Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »
予定されている AWS KMS キーの削除を監視して修正する - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピック関連リソース追加情報添付ファイル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

予定されている AWS KMS キーの削除を監視して修正する

PDF

ミケシュ・カナル (AWS) とラムヤ・プリパカ (AWS) によって作成された

概要

Amazon Web Services (AWS) クラウドでは、AWS キー管理サービス (AWS KMS) キーを削除するとデータが失われる可能性があります。削除することで、キーマテリアルとAWS KMS キーに関連付けられているすべてのメタデータを削除し、元に戻すことはできません。AWS KMS キーを削除すると、その AWS KMS キーで暗号化されたデータを復号できなくなります。これは、そのデータを回復することがきなくなります。

このパターンは、アプリケーションまたはユーザーが AWS KMS キーの削除をスケジュールしたときに通知するモニタリングを設定します。この通知を受け取った場合は、AWS KMS キーの削除をキャンセルして、削除する決定を検討し直す必要があります。このパターンでは、AWS Systems Manager Automationランブック「AWSConfigRemediation-CancelKeyDeletion」 を使用して、AWS KMS キーの削除を簡単にキャンセルできます。

注記

パターンの CloudFormation テンプレートは、AWS KMS キーの削除をモニタリングするすべての AWS リージョンにデプロイする必要があります。

前提条件と制限

前提条件

  • アクティブな AWS アカウント。

  • 以下の AWS サービスの理解 

    • Amazon EventBridge

    • AWS KMS

    • Amazon Simple Notification Service (Amazon SNS)

    • AWS Systems Manager

機能制限

  • ソリューションをカスタマイズするには、AWS CloudFormation テンプレートと、このパターンで使用される AWS サービスに関する知識が必要です。

  • 現在、このソリューションはデフォルトのイベントバスを使用しており、要件に応じてカスタマイズできます。カスタムイベントバスの詳細については、「AWS ドキュメント」を参照してください。

アーキテクチャ

ターゲットテクノロジースタック

  • Amazon EventBridge

  • AWS KMS

  • Amazon SNS

  • AWS Systems Manager

  • 以下を使用した自動化

    • AWS コマンドラインインターフェイス (AWS CLI)または AWS SDK

    • AWS CloudFormation スタック

ターゲットアーキテクチャ

監視、警告、修復プロセスの5つのステップのダイアグラム。

  1. AWS KMS キーの削除が予定されています。

  2. 予定削除イベントは、EventBridge ルールによって評価されます。

  3. EventBridge ルールは Amazon SNS トピックに関係します。

  4. EventBridge ルールは、Systems Manager の自動化とランブックを開始します。

  5. Runbook は削除がキャンセルされます。

自動化とスケール

CloudFormation スタックは、このソリューションが機能するために必要なすべてのリソースとサービスをデプロイします。このパターンは、単一のアカウントで個別に実行することも、複数の独立したアカウントまたは組織に対して AWS CloudFormation StackSets を使用して実行することもできます。

aws cloudformation create-stack --stack-name  <stack-name>\
    --template-body file://<Full-Path-of-file> \
    --parameters ParameterKey=,ParameterValue= \
    --capabilities CAPABILITY_NAMED_IAM

ツール

ツール

  • AWS CloudFormation – AWS CloudFormation は、Amazon Web Servicesリソースのモデル化とセットアップを支援するサービスであるため、これらのリソースの管理に費やす時間を減らし、AWS で実行されるアプリケーションに集中する時間を増やすことができます。CloudFormation テンプレートを使用して、AWS リージョンの AWS アカウントにスタックを作成できます。必要なすべての AWS リソースを説明するテンプレートが、CloudFormation がお客様に代わってこれらのリソースのプロビジョニングや設定を処理します。

  • AWS CLI – AWS コマンドラインインターフェイス (AWS CLI)はオープンソースのツールであり、コマンドラインシェルのコマンドを使ってAWSサービスと対話することができます。

  • Amazon EventBridge— Amazon EventBridgeは、アプリケーションをさまざまなソースからのデータに接続するために使用できるサーバーレスのイベントバスサービスです。EventBridge は、お客様独自のアプリケーション、AWS のサービスからリアルタイムデータのストリームを配信し、そのデータを AWS Lambda などのターゲットにルーティングします。EventBridge は、イベント駆動型アーキテクチャを構築するプロセスを簡素化します。

