AWS CloudTrail による AWS KMS API 呼び出しのログ記録

AWS KMS は、 AWS CloudTrail、へのすべてのコールを記録するサービス AWS KMS ユーザー、役割、その他の AWS サービス。 CloudTrail へのすべてのAPI呼び出しをキャプチャします AWS KMS イベントとして、 AWS KMS コンソール、 AWS KMS API、 AWS Command Line Interface (AWS CLI)、および AWS Tools for PowerShell.

CloudTrailはすべてをログに記録 AWS KMS 操作(読み取り専用操作を含む) リストエイリアス および GetKeyRotationStatus (キー回転ステータスを取得)、管理しているオペレーション CMKsなど キーの作成 および プットキーポリシー、および 暗号化操作など データキーを生成 および 復号化.

CloudTrail は、呼び出し側がリソースへのアクセスを拒否された場合など、失敗した操作と試行された呼び出しをログに記録します。上の操作 CMKs 他のアカウントで は、発信者のアカウントとCMK所有者のアカウントの両方にログインします。

セキュリティ上の理由から、一部のフィールドは AWS KMS ログエントリ(例: Plaintext パラメータ 暗号化 要求、および GetKeyPolicy (キーポリシーを取得) 暗号化操作をします。

デフォルトでは、すべての AWS KMS アクションが CloudTrail イベントとして記録されますが、CloudTrail 証跡から AWS KMS アクションを除外できます。詳細については、「証跡からの AWS KMS イベントの除外」を参照してください。

トピック

• イベントのログ記録 CloudTrail
• 証跡からの AWS KMS イベントの除外
• 例 AWS KMS ログエントリ

イベントのログ記録 CloudTrail

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。AWS KMS でアクティビティが発生すると、そのアクティビティは AWS の他のサービスのイベントと共に CloudTrail イベントとして [イベント履歴] に記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

AWS KMSのイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべてのリージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と CloudTrail ログで収集されたデータに基づいた行動のためにその他の AWS サービスを設定できます。詳細については、 を参照してください。

• 証跡の作成に関する概要

• CloudTrail サポートされるサービスとインテグレーション

• の Amazon SNS 通知の設定 CloudTrail

• 複数のリージョンから CloudTrail ログファイルを受け取ると複数のアカウントから CloudTrail ログファイルを受け取る

CloudTrail の詳細については、AWS CloudTrail User Guideを参照してください。使用を監視するその他の方法を学ぶため CMKs、を参照 カスタマーマスターキー のモニタリング.

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

• リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

• リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

• リクエストが、別の AWS サービスによって送信されたかどうか

詳細については、「CloudTrail userIdentity 要素」を参照してください。

証跡からの AWS KMS イベントの除外

ほとんどの AWS KMS ユーザーは、AWS KMS リソースの使用と管理の記録を提供するために、CloudTrail 証跡内のイベントに依存しています。トレールは、作成、無効化、削除などの重要なイベントを監査するための貴重なデータ源になり得ます。 カスタマーマスターキー (CMKs)、キーポリシーの変更、および CMKs による AWS サービスを代行します。場合によっては、暗号化オペレーションの暗号化コンテキストなど、CloudTrail ログエントリのメタデータは、エラーを回避または解決するのに役立ちます。

ただし、AWS KMS では多数のイベントを生成できるため、AWS CloudTrail では証跡から AWS KMS イベントを除外できます。この証跡単位の設定では、すべての AWS KMS イベントが除外されます。特定の AWS KMS イベントを除外することはできません。

警告

除く AWS KMS のイベントを CloudTrail ログは、 CMKs. このオペレーションを実行するために必要な cloudtrail:PutEventSelectors アクセス許可をプリンシパルに与えるときは注意してください。

証跡から AWS KMS イベントを除外するには:

• の CloudTrail コンソール、 キー管理サービスイベントのログ 設定、 トレイルの作成 または トレイルの更新. 手順については、AWS CloudTrail User Guide の「 AWS マネジメントコンソールでの管理イベントのログ記録」を参照してください。

• CloudTrail API では、PutEventSelectors オペレーションを使用します。_を追加 ExcludeManagementEventSources 属性をイベント セレクタに指定し、 kms.amazonaws.com。 例については、以下を参照してください。 例: AWS Key Management Service イベントをログしないトレール の AWS CloudTrail User Guide.

この除外は、コンソール設定または証跡のイベントセレクタを変更することでいつでも無効にできます。その後、証跡は AWS KMS イベントの記録を開始します。ただし、除外が有効である間に発生した AWS KMS イベントはリカバリできません。

コンソールまたは API を使用して KMS イベントを除外すると、結果の CloudTrail PutEventSelectors API オペレーションも CloudTrail ログに記録されます。KMS イベントが CloudTrail ログに表示されない場合は、ExcludeManagementEventSources 属性が kms.amazonaws.com に設定されている PutEventSelectors イベントを探します。

例 AWS KMS ログエントリ

AWS KMS エントリを CloudTrail ログは、 AWS KMS および AWS サービスはお客様の代わりにオペレーションを呼び出します。 AWS KMS は、オペレーションを呼び出すときにエントリーも書き込みます。たとえば、 は、 CMK 削除をスケジュールしました。

次のトピックでは、 CloudTrail ログエントリ AWS KMS 操作。

トピック

• CancelKeyDeletion
• CreateAlias
• CreateGrant
• CreateKey
• Decrypt
• DeleteAlias
• DeleteExpiredKeyMaterial
• DeleteKey
• DescribeKey
• DisableKey
• EnableKey
• EnableKeyRotation
• Encrypt
• GenerateDataKey
• GenerateDataKeyPair
• GenerateDataKeyPairWithoutPlaintext
• GenerateDataKeyWithoutPlaintext
• GenerateRandom
• GetKeyPolicy
• GetParametersForImport
• ImportKeyMaterial
• ListAliases
• ListGrants
• ReEncrypt
• RotateKey
• ScheduleKeyDeletion
• TagResource
• UntagResource
• Amazon EC2 の例 1
• Amazon EC2 の例 2