコールや、AWS KMS API へのコード呼び出しを含む、AWS KMS のすべての API コールをイベントとしてキャプチャします。証跡を作成すると、CloudTrail のイベントを含む、Amazon S3 バケットへの AWS KMS イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、リクエストの作成元の IP アドレス、リクエストの実行者、リクエストの実行日時などの詳細を調べて、AWS KMS に対してどのようなリクエストが行われたかを判断できます。

CloudTrail の詳細については、「AWS CloudTrail User Guide」を参照してください。CMK の使用をモニタリングするその他の方法については、「カスタマーマスターキーをモニタリングする」を参照してください。

CloudTrail 内の AWS KMS 情報

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。AWS KMS でアクティビティが発生すると、そのアクティビティは [Event history (イベント履歴)] の AWS の他のサービスのイベントとともに CloudTrail イベントに記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS KMS のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と CloudTrail ログで収集されたデータに基づいた行動のためにその他の AWS サービスを設定できます。詳細については、以下のトピックを参照してください。

CloudTrail は、読み取り専用オペレーション (ListAliasesGetKeyPolicy など)、CMK を管理するオペレーション (CreateKeyPutKeyPolicy など)、暗号化オペレーション (GenerateDataKeyEncryptDecryptなど) を含むすべての AWS KMS オペレーションを記録します。各オペレーションにより、CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

  • リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

  • リクエストが、別の AWS サービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

AWS KMS ログファイルエントリの概要

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意のソースからの 1 つのリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメーターなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

各 API リクエストの例 CloudTrail ログエントリについては、以下のトピックを参照してください。