Amazon CloudWatch によるモニタリング - AWS Key Management Service

Amazon CloudWatch によるモニタリング

Amazon CloudWatch を使用して AWS KMS keys をモニタリングできます。これは、AWS KMS から raw データを収集し、リアルタイムに近い読み取り可能なメトリクスに加工する AWS サービスです。これらのデータは、履歴情報にアクセスして、時間の経過に伴う KMS キーの使用や変更に関する理解を深められるように 2 週間記録されます。

Amazon CloudWatch を使用すると、次に示すような重要なイベントのアラートを受け取ることができます。

  • KMS キーにインポートされたキーマテリアルの有効期限が近づいています。

  • 削除保留中の KMS キーがまだ使用されています。

  • KMS キーのキーマテリアルが自動的にローテーションされました。

  • KMS キーが削除されました。

リクエストレートがクォータ値の一定の割合に達したときに警告する Amazon CloudWatch アラームを作成することもできます。詳細については、AWS Security Blog の「Manage your AWS KMS API request rates using Service Quotas and Amazon CloudWatch」を参照してください。

AWS KMS のメトリクスとディメンション

キーマテリアルを KMS キーにインポートして、有効期限が切れるように設定すると、AWS KMS はメトリクスとディメンションを CloudWatch に送信します。AWS Management Console と Amazon CloudWatch API を使用して、AWS KMS メトリクスを表示できます。

AWS KMS メトリクス

AWS/KMS 名前空間には、次のメトリクスが含まれます。

SecondsUntilKeyMaterialExpiration

このメトリクスは KMS でインポートしたキーマテリアルの有効期限までの残りの秒数を追跡します。このメトリクスは、発行元が EXTERNAL であり、有効期限がある KMS キーにのみ有効です。

このメトリクスを使用して、インポートしたキーマテリアルの有効期限までの残り時間を追跡します。その時間が定義したしきい値を下回った場合は、新しい有効期限を使用してキーマテリアルを再インポートするなどのアクションを実行できます。CloudWatch アラームを作成して、有効期限が近づいたら通知を受け取ることができます。

この SecondsUntilKeyMaterialExpiration メトリクスは KMS キーに固有です。このメトリクスを使用して、複数の KMS キーや将来作成する可能性のある KMS キーを監視することはできません。

このメトリクスで最も有用な統計は Minimum で、指定された統計期間のすべてのデータポイントの最小残り時間を示します。このメトリクスの唯一の有効な単位は Seconds です。

AWS KMS メトリクスのディメンション

AWS KMS メトリクスでは AWS/KMS の名前空間を使用し、有効なディメンション: KeyId は 1 つだけです。このディメンションを使用して、特定の KMS キーまたは KMS キーセットのメトリクスデータを表示できます。

AWS KMS メトリクスの表示方法

AWS Management Console と Amazon CloudWatch API を使用して、AWS KMS メトリクスを表示できます。

CloudWatch コンソールを使用してメトリクスを表示するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. 必要に応じてリージョンを変更します。ナビゲーションバーから、AWS リソースがあるリージョンを選択します。

  3. ナビゲーションペインで、[Metrics]、[All metrics] を選択します。

  4. [ブラウズ] タブで「KMS」を検索し、[KMS] を選択します。

  5. [キーごとのメトリクス] を選択すると、影響を受ける各 KMS キーのメトリクスとディメンションが表示されます。

    該当する KMS キーのみが画面に表示されます。例えば、この SecondsUntilKeyMaterialExpiration メトリクススの場合、リストには、インポートされたキーマテリアルの有効期限が切れた KMS キーのみが含まれます。

  6. メトリクス値のグラフを作成するには、メトリクス名を選択し、Add to graph を選択します。折れ線グラフを値に変換するには、[ライン] を選択し、次に [数値] を選択します。

Amazon CloudWatch API を使用してメトリックスを表示するには

CloudWatch API を使用して AWS KMS メトリクスを表示するには、AWS/KMS にセットされた Namespace を持つ ListMetrics リクエストを送信します。次の例では、AWS Command Line Interface (AWS CLI) を使用してこのオペレーションを行う方法を示します。

$ aws cloudwatch list-metrics --namespace AWS/KMS { "Metrics": [ { "Namespace": "AWS/KMS", "MetricName": "SecondsUntilKeyMaterialExpiration", "Dimensions": [ { "Name": "KeyId", "Value": "1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ] }

KMS キーをモニタリングする CloudWatch アラームの作成

AWS KMS メトリクススに基づいて Amazon CloudWatch アラームを作成できます。メトリクス値がアラーム設定で指定されたしきい値を超えると、アラームは E メールメッセージを送信します。アラームは、Amazon Simple Notification Service (Amazon SNS) のトピックまたは Amazon EC2 Auto Scaling のポリシーに E メールメッセージを送信できます。CloudWatch アラームの詳細については、Amazon CloudWatch ユーザーガイドの「Amazon CloudWatch アラームの使用」を参照してください。

インポートされたキーマテリアルの期限切れに関するアラームの作成

SecondsUntilKeyMaterialExpiration メトリクススを使用して、KMS キーにインポートされたキーマテリアルの有効期限が近づいたときに通知する CloudWatch アラームを作成できます。

キーマテリアルを KMS キーにインポートすると、キーマテリアルの有効期限の日時を任意で指定することができます。キーマテリアルが有効期限切れになると、AWS KMS はキーマテリアルを削除し、KMS キーは使用不可能になります。KMS キーを再度使用するには、キーマテリアルを再インポートする必要があります。

手順については、インポートされたキーマテリアルの有効期限を確認する CloudWatch アラームを作成する を参照してください。

削除保留中の KMS キーの使用状況に関するアラームを作成する

KMS キーのキー削除をスケジュールすると、AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間を設定することで、KMS キーが不要であり、今後も使用しないことを確認できます。また、待機期間中に暗号化操作でユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するよう、CloudWatch アラームを設定することもできます。このようなアラームから通知を受け取った場合は、KMS キーの削除をキャンセルする必要がある可能性があります。

手順については、削除保留中の KMS キーの使用を検出するアラームの作成 を参照してください。