AWS Key Management Service
開発者ガイド

カスタマーマスターキーをモニタリングする

モニタリングは、AWS KMS のカスタマーマスターキー (CMK) の可用性、状態と使用状況を理解し、AWS ソリューションの信頼性、可用性、およびパフォーマンスを維持するうえで重要な要素です。AWS ソリューションのすべてのパートからモニタリングデータを収集すると、マルチポイント障害が発生した場合にそれをデバッグするのに役立ちます。ただし、CMK のモニタリングを開始する前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。

  • どのような目的でモニタリングしますか?

  • モニタリングの対象となるリソースとは ?

  • どのくらいの頻度でこれらのリソースをモニタリングしますか?

  • 使用するモニタリングツールは ?

  • 誰がモニタリングタスクを実行しますか?

  • 問題が発生したときに誰が通知を受け取りますか ?

次のステップでは、CMK を継時的にモニタリングして、環境内での通常の AWS KMS 使用および想定のベースラインを確立します。CMK をモニタリングするとき、過去のモニタリングデータを保存し、現在のデータと比較することで、通常パターンと異常パターンを識別して、問題に対処する方法を考案できるようにします。

たとえば、CMK に影響を与える AWS KMS API アクティビティとイベントをモニタリングできます。データが、確立基準を上回ったり、下回ったりする場合、修正作業を調査、または実行する必要が生じる場合があります。

通常のパターンのベースラインを確立するには、次の項目をモニタリングします。

  • データプレーンオペレーションの AWS KMS API アクティビティ。これらは、DecryptEncryptReEncryptGenerateDataKey のような、CMK を使用する暗号化オペレーションです。

  • お客様にとって重要なコントロールプレーン操作のための AWS KMS API のアクティビティ。上記のオペレーションは、CMK を管理します。CMK のアベイラビリティーを変更させる可能性のあるオペレーション (ScheduleKeyDeletionCancelKeyDeletionDisableKeyEnableKeyImportKeyMaterialDeleteImportedKeyMaterial など) をモニタリング、または、CMK のアクセスコントロール (PutKeyPolicy および RevokeGrant など) を変更することができます。

  • 他の AWS KMS メトリクス (インポートされたキーマテリアルが有効期限切れになるまでの残り時間など) およびイベント (キーマテリアルの有効期限切れ、または CMK のキーの更新など)。

モニタリングツール

AWS では、CMK のモニタリングに使用できるさまざまなツールを提供しています。これらのツールの中には、自動モニタリングを設定できるものもあれば、手操作を必要とするものもあります。モニタリングタスクをできるだけ自動化することをお勧めします。

自動モニタリングツール

次の自動化されたモニタリングツールを使用すると、CMK の監視が行われ、変更が生じたときに報告されます。

  • [Amazon CloudWatch Alarms] – 指定された期間にわたって単一のメトリクスを監視し、複数の期間にわたり既定のしきい値に関連するメトリクス値に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon Simple Notification Service (Amazon SNS) トピックまたは Amazon EC2 Auto Scaling ポリシーに送信される通知です。CloudWatch アラームはそれが特定の状態にあるという理由だけではアクションを呼び出しません。アクションを呼び出すには、状態が変更され、その状態が特定の期間にわたって維持されている必要があります。詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。

  • Amazon CloudWatch Events– イベントに一致して、1 つ以上のターゲット関数またはストリームに振り分け、状態情報を取得します。必要に応じて変更を加えるか、修正作業を行います。詳細については、『AWS KMS イベントAmazon CloudWatch Events ユーザーガイド』を参照してください。

  • Amazon CloudWatch Logs – AWS CloudTrail、またはその他のソースのログファイルの監視、保存、アクセスができます。詳細については、『Amazon CloudWatch Logs ユーザーガイド』を参照してください。

  • AWS CloudTrail ログモニタリング​ – アカウント間でログファイルを共有し、CloudWatch Logs に送信してリアルタイムで CloudTrail ログファイルを監視します。CloudTrail Processing Library を使用してログ処理アプリケーションを作成し、CloudTrail による配信後にログファイルが変更されていないことを検証します。詳細については、AWS CloudTrail User Guide の「CloudTrail ログファイルの操作」を参照してください。

手動モニタリングツール

CMK のモニタリングにおけるもう 1 つの重要な部分は、CloudWatch アラームおよびイベントで網羅されていない項目を手動でモニタリングすることです。AWS KMS、CloudWatch、AWS Trusted Advisor などの AWS ダッシュボードには、AWS 環境の状態が一目でわかるビューが表示されます。

AWS KMS コンソールの [AWS Managed Keys (AWS 管理型のキー)] ページと [Customer Managed Keys (カスタマー管理型のキー)] ページをカスタマイズして、各 CMK に関する以下の情報を表示できます。

CloudWatch コンソールダッシュボードは、以下を示します。

  • 現在のアラームとステータス

  • アラームとリソースのグラフ

  • サービス状態ステータス

さらに、CloudWatch を使用して次のことが行えます。

  • 重視するサービスをモニタリングするためのカスタマイズしたダッシュボードを作成する

  • メトリクスデータをグラフ化して、問題のトラブルシューティングを行い、傾向を確認する

  • AWS リソースのすべてのメトリクスを検索して、参照する

  • 問題があることを通知するアラームを作成/編集する

AWS Trusted Advisor は、AWS リソースのパフォーマンス、信頼性、セキュリティ、費用効率を向上するためのモニタリングに役立ちます。すべてのユーザーは、4 つの Trusted Advisor; チェックを利用できます。ビジネスまたはエンタープライズサポートプランのユーザーは、50 以上のチェックを利用できます。詳細については、「AWS Trusted Advisor」を参照してください。

このページの内容: