翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon によるモニタリング CloudWatch
Amazon AWS KMS keysを使用して をモニタリングできます。Amazon CloudWatchは、 から raw データを収集し、リアルタイムに近い読み取り可能なメトリクスAWS KMSに加工する AWSサービスです。これらのデータは、履歴情報にアクセスして、時間の経過に伴う KMS キーの使用や変更に関する理解を深められるように 2 週間記録されます。
Amazon を使用して、次のような重要なイベントを CloudWatch アラートできます。
-
KMS キーにインポートされたキーマテリアルの有効期限が近づいています。
-
削除保留中の KMS キーがまだ使用されています。
-
KMS キーのキーマテリアルが自動的にローテーションされました。
-
KMS キーが削除されました。
リクエストレートがクォータ値の特定のパーセンテージに達したときに警告する Amazon CloudWatch アラームを作成することもできます。詳細については、 AWS セキュリティブログの「Service Quotas と Amazon を使用して AWS KMS API リクエストレートを管理する CloudWatch
AWS KMS のメトリクスとディメンション
AWS KMS は Amazon CloudWatch メトリクスを事前に定義して、重要なデータのモニタリングとアラームの作成を容易にします。AWS Management Console および Amazon CloudWatch API を使用してAWS KMSメトリクスを表示できます。
このセクションでは、各AWS KMSメトリクスと各メトリクスのディメンションを一覧表示し、これらのメトリクスとディメンションに基づいて CloudWatch アラームを作成するための基本的なガイダンスを提供します。
注記
ディメンショングループ名:
Amazon CloudWatch コンソールでメトリクスを表示するには、メトリクスセクションでディメンショングループ名を選択します。これにより、[Metric name] (メトリクス名) でフィルタリングできます。このトピックには、各 AWS KMS メトリクスのメトリクス名とディメンショングループ名が含まれています。
トピック
SecondsUntilKeyMaterialExpiration
KMS キーにインポートされたキーマテリアルの有効期限が切れるまでの残り秒数です。このメトリクスは、インポートされたキーマテリアル (EXTERNAL のキーマテリアルのオリジン) と有効期限を持つ KMS キーに対してのみ有効です。
このメトリクスを使用して、インポートしたキーマテリアルの有効期限までの残り時間を追跡します。残り秒数が定義したしきい値を下回った場合は、新しい有効期限を使用してキーマテリアルを再インポートできます。この SecondsUntilKeyMaterialExpiration メトリクスは KMS キーに固有です。このメトリクスを使用して、複数の KMS キーや将来作成する可能性のある KMS キーを監視することはできません。このメトリクスをモニタリングする CloudWatch アラームの作成については、「」を参照してくださいインポートされたキーマテリアルの有効期限切れの CloudWatch アラームの作成。
このメトリクスで最も有用な統計は Minimum で、指定された統計期間のすべてのデータポイントの最小残り時間を示します。このメトリクスの唯一の有効な単位は Seconds です。
ディメンショングループ名: [Per-Key Metrics] (キーごとのメトリクス)
SecondsUntilKeyMaterialExpiration のディメンション | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ディメンション | 説明: 関連する AWS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| KeyId | 各 KMS キーの値です。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ExternalKeyStoreThrottle
AWS KMS がスロットルする (ThrottlingException で応答する) 各外部キーストアの KMS キーに対する暗号化オペレーションのリクエスト数です。このメトリクスは、外部キーストアにのみ適用されます。
ExternalKeyStoreThrottle メトリクスは、外部キーストアの KMS キーと、暗号化オペレーションと DescribeKeyオペレーションのリクエストにのみ適用されます。 は、リクエストレートが外部キーストアのカスタムキーストアリクエストクォータを超えると、これらのリクエストAWS KMSを調整します。 AWS KMS リクエストのスロットリングこのメトリクスには、外部キーストアプロキシまたは外部キーマネージャーによるスロットリングは含まれていません。
このメトリクスを使用して、カスタムキーストアのリクエストクォータの値を確認および調整します。AWS KMS がこれらの KMS キーのリクエストを頻繁にスロットリングしていることをこのメトリクスが示している場合は、カスタムキーストアのリクエストクォータ値の引き上げをリクエストすることを検討してください。ヘルプについては、「Service Quotas ユーザーガイド」の「Requesting a quota increase」(クォータ引き上げのリクエスト) を参照してください。
