AWS KMS による AWS CloudTrail API コールのログ記録

AWS KMS は、 ユーザーAWS CloudTrail、ロール、およびその他の のサービスAWS KMSによる へのすべての呼び出しを記録するAWSサービスである と統合されています。 は、 AWS KMSコンソール、API、 AWS CloudFormation テンプレート、 AWS Command Line Interface (AWS CLI）、 からの呼び出しを含む、 へのすべての AWS KMS API 呼び出しをイベントAWS KMSとして CloudTrail キャプチャしますAWS Tools for PowerShell。 APIs

CloudTrail はAWS KMS、 ListAliasesや などの読み取り専用オペレーション、 GetKeyRotationStatusや などの KMS キーを管理するオペレーションCreateKeyPutKeyPolicy、 や GenerateDataKey Decrypt などの暗号化オペレーションを含むすべてのオペレーションを記録します。また、、、DeleteExpiredKeyMaterial、 などDeleteKey、 がAWS KMS呼び出す内部オペレーションもログに記録されますSynchronizeMultiRegionKeyRotateKey。

CloudTrail は、呼び出し元がリソースへのアクセスを拒否された場合など、成功したオペレーションと失敗した試行された呼び出しを記録します。KMS キーに対するアカウントを横断したオペレーションは、発信者のアカウントと KMS キー所有者のアカウントの両方に記録されます。ただし、アクセスが拒否されたために拒否されたクロスアカウント AWS KMS リクエストは、呼び出し元のアカウントにのみ記録されます。

セキュリティ上の理由から、Encrypt リクエストの Plaintextパラメータや、 GetKeyPolicyまたは任意の暗号化オペレーションへの応答など、一部のフィールドはAWS KMSログエントリから省略されます。特定の KMS キーの CloudTrail ログエントリを検索しやすくするために、 は、API オペレーションがキー ARN を返さない場合でも、一部のAWS KMSキー管理オペレーションのログエントリの responseElementsフィールドに、影響を受ける KMS キーのキー ARN AWS KMSを追加します。

デフォルトでは、すべてのAWS KMSアクションが CloudTrail イベントとして記録されますが、証 CloudTrail 跡からAWS KMSアクションを除外できます。詳細については、「証跡からの AWS KMS イベントの除外」を参照してください。

詳細はこちら:

• AWS Nitro Enclave のAWS KMSオペレーションの CloudTrail ログの例については、「」を参照してくださいNitro Enclaves に対するリクエストの監視。

トピック

• でのイベントのログ記録 CloudTrail
• でのイベントの検索 CloudTrail
• 証跡からの AWS KMS イベントの除外
• AWS KMS ログエントリの例

でのイベントのログ記録 CloudTrail

CloudTrail アカウントを作成するAWS アカウントと、 は で有効になります。でアクティビティが発生するとAWS KMS、そのアクティビティは CloudTrail イベント履歴 の他のAWSサービスイベントとともに イベントに記録されます。 最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「イベント履歴 での CloudTrail イベントの表示」を参照してください。

AWS KMS のイベントなど、AWS アカウント のイベントの継続的な記録に対して、追跡を作成します。証跡により、 はログファイル CloudTrail を Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョン に適用されます。証跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応AWS のサービスするように他の を設定できます。詳細については、以下をご覧ください。

• 証跡を作成するための概要

• CloudTrail サポートされているサービスと統合

• の Amazon SNS 通知の設定 CloudTrail

• 複数のリージョンからの CloudTrail ログファイルの受信と複数のアカウントからのログファイルの受信 CloudTrail

の詳細については CloudTrail、「 AWS CloudTrailユーザーガイド」を参照してください。KMS キーの使用をモニタリングするその他の方法については、AWS KMS keys のモニタリング を参照してください。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するために役立ちます。

• リクエストが、ルート認証情報または IAM ユーザー認証情報のどちらを使用して送信されたか。

• リクエストが、ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報を使用して送信されたか。

• リクエストが、別の AWS のサービス によって行われたか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

でのイベントの検索 CloudTrail

CloudTrail ログエントリを検索するには、 CloudTrail コンソールまたは CloudTrail LookupEventsオペレーションを使用します。 は、イベント名、ユーザー名、イベントソースなど、検索をフィルタリングするための多数の属性値 CloudTrail をサポートします。

