を使用した AWS KMS API コールのログ記録 AWS CloudTrail - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した AWS KMS API コールのログ記録 AWS CloudTrail

AWS KMS は、ユーザーAWS CloudTrail、ロール、およびその他の のサービス AWS KMS による へのすべての呼び出しを記録する AWS サービスである と統合されています。 は、 AWS KMS コンソール、API、 AWS CloudFormation テンプレート、 AWS Command Line Interface (AWS CLI)、 からの呼び出しを含む、 へのすべての AWS KMS APIs呼び出しをイベント AWS KMS として CloudTrail キャプチャします AWS Tools for PowerShell。

CloudTrail は AWS KMS 、 ListAliasesや などの読み取り専用オペレーション、 や などの KMS キーを管理するGetKeyRotationStatusオペレーションPutKeyPolicy、 や GenerateDataKey Decrypt CreateKey などの暗号化オペレーションを含むすべてのオペレーションを記録します。 Decryptまた、、、、 DeleteKey SynchronizeMultiRegionKeyなどDeleteExpiredKeyMaterial、 が AWS KMS 呼び出す内部オペレーションもログに記録しますRotateKey

CloudTrail は、呼び出し元がリソースへのアクセスを拒否された場合など、成功したオペレーションと失敗した試行された呼び出しを記録します。KMS キーに対するアカウントを横断したオペレーションは、発信者のアカウントと KMS キー所有者のアカウントの両方に記録されます。ただし、アクセスが拒否されたために拒否されたクロスアカウント AWS KMS リクエストは、発信者のアカウントにのみ記録されます。

セキュリティ上の理由から、Encrypt リクエストの Plaintextパラメータ、 GetKeyPolicyへのレスポンス、暗号化オペレーションなど、一部のフィールドは AWS KMS ログエントリから省略されます。特定の KMS キーの CloudTrail ログエントリを検索しやすくするために、API オペレーションがキー ARN を返さない場合でも、 は、影響を受ける KMS キーのキー ARN を一部の AWS KMS キー管理オペレーションのログエントリの responseElementsフィールド AWS KMS に追加します。

デフォルトでは、すべての AWS KMS アクションは CloudTrail イベントとして記録されますが、 CloudTrail 証跡からアクションを除外 AWS KMS できます。詳細については、「証跡からの AWS KMS イベントの除外」を参照してください。

詳細はこちら:

でのイベントのログ記録 CloudTrail

CloudTrail アカウントを作成する AWS アカウント と、 で が有効になります。でアクティビティが発生すると AWS KMS、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともにイベントに記録されます。最近のイベントは、 AWS アカウントで表示、検索、ダウンロードできます。詳細については、「イベント履歴を使用した CloudTrail イベントの表示」を参照してください。

のイベントなど AWS アカウント、 のイベントの継続的な記録については AWS KMS、証跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、他の を設定 AWS のサービス して、 CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づく対応を行うことができます。詳細については、以下をご覧ください。

の詳細については CloudTrail、「 AWS CloudTrail ユーザーガイド」を参照してください。KMS キーの使用をモニタリングするその他の方法については、AWS KMS keys のモニタリング を参照してください。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:

  • リクエストが、ルート認証情報または IAM ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストが、ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報を使用して送信されたか。

  • リクエストが別の によって行われた場合 AWS のサービス。

詳細については、CloudTrail userIdentity Element」を参照してください。

でのイベントの検索 CloudTrail

CloudTrail ログエントリを検索するには、 CloudTrail コンソールまたは CloudTrail LookupEventsオペレーションを使用します。 は、イベント名、ユーザー名、イベントソースなど、検索をフィルタリングするための多数の属性値 CloudTrail をサポートします。

で AWS KMS ログエントリを検索しやすくするために CloudTrail、 AWS KMS は次の CloudTrail ログエントリフィールドに入力します。

注記

2022 年 12 月以降、 は特定の KMS キーを変更するすべての管理オペレーションでリソースタイプリソース名の属性 AWS KMS を入力します。これらの属性値は、、CreateAlias、、CreateGrant、、、DeleteAlias、、UpdateAlias、および オペレーションの古い CloudTrail エントリでは null DeleteImportedKeyMaterial ImportKeyMaterial ReplicateKey RetireGrant RevokeGrantである可能性がありますUpdatePrimaryRegion

属性 ログエントリ
イベントソース (EventSource) kms.amazonaws.com すべてのオペレーション
リソースタイプ (ResourceType) AWS::KMS::Key 特定の KMS キーを変更する管理オペレーション (CreateKeyEnableKey など。ListKeys は除く)。
リソース名 (ResourceName) キー ARN (またはキー ID およびキー ARN) 特定の KMS キーを変更する管理オペレーション (CreateKeyEnableKey など。ListKeys は除く)。

特定の KMS キーに対する管理オペレーションのログエントリを見つけるために、 AWS KMS は、 AWS KMS API オペレーションがキー ARN を返さない場合でも、影響を受ける KMS キーのキー ARN をログエントリの responseElements.keyId要素に記録します。

例えば、 DisableKeyオペレーションの呼び出しが成功してもレスポンスに値は返されませんが、Null 値の代わりに、DisableKey ログエントリresponseElements.keyIdの値には無効になっている KMS キーのキー ARN が含まれます。

この機能は 2022 年 12 CreateGrant月に追加されDeleteAlias、次の CloudTrail ログエントリに影響します: CreateAliasDeleteKeyDisableKeyEnableKey、、EnableKeyRotation、、ImportKeyMaterialRotateKey、、SynchronizeMultiRegionKeyTagResourceUntagResourceUpdateAlias、、。 UpdatePrimaryRegion

証跡からの AWS KMS イベントの除外

AWS KMS リソースの使用と管理の記録を提供するために、ほとんどの AWS KMS ユーザーは CloudTrail 証跡のイベントに依存しています。証跡は、 の作成、無効化、削除、キーポリシーの変更 AWS KMS keys、ユーザーに代わって AWS のサービスによる KMS キーの使用など、重要なイベントを監査するための貴重なデータソースになります。場合によっては、暗号化オペレーションの暗号化コンテキストなど、 CloudTrail ログエントリのメタデータがエラーを回避または解決するのに役立ちます。

ただし、 AWS KMS は多数のイベントを生成できるため、証跡から AWS KMS イベントを除外 AWS CloudTrail します。この証跡ごとの設定では、すべての AWS KMS イベントを除外します。特定の AWS KMS イベントを除外することはできません。

警告

CloudTrail ログから AWS KMS イベントを除外すると、KMS キーを使用するアクションが隠される可能性があります。このオペレーションを実行するために必要な cloudtrail:PutEventSelectors アクセス許可をプリンシパルに与えるときは注意してください。

証跡から AWS KMS イベントを除外するには:

この除外は、コンソール設定または証跡のイベントセレクタを変更することでいつでも無効にできます。その後、証跡は AWS KMS イベントの記録を開始します。ただし、除外が有効であった間に発生した AWS KMS イベントは回復できません。

コンソールまたは API を使用して AWS KMS イベントを除外すると、結果 CloudTrailの PutEventSelectors API オペレーションも CloudTrail ログに記録されます。 AWS KMS イベントが CloudTrail ログに表示されない場合は、 ExcludeManagementEventSources 属性が に設定されているPutEventSelectorsイベントを探しますkms.amazonaws.com