「リクエストレートが極めて高いため」リクエストが拒否されたこと、または「外部キーストアプロキシが時間内に応答しなかったために」リクエストが拒否されたことを説明するメッセージで KMSInvalidStateException エラーが頻発する場合は、外部キーマネージャーまたは外部キーストアプロキシが現在のリクエストレートに対応していないことを示している可能性があります。可能な場合は、リクエスト率を下げます。また、カスタムキーストアのリクエストクォータ値の引き下げをリクエストすることも検討してください。このクォータ値を引き下げると、スロットリング (および ExternalKeyStoreThrottle メトリック値) が増加する可能性がありますが、AWS KMS は超過リクエストが外部キーストアプロキシまたは外部キーマネージャーに送信される前にすぐに拒否します。クォータの削減をリクエストするには、AWS Support センター
ディメンショングループ名: [Keystore Throttle Metrics] (キーストアスロットルメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | 各 AWS KMS API オペレーションの値です。このメトリクスは、暗号化オペレーションと外部キーストアの KMS キーに対する DescribeKey オペレーションにのみ適用されます。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされているキースペックは SYMMETRIC_DEFAULT のみです。 |
XksProxyCertificateDaysToExpire
外部キーストアプロキシエンドポイント (XksProxyUriEndpoint) の TLS 証明書の有効期限が切れるまでの日数です。このメトリクスは、外部キーストアにのみ適用されます。
このメトリクスを使用して、TLS 証明書の今後の有効期限を通知する CloudWatch アラームを作成します。証明書の有効期限が切れると、AWS KMS は外部キーストアプロキシと通信できなくなります。証明書が更新されるまで、外部キーストアの KMS キーで保護されているすべてのデータにアクセスできなくなります。
証明書アラームは、暗号化されたリソースへのアクセスを妨げる可能性のある証明書の有効期限切れを防ぎます。アラームを設定することで、組織は有効期限が切れる前に証明書を更新する時間をもつことができます。
ディメンショングループ名: [XKS Proxy Certificate Metrics] (XKS プロキシ証明書メトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| CertificateName | TLS 証明書のサブジェクト名 (CN) です。 |
XksProxyCredentialAge
現在の外部キーストアのプロキシ認証情報 (XksProxyAuthenticationCredential) が外部キーストアに関連付けられてからの日数です。このカウントは、外部キーストアの作成または更新の一環として、認証情報を入力した時点から開始されます。このメトリクスは、外部キーストアにのみ適用されます。
この値は、認証情報の有効期限を知らせるためのものです。ただし、外部キーストアプロキシで認証情報を作成した時点ではなく、認証情報を外部キーストアに関連付けた時点からカウントが開始されるため、プロキシでの認証情報の経過時間の正確なインジケータではない場合があります。
このメトリクスを使用して、外部キーストアプロキシ認証の認証情報をローテーションするよう通知する CloudWatch アラームを作成します。
ディメンショングループ名: [Per-Keystore Metrics] (キーストアごとのメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
XksProxyErrors
外部キーストアプロキシへの AWS KMS リクエストに関連する例外の数です。このカウントには、外部キーストアプロキシが AWS KMS に返す例外と、外部キーストアプロキシが 250 ミリ秒のタイムアウト間隔内に AWS KMS に応答しない場合に発生するタイムアウトエラーが含まれます。このメトリクスは、外部キーストアにのみ適用されます。
このメトリクスを使用して、外部キーストアの KMS キーのエラーレートを追跡します。最も頻発するエラーが明らかになるため、エンジニアリング作業に優先順位を付けることができます。例えば、再試行不可能なエラーの発生率が高くなっている KMS キーは、外部キーストアの設定に問題があることを示している可能性があります。外部キーストア設定を確認するには、「外部キーストアを表示する」を参照してください。外部キーストア設定を編集するには、「外部キーストアのプロパティの編集」を参照してください。
ディメンショングループ名: [XKS Proxy Error Metrics] (XKS プロキシエラーメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値です。 |
| XksOperation | 各外部キーストアプロキシ API オペレーションの値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされているキースペックは SYMMETRIC_DEFAULT のみです。 |
