カスタマーマスターキー のモニタリング - AWS Key Management Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

カスタマーマスターキー のモニタリング

モニタリングは、AWS KMS の カスタマーマスターキー (CMKs) の可用性、状態と使用状況を理解し、AWS ソリューションの信頼性、可用性、およびパフォーマンスを維持するうえで重要な要素です。AWS ソリューションのすべてのパートからモニタリングデータを収集すると、マルチポイント障害が発生した場合にそれをデバッグするのに役立ちます。ただし、CMKs のモニタリングを開始する前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。

  • どのような目的でモニタリングしますか?

  • モニタリングの対象となるリソースとは ?

  • どのくらいの頻度でこれらのリソースをモニタリングしますか?

  • 使用するモニタリングツールは ?

  • 誰がモニタリングタスクを実行しますか?

  • 問題が発生したときに誰が通知を受け取りますか ?

次のステップでは、CMKs を継時的にモニタリングして、環境内での通常の AWS KMS 使用および想定のベースラインを確立します。CMKs をモニタリングするとき、過去のモニタリングデータを保存し、現在のデータと比較することで、通常パターンと異常パターンを識別して、問題に対処する方法を考案できるようにします。

たとえば、CMKs に影響を与える AWS KMS API アクティビティとイベントをモニタリングできます。データが、確立基準を上回ったり、下回ったりする場合、修正作業を調査、または実行する必要が生じる場合があります。

通常のパターンのベースラインを確立するには、次の項目をモニタリングします。

モニタリングツール

AWS では、CMKs のモニタリングに使用できるさまざまなツールを提供しています。これらのツールの中には、自動モニタリングを設定できるものもあれば、手操作を必要とするものもあります。モニタリングタスクをできるだけ自動化することをお勧めします。

自動モニタリングツール

次の自動化されたモニタリングツールを使用すると、CMKs の監視が行われ、変更が生じたときに報告されます。

  • AWS CloudTrail ログモニタリング​ – アカウント間でログファイルを共有し、CloudWatch Logs に送信してリアルタイムで CloudTrail ログファイルを監視します。CloudTrail Processing Library を使用してログ処理アプリケーションを作成し、CloudTrail による配信後にログファイルが変更されていないことを検証します。詳細については、AWS CloudTrail User Guide の「CloudTrail ログファイルの操作」を参照してください。

  • Amazon CloudWatch Alarms – Watch a single metric over a time period that you specify, and perform one or more actions based on the value of the metric relative to a given threshold over a number of time periods. The action is a notification sent to an Amazon Simple Notification Service (Amazon SNS) topic or Amazon EC2 Auto Scaling policy. CloudWatch alarms do not invoke actions simply because they are in a particular state; the state must have changed and been maintained for a specified number of periods. For more information, see Amazon CloudWatch によるモニタリング.

  • Amazon CloudWatch Events– イベントに一致して、1 つ以上のターゲット関数またはストリームに振り分け、状態情報を取得します。必要に応じて変更を加えるか、修正作業を行います。詳細については、『AWS KMS のイベントAmazon CloudWatch Events ユーザーガイド』を参照してください。

  • Amazon CloudWatch Logs – AWS CloudTrail、またはその他のソースのログファイルの監視、保存、アクセスができます。詳細については、『Amazon CloudWatch Logs ユーザーガイド』を参照してください。

手動モニタリングツール

CMKs のモニタリングにおけるもう 1 つの重要な部分は、CloudWatch アラームおよびイベントで網羅されていない項目を手動でモニタリングすることです。AWS KMS、CloudWatch、AWS Trusted Advisor などの AWS ダッシュボードには、AWS 環境の状態が一目でわかるビューが表示されます。

AWS KMS コンソールの [AWS 管理型のキー] ページと [カスタマー管理型のキー] ページをカスタマイズして、各 CMK に関する以下の情報を表示できます。

CloudWatch コンソールダッシュボードは、以下を示します。

  • 現在のアラームとステータス

  • アラームとリソースのグラフ

  • サービス状態ステータス

さらに、CloudWatch を使用して次のことが行えます。

  • 重視するサービスをモニタリングするためのカスタマイズしたダッシュボードを作成する

  • メトリクスデータをグラフ化して、問題のトラブルシューティングを行い、傾向を確認する

  • AWS リソースのすべてのメトリクスを検索して、参照する

  • 問題があることを通知するアラームを作成/編集する

AWS Trusted Advisor は、AWS リソースのパフォーマンス、信頼性、セキュリティ、費用効率を向上するためのモニタリングに役立ちます。すべてのユーザーは、4 つの Trusted Advisor; チェックを利用できます。ビジネスまたはエンタープライズサポートプランのユーザーは、50 以上のチェックを利用できます。詳細については、「AWS Trusted Advisor」を参照してください。