AWS CloudTrail による AWS KMS API 呼び出しのログ記録

AWS KMSはと統合されています。AWS CloudTrailへのすべての呼び出しを記録するサービスAWS KMSユーザー、ロール、その他のAWSのサービス。CloudTrail のすべての API コールをキャプチャしてAWS KMSからの呼び出しを含む、イベントとしてAWS KMSコンソール,AWS KMSAPI の API の使用AWS Command Line Interface(AWS CLI)、AWS Tools for PowerShell。

CloudTrail ログはすべてAWS KMS読み取り専用オペレーション (ListAliasesおよびGetKeyRotationStatusなど、CMK を管理する操作CreateKeyおよびPutKeyPolicy, および暗号化オペレーションまたはGenerateDataKeyおよびDecrypt。

CloudTrail は、呼び出し元がリソースへのアクセスを拒否された場合など、成功したオペレーションと失敗した呼び出しの試行を記録します。のオペレーション他のアカウントの CMKは、呼び出し元のアカウントと CMK 所有者のアカウントの両方にログインします。

セキュリティ上の理由から、一部のフィールドはAWS KMSログエントリ (PlaintextのパラメータEncryptリクエストと、GetKeyPolicyまたは任意の暗号化操作。

しかし、デフォルトでは、すべてのAWS KMSアクションが CloudTrail イベントとして記録される場合は、AWS KMSCloudTrail 証跡からアクションを実行します。詳細については、「証跡からの AWS KMS イベントの除外」を参照してください。

トピック

• CloudTrail でのイベントのログ記録
• 証跡からの AWS KMS イベントの除外
• AWS KMS ログエントリの例

CloudTrail でのイベントのログ記録

CloudTrail は、 AWS アカウント アカウントを作成すると、アクティビティがAWS KMS他の CloudTrail イベントとともに CloudTrail イベントに記録されます。AWSのサービスイベントイベント履歴。最近のイベントは、最近のイベントの [表示、検索、ダウンロードできます。 AWS アカウント 。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

でのイベントの継続的な記録については、 AWS アカウント のイベントを含むAWS KMS証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、すべてのリージョンからAWSパーティションを作成し、指定した Amazon S3 バケットにログファイルを渡します。さらに、その他のAWSのサービスを実行して、CloudTrail ログで収集されたデータをより詳細に分析し、それに基づいて行動します。詳細については、以下を参照してください。

• 証跡を作成するための概要

• CloudTrail のサポート対象サービスと統合

• Amazon SNS の CloudTrail 通知の設定

• 「複数のリージョンから CloudTrail ログファイルを受け取る」および「複数のアカウントから CloudTrail ログファイルを受け取る」

CloudTrail についての詳細は、『AWS CloudTrailユーザーガイド。CMK の使用をモニタリングするその他の方法については、「カスタマーマスターキーをモニタリングする」を参照してください。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するうえで役立ちます。

• リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

• リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか。

• リクエストが、別の AWS サービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

証跡からの AWS KMS イベントの除外

最もAWS KMSユーザーは、CloudTrail 証跡内のイベントを使用して、AWS KMSリソースの使用料金を見積もることができます。証跡は、カスタマーマスターキー (CMK) の作成、無効化、削除、キーポリシーの変更、AWS サービスに代わる CMK の使用など、重要なイベントを監査するための貴重なデータ源になります。場合によっては、CloudTrail ログエントリ内のメタデータ（暗号化コンテキストは、エラーを回避または解決するのに役立ちます。

ただし、AWS KMS では多数のイベントを生成できるため、AWS CloudTrail では証跡から AWS KMS イベントを除外できます。この証跡単位の設定では、すべての AWS KMS イベントが除外されます。特定の AWS KMS イベントを除外することはできません。

警告

除外AWS KMSイベントCloudTrail、CMK を使用するアクションが隠されることがあります。このオペレーションを実行するために必要な cloudtrail:PutEventSelectors アクセス許可をプリンシパルに与えるときは注意してください。

証跡から AWS KMS イベントを除外するには:

• CloudTrail コンソールで、キーマネジメントサービスのイベントをログに記録する設定を証跡を作成するにはまたは証跡を更新するには。手順については、以下を参照してください。での管理イベントのログ記録AWS Management Console()AWS CloudTrailユーザーガイド。

• CloudTrail API では、PutEventSelectorsオペレーション. ExcludeManagementEventSources 属性を kms.amazonaws.com の値でイベントセレクタに追加します。例については、「」を参照してください。例: ログしない証跡AWS Key Management Serviceイベント()AWS CloudTrailユーザーガイド。

この除外は、コンソール設定または証跡のイベントセレクタを変更することでいつでも無効にできます。その後、証跡は AWS KMS イベントの記録を開始します。ただし、除外が有効である間に発生した AWS KMS イベントはリカバリできません。

excludeAWS KMSイベントをコンソールまたは API を使用して実行すると、結果の CloudTrailPutEventSelectorsAPI オペレーションは CloudTrail ログにも記録されます。もしAWS KMSイベントが CloudTrail ログに表示されない場合は、PutEventSelectorsイベントのExcludeManagementEventSources属性をkms.amazonaws.com。