| ErrorType | 値:
|
| ExceptionName |
値:
|
XksExternalKeyManagerStates
以下の各ヘルス状態 (Active、Degraded、Unavailable) における外部キーマネージャーインスタンス数のカウントです。このメトリクスの情報は、各外部キーストアに関連付けられた外部キーストアプロキシから取得されます。このメトリクスは、外部キーストアにのみ適用されます。
以下は、外部キーストアに関連付けられた外部キーマネージャーインスタンスのヘルス状態です。各外部キーストアプロキシは、外部キーマネージャーのヘルス状態を測定するために、異なるインジケータを使用する場合があります。詳細については、外部キーストアプロキシのドキュメントを参照してください。
-
Active: 外部キーマネージャーは正常です。 -
Degraded: 外部キーマネージャーに異常がありますが、トラフィックは処理できます。 -
Unavailable: 外部キーマネージャーはトラフィックを処理できません。
このメトリクスを使用して、外部キーマネージャーインスタンスのパフォーマンスが低下し、使用できなくなった場合に警告する CloudWatch アラームを作成します。各状態の外部キーマネージャーインスタンスを判断するには、外部キーストアプロキシログを参照してください。
ディメンショングループ名: [XKS External Key Manager Metrics] (XKS 外部キーマネージャーメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| XksExternalKeyManagerState | 各ヘルス状態の値です。 |
XksProxyLatency
外部キーストアプロキシが AWS KMS リクエストに応答するまでにかかるミリ秒数です。リクエストがタイムアウトした場合、記録される値は 250 ミリ秒のタイムアウト制限です。このメトリクスは、外部キーストアにのみ適用されます。
このメトリクスを使用して、外部キーストアプロキシと外部キーマネージャーのパフォーマンスを評価します。プロキシが暗号化オペレーションと復号オペレーションで頻繁にタイムアウトする場合は、外部プロキシ管理者に相談してください。
応答が遅い場合は、外部キーマネージャーが現在のリクエストトラフィックを処理できていない可能性もあります。AWS KMS では、外部キーマネージャーが 1 秒あたり最大 1,800 件の暗号化オペレーションリクエストを処理できることを推奨しています。外部キーマネージャーが 1 秒あたり 1,800 件のリクエストを処理できない場合は、カスタムキーストアの KMS キーリクエストクォータの引き下げをリクエストすることを検討してください。外部キーストアの KMS キーを使用した暗号化オペレーションのリクエストは、外部キーストアプロキシまたは外部キーマネージャーによって処理され、後で拒否されるのではなく、スロットリング例外でフェイルファストします。
ディメンショングループ名: [XKS Proxy Latency Metrics] (XKS プロキシレイテンシーメトリクス)
| ディメンション | 説明 |
|---|---|
| CustomKeyStoreId | 各外部キーストアの値です。 |
| KmsOperation | XKS プロキシへのリクエストを生成した各 AWS KMS API オペレーションの値です。 |
| XksOperation | 各外部キーストアプロキシ API オペレーションの値です。 |
| KeySpec | KMS キーの各タイプの値です。外部キーストアの KMS キーでサポートされているキースペックは SYMMETRIC_DEFAULT のみです。 |
AWS KMS メトリクスの表示
AWS Management Console および Amazon CloudWatch API を使用してAWS KMSメトリクスを表示できます。
CloudWatch コンソールを使用してメトリクスを表示するには
https://console.aws.amazon.com/cloudwatch/
で CloudWatch コンソールを開きます。 -
必要に応じてリージョンを変更します。ナビゲーションバーから、AWS リソースがあるリージョンを選択します。
-
ナビゲーションペインで、[Metrics]、[All metrics] を選択します。
-
[ブラウズ] タブで「
KMS」を検索し、[KMS] を選択します。 -
表示するメトリクスのディメンショングループ名を選択します。
例えば、
SecondsUntilKeyMaterialExpirationメトリクスには [Per-Key Metrics] (キーごとのメトリクス) を選択します。 -
メトリクス値のグラフを作成するには、メトリクス名を選択し、
Add to graphを選択します。折れ線グラフを値に変換するには、[ライン] を選択し、次に [数値] を選択します。
Amazon CloudWatch API を使用してメトリクスを表示するには
CloudWatch API を使用してAWS KMSメトリクスを表示するには、 を Namespaceに設定して ListMetricsリクエストを送信しますAWS/KMS。次の例では、AWS Command Line Interface (AWS CLI)
$aws cloudwatch list-metrics --namespace AWS/KMS{ "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] }, { "Namespace": "AWS/KMS", "MetricName": "ExtenalKeyStoreThrottle", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Encrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCertificateDaysToExpire", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "CertificateName", "Value": "myproxy.xks.example.com" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyCredentialAge", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyErrors", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" }, { "Name": "ErrorType", "Value": "Retryable errors" }, { "Name": "ExceptionName", "Value": "KMSInvalidStateException" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyHsmStates", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "XksProxyHsmState", "Value": "Active" } ] }, { "Namespace": "AWS/KMS", "MetricName": "XksProxyLatency", "Dimensions": [ { "Name": "CustomKeyStoreId", "Value": "cks-1234567890abcdef0" }, { "Name": "KmsOperation", "Value": "Decrypt" }, { "Name": "XksOperation", "Value": "Decrypt" }, { "Name": "KeySpec", "Value": "SYMMETRIC_DEFAULT" } ] } ] }
KMS キーをモニタリングする CloudWatch アラームの作成
AWS KMS メトリクスに基づいて Amazon CloudWatch アラームを作成できます。メトリクス値がアラーム設定で指定されたしきい値を超えると、アラームは E メールメッセージを送信します。アラームは、Amazon Simple Notification Service (Amazon SNS) のトピックまたは Amazon EC2 Auto Scaling のポリシーに E メールメッセージを送信できます。 CloudWatch アラームの詳細については、「Amazon ユーザーガイド」の「Amazon CloudWatch アラームの使用 CloudWatch 」を参照してください。
インポートされたキーマテリアルの期限切れに関するアラームの作成
SecondsUntilKeyMaterialExpiration メトリクスを使用して、KMS キーにインポートされたキーマテリアルの有効期限が近づいたときに通知する CloudWatch アラームを作成できます。
キーマテリアルを KMS キーにインポートすると、キーマテリアルの有効期限の日時を任意で指定することができます。キーマテリアルが有効期限切れになると、AWS KMS はキーマテリアルを削除し、KMS キーは使用不可能になります。KMS キーを再度使用するには、キーマテリアルを再インポートする必要があります。
手順については、「インポートされたキーマテリアルの有効期限切れの CloudWatch アラームの作成」を参照してください。
削除保留中の KMS キーの使用状況に関するアラームを作成する
KMS キーのキー削除をスケジュールすると、AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間を設定することで、KMS キーが不要であり、今後も使用しないことを確認できます。また、待機期間中に暗号化オペレーションでユーザーまたはアプリケーションが KMS キーを使用しようとした場合に警告するようにアラームを設定 CloudWatchすることもできます。このようなアラームから通知を受け取った場合は、KMS キーの削除をキャンセルする必要がある可能性があります。
手順については、「削除保留中の KMS キーの使用を検出するアラームの作成」を参照してください。
外部キーストアをモニタリングするためのアラームを作成する
外部キーストアと外部キーストアの KMS キーのメトリクスに基づいて CloudWatch アラームを作成できます。
例えば、外部キーストアの TLS 証明書の有効期限が近づいたとき (XksProxyCertificateDaysToExpire)、 のとき、および外部キーストアプロキシが外部キーマネージャーインスタンスの状態が低下または使用不可であると報告したとき () に通知する CloudWatch アラームを設定することをお勧めしますXksProxyHsmStates。
手順については、「外部キーストアのモニタリング」を参照してください。
