AWS KMS keys のモニタリング

モニタリングは、AWS KMS の AWS KMS keys の可用性、ステータス、使用状況を理解し、AWS ソリューションの信頼性、可用性、パフォーマンスを維持するうえで重要な要素です。AWS ソリューションのすべてのパートからモニタリングデータを収集すると、マルチポイント障害が発生した場合にそれをデバッグするのに役立ちます。ただし、KMS キーのモニタリングをスタートする前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。

• モニタリングの目的は何ですか?

• どのリソースをモニタリングしますか?

• どのくらいの頻度でこれらのリソースをモニタリングしますか?

• 使用するモニタリングツールは ?

• 誰がモニタリングタスクを実行しますか?

• 問題が発生したときに誰が通知を受け取りますか ?

次のステップでは、KMS キーを経時的にモニタリングして、環境内での通常の AWS KMS の使用および想定のベースラインを確立します。KMS キーをモニタリングする際に、過去のモニタリングデータを保存し、現在のデータと比較することで、通常パターンと異常パターンを識別して、問題に対処する方法を考案できるようにします。

例えば、KMS キーに影響を与える AWS KMS API アクティビティとイベントをモニタリングできます。データが、確立基準を上回ったり、下回ったりする場合、修正作業を調査、または実行する必要が生じる場合があります。

通常のパターンのベースラインを確立するには、次の項目をモニタリングします。

• データプレーンオペレーション用の AWS KMS API アクティビティ。これらは、Decrypt 、Encrypt 、、 ReEncryptなどの KMS キーを使用する暗号化オペレーションですGenerateDataKey。

• 重要なコントロールプレーンオペレーションのための AWS KMS API アクティビティ。これらのオペレーションは KMS キーを管理し、KMS キーの可用性 (ScheduleKeyDeletion、、CancelKeyDeletion、DisableKey、 などDeleteImportedKeyMaterial) を変更したりImportKeyMaterial、KMS キーのアクセスコントロール ( PutKeyPolicyや EnableKeyなど) を変更したりするオペレーションをモニタリングできますRevokeGrant。

• 他の AWS KMS メトリクス (インポートされたキーマテリアルが有効期限切れになるまでの残り時間など) およびイベント (インポートされたキーマテリアルの有効期限切れ、または KMS キーの削除やキーのローテーションなど)。

モニタリングツール

AWS は、KMS キーのモニタリングに使用できる各種のツールを提供します。これらのツールの中には、自動モニタリングを設定できるものもあれば、手オペレーションを必要とするものもあります。モニタリングタスクをできるだけ自動化することをお勧めします。

自動モニタリングツール

次の自動化されたモニタリングツールを使用して KMS キーを監視し、変更が生じたときに報告させることができます。

• AWS CloudTrail ログのモニタリング – アカウント間でログファイルを共有し、 CloudTrail ログを CloudWatch ログに送信してリアルタイムでモニタリングし、CloudTrail Processing Library を使用してログ処理アプリケーションを書き込み、 による配信後にログファイルが変更されていないことを確認します CloudTrail。詳細については、「 ユーザーガイド」の CloudTrail 「ログファイルの操作AWS CloudTrail」を参照してください。

• Amazon CloudWatch アラーム – 指定した期間にわたって単一のメトリクスを監視し、複数の期間にわたる特定のしきい値に対するメトリクスの値に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon Simple Notification Service (Amazon SNS) トピックまたは Amazon EC2 Auto Scaling ポリシーに送信される通知です。 CloudWatch alarms は、単に特定の状態にあるというだけではアクションを呼び出しません。状態が変わり、指定された期間にわたって持続している必要があります。詳細については、「Amazon によるモニタリング CloudWatch」を参照してください。

• Amazon EventBridge - イベントをマッチングし、1 つ以上のターゲット関数またはストリームにルーティングして、状態情報をキャプチャし、必要に応じて変更を加えるか、修正作業を行います。詳細については、Amazon によるモニタリング EventBridge「」および「Amazon ユーザーガイド EventBridge 」を参照してください。

• Amazon CloudWatch Logs – AWS CloudTrailまたはその他のソースからのログファイルをモニタリング、保存、およびアクセスします。詳細については、「Amazon CloudWatch Logs ユーザーガイド」を参照してください。

手動モニタリングツール

KMS キーのモニタリングでもう 1 つ重要な点は、 CloudWatch アラームやイベントでカバーされていない項目を手動でモニタリングすることです。AWS KMS、AWS Trusted Advisor、 CloudWatch、およびその他の AWS ダッシュボードには、AWS環境の状態 at-a-glance が表示されます。

[AWS マネージドキー] および AWS KMS コンソールの [Customer managed keys] (カスタマーマネージドキー) ページをカスタマイズして、各 KMS キーに関する次の情報を表示できます。

• キー ID

• ステータス

• 作成日

• 有効期限 (インポートされたキーマテリアルを持つ KMS キーの場合)

• オリジン

• カスタムキーストア ID (カスタムキーストアのKMS キーの場合)

CloudWatch コンソールダッシュボードは、以下を示します。

• 現在のアラームとステータス

• アラームとリソースのグラフ

• サービスのヘルスステータス

さらに、 CloudWatch を使用して次の操作を実行できます。

• 重視するサービスをモニタリングするためのカスタマイズしたダッシュボードを作成します

• メトリクスデータをグラフ化して、問題のトラブルシューティングを行い、傾向を確認する

• AWS リソースのすべてのメトリクスを検索して、参照する

• 問題があることを通知するアラームを作成/編集する

AWS Trusted Advisor は、AWS リソースのパフォーマンス、信頼性、セキュリティ、費用効率を向上するためのモニタリングに役立ちます。すべてのユーザーは、4 つの Trusted Advisor; チェックを利用できます。ビジネスまたはエンタープライズサポートプランのユーザーは、50 以上のチェックを利用できます。詳細については、「AWS Trusted Advisor」を参照してください。