AWS CloudTrail を使用した AWS KMS API コールのログ記録

AWS KMS はAWS CloudTrailは、ユーザー、ロール、その他の AWS サービスによる AWS KMS へのすべての呼び出しを記録するサービスです。CloudTrail は、AWS KMS コンソール、AWS KMS API、AWS Command Line Interface (AWS CLI)、PowerShell 用の AWS ツールからの呼び出しなど、AWS KMS へのすべての API 呼び出しをイベントとしてキャプチャします。

CloudTrail は、すべての AWS KMS オペレーション (ListAliasesおよびGetKeyRotationStatusなど、CMK を管理する操作CreateKeyおよびPutKeyPolicy, および暗号化オペレーションまたはGenerateDataKeyおよび復号化。

CloudTrail は、発信者がリソースへのアクセスを拒否された場合など、成功したオペレーションと失敗した呼び出しの試行をログに記録します。のオペレーション他のアカウントの CMK呼び出し元のアカウントと CMK 所有者のアカウントの両方にログインします。

セキュリティ上の理由から、AWS KMS ログエントリから一部のフィールドが省略されます。たとえば、Plaintextのパラメータ暗号化リクエストと、GetKeyPolicyまたは任意の暗号化操作。

デフォルトでは、AWS KMS アクションはすべて CloudTrail イベントとして記録されますが、CloudTrail 証跡から AWS KMS アクションを除外できます。詳細については、「証跡からの AWS KMS イベントの除外」を参照してください。

トピック

• CloudTrail でのイベントのログ記録
• 証跡からの AWS KMS イベントの除外
• AWS KMS ログエントリの例

CloudTrail でのイベントのログ記録

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。AWS KMS でアクティビティが発生すると、そのアクティビティは [他の AWS のサービスのイベントとともに CloudTrail イベントに記録されます。イベント履歴。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS AWS KMS のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、その他の AWS サービスを設定して、CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うことができます。詳細については、以下のトピックを参照してください。

• 証跡を作成するための概要

• CloudTrail のサポート対象サービスと統合

• Amazon SNS の CloudTrail 通知の設定

• 「複数のリージョンから CloudTrail ログファイルを受け取る」および「複数のアカウントから CloudTrail ログファイルを受け取る」

CloudTrail に関する詳細は、AWS CloudTrail ユーザーガイドを参照してください。CMK の使用をモニタリングするその他の方法については、「カスタマーマスターキーをモニタリングする」を参照してください。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

• リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

• リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

• リクエストが AWS の別のサービスによって生成されたかどうか。

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

証跡からの AWS KMS イベントの除外

AWS KMS ユーザーは、AWS KMS リソースの使用と管理の記録を提供するために、CloudTrail 証跡内のイベントに依存しています。証跡は、カスタマーマスターキー (CMK) の作成、無効化、削除、キーポリシーの変更、AWS のサービスに代わる CMK の使用など、重要なイベントを監査するための貴重なデータ源になります。場合によっては、CloudTrail ログエントリのメタデータ（の暗号化コンテキストは、エラーを回避または解決するのに役立ちます。

ただし、AWS KMS では多数のイベントを生成できるため、AWS CloudTrail では、証跡から AWS KMS イベントを除外できます。この証跡単位の設定では、すべての AWS KMS イベントが除外されます。特定の AWS KMS イベントを除外することはできません。

警告

CloudTrail ログから AWS KMS イベントを除外すると、CMK を使用するアクションが隠されることがあります。このオペレーションを実行するために必要な cloudtrail:PutEventSelectors アクセス許可をプリンシパルに与えるときは注意してください。

証跡から AWS KMS イベントを除外するには:

• CloudTrail コンソールで、キーマネジメントサービスのイベントを記録する設定を証跡を作成するにはまたは証跡の更新。手順については、以下を参照してください。AWS マネジメントコンソールを使用したマネジメントイベントのログ記録AWS CloudTrail ユーザーガイドの「」を参照してください。

• CloudTrail API では、PutEventSelectorsオペレーション. ExcludeManagementEventSources 属性を kms.amazonaws.com の値でイベントセレクタに追加します。例については、「」を参照してください。例: AWS Key Management Service イベントを記録しない証跡AWS CloudTrail ユーザーガイドの「」を参照してください。

この除外は、コンソール設定または証跡のイベントセレクタを変更することでいつでも無効にできます。その後、証跡は AWS KMS イベントの記録を開始します。ただし、除外が有効である間に発生した AWS KMS イベントはリカバリできません。

コンソールまたは API を使用して KMS イベントを除外すると、結果の CloudTrailPutEventSelectorsAPI オペレーションは CloudTrail ログにも記録されます。KMS イベントが CloudTrail ログに表示されない場合は、PutEventSelectorsイベントのExcludeManagementEventSources属性をkms.amazonaws.com。