AWS KMS keys のモニタリング

モニタリングは、AWS KMS の AWS KMS keys の可用性、ステータス、使用状況を理解し、AWS ソリューションの信頼性、可用性、パフォーマンスを維持するうえで重要な要素です。AWS ソリューションのすべてのパートからモニタリングデータを収集すると、マルチポイント障害が発生した場合にそれをデバッグするのに役立ちます。ただし、KMS キーのモニタリングをスタートする前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。

• どのような目的でモニタリングしますか?

• どのリソースをモニタリングしますか?

• どのくらいの頻度でこれらのリソースをモニタリングしますか?

• 使用するモニタリングツールは ?

• 誰がモニタリングタスクを実行しますか?

• 問題が発生したときに誰が通知を受け取りますか ?

次のステップでは、KMS キーを経時的にモニタリングして、環境内での通常の AWS KMS の使用および想定のベースラインを確立します。KMS キーをモニタリングする際に、過去のモニタリングデータを保存し、現在のデータと比較することで、通常パターンと異常パターンを識別して、問題に対処する方法を考案できるようにします。

例えば、KMS キーに影響を与える AWS KMS API アクティビティとイベントをモニタリングできます。データが、確立基準を上回ったり、下回ったりする場合、修正作業を調査、または実行する必要が生じる場合があります。

通常のパターンのベースラインを確立するには、次の項目をモニタリングします。

• データプレーンオペレーション用の AWS KMS API アクティビティ。これは、KMS キーを使用する暗号化オペレーション (Decrypt、Encrypt、ReEncrypt、GenerateDataKey など) です。

• 重要なコントロールプレーンオペレーションのための AWS KMS API アクティビティ。これらのオペレーションはKMS キーを管理し、KMS キーの可用性を変更するオペレーション (ScheduleKeyDeletion、CancelKeyDeletion、DisableKey、EnableKey、ImportKeyMaterial、DeleteImportedKeyMaterial など) をモニタリングします。または、KMS キーのアクセスコントロール (PutKeyPolicy および RevokeGrant など) を変更します。

• 他の AWS KMS メトリクス (インポートされたキーマテリアルが有効期限切れになるまでの残り時間など) およびイベント (インポートされたキーマテリアルの有効期限切れ、または KMS キーの削除やキーのローテーションなど)。

モニタリングツール

AWS は、KMS キーのモニタリングに使用できる各種のツールを提供します。これらのツールの中には、自動モニタリングを設定できるものもあれば、手オペレーションを必要とするものもあります。モニタリングタスクをできるだけ自動化することをお勧めします。

自動モニタリングツール

次の自動化されたモニタリングツールを使用して KMS キーを監視し、変更が生じたときに報告させることができます。

• AWS CloudTrail ログモニタリング — アカウント間でログファイルを共有し、CloudTrail ログファイルを CloudWatch Logs に送信してリアルタイムでモニタリングし、CloudTrail 処理ライブラリを使用してログ処理アプリケーションに書き込みをし、CloudTrail による配信後にログファイルが変更されていないことを検証します。詳細については、AWS CloudTrail ユーザーガイドの「CloudTrail ログファイルのオペレーション」を参照してください。

• Amazon CloudWatch アラーム - 指定した期間にわたって単一のメトリクスをモニタリングし、複数の期間にわたる特定のしきい値に対するメトリクスの値に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon Simple Notification Service (Amazon SNS) のトピックまたは Amazon EC2 Auto Scaling のポリシーに送信される通知です。CloudWatch アラームは、特定の状態にあるという理由だけでアクションを呼び出すことはありません。状態が変更され、指定された期間維持されている必要があります。詳細については、「Amazon CloudWatch で KMS キーをモニタリングする」を参照してください。

• Amazon EventBridge — イベントを照合し、1 つ以上のターゲット関数またはストリームにルーティングして、状態情報をキャプチャし、必要に応じて変更または修正措置を講じます。詳細については、Amazon EventBridge を使用した KMS キーのモニタリング および「Amazon EventBridge ユーザーガイド」を参照してください。

• Amazon CloudWatch Logs – AWS CloudTrail またはその他のソースのログファイルをモニタリングして保存し、それらにアクセスします。詳細については、『Amazon CloudWatch Logs ユーザーガイド』を参照してください。

手動モニタリングツール

KMS キーのモニタリングにおいてもう 1 つの重要な部分は、CloudWatch アラームおよびイベントでカバーされない項目を手動でモニタリングすることです。AWS KMS、CloudWatch、AWS Trusted Advisor、AWS ダッシュボードには、AWS 環境の状態が一目でわかるビューが表示されます。

[AWS マネージドキー] および AWS KMS コンソールの [Customer managed keys] (カスタマーマネージドキー) ページをカスタマイズして、各 KMS キーに関する次の情報を表示できます。

• キー ID

• ステータス

• 作成日

• 有効期限 (インポートされたキーマテリアルを持つ KMS キーの場合)

• オリジン

• カスタムキーストア ID (カスタムキーストアのKMS キーの場合)

CloudWatch コンソールのダッシュボード には、以下が表示されます。

• 現在のアラームとステータス

• アラームとリソースのグラフ

• サービスのヘルスステータス

また、CloudWatch を使用して以下のことを行えます。

• 重視するサービスをモニタリングするためのカスタマイズしたダッシュボードを作成します

• メトリクスデータをグラフ化して、問題のトラブルシューティングを行い、傾向を確認する

• AWS リソースのすべてのメトリクスを検索して、参照する

• 問題があることを通知するアラームを作成/編集する

AWS Trusted Advisor は、AWS リソースのパフォーマンス、信頼性、セキュリティ、費用効率を向上するためのモニタリングに役立ちます。すべてのユーザーは、4 つの Trusted Advisor; チェックを利用できます。ビジネスまたはエンタープライズサポートプランのユーザーは、50 以上のチェックを利用できます。詳細については、「AWS Trusted Advisor」を参照してください。