でAWS KMSログエントリを検索しやすくするために CloudTrail、 AWS KMS は次の CloudTrail ログエントリフィールドに入力します。

注記

2022 年 12 月以降、AWS KMS は、特定の KMS キーを変更するすべての管理オペレーションでリソースタイプとリソース名の各属性を入力しています。これらの属性値は、、CreateAlias、CreateGrant、、、、DeleteAlias、、UpdateAlias、、および の各オペレーションの古い CloudTrail エントリでは null DeleteImportedKeyMaterial ImportKeyMaterial ReplicateKey RetireGrant RevokeGrantになる場合がありますUpdatePrimaryRegion。

属性	値	ログエントリ
イベントソース (EventSource)	kms.amazonaws.com	すべてのオペレーション
リソースタイプ (ResourceType)	AWS::KMS::Key	特定の KMS キーを変更する管理オペレーション (CreateKey や EnableKey など。ListKeys は除く)。
リソース名 (ResourceName)	キー ARN (またはキー ID およびキー ARN)	特定の KMS キーを変更する管理オペレーション (CreateKey や EnableKey など。ListKeys は除く)。

特定の KMS キーの、管理オペレーションのログエントリを容易に検索するために、AWS KMS は、AWS KMS API オペレーションがキー ARN を返さない場合でも、ログエントリの responseElements.keyId エレメントに、影響を受けた KMS キーのキー ARN を記録します。

例えば、 DisableKeyオペレーションを正常に呼び出すと、レスポンスの値は返されませんが、NULL 値の代わりに、DisableKey ログエントリresponseElements.keyIdの値には無効になっている KMS キーのキー ARN が含まれます。

この機能は 2022 年 12 月に追加され、次の CloudTrail ログエントリに影響します: CreateAlias、CreateGrant、DeleteAlias、DeleteKey、、、DisableKeyEnableKeyEnableKeyRotation、ImportKeyMaterialRotateKey、、SynchronizeMultiRegionKey、TagResourceUntagResourceUpdateAlias、、。 UpdatePrimaryRegion

証跡からの AWS KMS イベントの除外

AWS KMS リソースの使用と管理を記録するため、ほとんどのAWS KMSユーザーは CloudTrail 証跡内のイベントに依存しています。追跡は、AWS KMS keys の作成、無効化、削除、およびキーポリシーの変更、ユーザーに代わって AWS のサービスが行う KMS キーの使用など、重要なイベントを監査するための貴重なデータソースになります。場合によっては、暗号化オペレーションの暗号化コンテキストなど、 CloudTrail ログエントリのメタデータがエラーを回避または解決するのに役立ちます。

ただし、AWS KMS では多数のイベントを生成できるため、AWS CloudTrail では証跡から AWS KMS イベントを除外できます。この証跡単位の設定では、すべての AWS KMS イベントが除外されます。特定の AWS KMS イベントを除外することはできません。

警告

CloudTrail ログからAWS KMSイベントを除外すると、KMS キーを使用するアクションが隠されることがあります。このオペレーションを実行するために必要な cloudtrail:PutEventSelectors アクセス許可をプリンシパルに与えるときは注意してください。

証跡から AWS KMS イベントを除外するには:

• CloudTrail コンソールで、証跡の作成時または証跡の更新時に、 ログキー管理サービスのイベント設定を使用します。手順については、AWS CloudTrail ユーザーガイドの Logging Management Events with the AWS Management Console を参照してください。

• CloudTrail API では、 PutEventSelectorsオペレーションを使用します。ExcludeManagementEventSources 属性を kms.amazonaws.com の値でイベントセレクタに追加します。例については、AWS CloudTrail ユーザーガイドのExample: A trail that does not log AWS Key Management Service events を参照してください。

この除外は、コンソール設定または証跡のイベントセレクタを変更することでいつでも無効にできます。その後、証跡は AWS KMS イベントの記録を開始します。ただし、除外が有効である間に発生した AWS KMS イベントはリカバリできません。

コンソールまたは API を使用してAWS KMSイベントを除外すると、結果 CloudTrailの PutEventSelectors API オペレーションも CloudTrail Logs に記録されます。AWS KMS イベントが CloudTrail ログに表示されない場合は、 ExcludeManagementEventSources 属性が に設定されているPutEventSelectorsイベントを探しますkms.amazonaws.com。