  • AWS KMS — AWS Key Management Service(AWS KMS)は、AWS KMS キー(データの暗号化に使用される暗号化キー)の作成と管理を容易にするマネージドサービスです。

  • AWS SDK — AWS ツールには SDK が含まれているため、選択したプログラミング言語で AWS 上のアプリケーションを開発および管理できます。

  • Amazon SNS – Amazon Simple Notification Service (Amazon SNS) は、パブリッシャーからサブスクライバー (または生産者から消費者) へのメッセージ配信を提供するマネージドサービスです。パブリッシャーは、論理アクセスポイントおよび通信チャネルであるトピックにメッセージを送信することで、受信者と非同期的に通信します。 

  • AWS Systems Manager – AWS Systems Manager は、 AWS でインフラストラクチャの表示と制御に使用できる AWS サービスです。Systems Manager コンソールを使用すると、AWS リソース全体の運用タスクを自動化できます。Systems Manager は、マネージドインスタンスをスキャンし、検出されたポリシー違反を報告(または是正措置を講じる)して、セキュリティとコンプライアンスを維持することができます。 

コード

  • プロジェクトのalerting_ct_logs.yaml CloudFormation テンプレートが添付されています。

エピック

タスク説明必要なスキル

AWS CLI をインストールして設定します。

AWS CLI バージョン 2 をインストールします。次に、アイデンティティ、デフォルトの出力形式、AWS CLI が AWS とのやり取りに使用されるデフォルトの AWS リージョンのセキュリティ認証情報を設定します。

アイデンティティーには、タスクを実行するために必要なアクセス許可があることが求められます。

開発者、セキュリティエンジニア

AWS アカウントを準備する

タスク説明必要なスキル

AWS CLI をインストールして設定します。

AWS CLI バージョン 2 をインストールします。次に、アイデンティティ、デフォルトの出力形式、AWS CLI が AWS とのやり取りに使用されるデフォルトの AWS リージョンのセキュリティ認証情報を設定します。

アイデンティティーには、タスクを実行するために必要なアクセス許可があることが求められます。

開発者、セキュリティエンジニア
タスク説明必要なスキル

CloudFormation テンプレートファイルをダウンロードします。

添付ファイルをコンピューターのローカルパスにダウンロードし、alerting_ct_logs.yamlテンプレートファイルを抽出します。

開発者、セキュリティエンジニア

テンプレートをデプロイします。

AWS アカウントプロファイルが設定されたターミナルウィンドウで、以下のコマンドを実行します。

aws cloudformation create-stack --stack-name <stack_name> \
--capabilities <Value>  \
--template-body file://<Full_Path> \
 --parameters ParameterKey=DestinationEmailAddress,ParameterValue=<Value> \
ParameterKey=SNSTopicName,ParameterValue=<Value> \
ParameterKey=EnableRemediation ,ParameterValue=<Value> \
ParameterKey=AutomationAssumeRole,ParameterValue=<Value>

次のステップでは、テンプレートパラメータの値を入力します。

開発者、セキュリティエンジニア

テンプレートパラメータを入力します。

パラメータの必須値を入力します。

  • DestinationEmailAddress— AWS KMS キーの削除がスケジュール済みの場合、アラートを受け取る E メールアドレス。

  • SNSTopicName— Amazon SNS トピックの名前。

  • EnableRemediation— Systems Manager ランブックを使用して、予定されていたキーの削除をキャンセルします。指定できる値は truefalse です。

  • 説明: (オプション) Automation がユーザーに代わってアクションを実行できるようにするロールの Amazon リソースネーム (ARN)。詳細については、「AWSConfigRemediation-CancelKeyDeletion」ドキュメントの「必要な IAM 権限」セクションを参照してください。 

  • Capabilities— AWS CloudFormation が「スタックを作成する」には、スタックテンプレートに特定の機能が含まれていることを明示的に確認する必要があります。

開発者、セキュリティエンジニア

AWS CloudFormation テンプレートをデプロイします

タスク説明必要なスキル

CloudFormation テンプレートファイルをダウンロードします。

添付ファイルをコンピューターのローカルパスにダウンロードし、alerting_ct_logs.yamlテンプレートファイルを抽出します。

開発者、セキュリティエンジニア

テンプレートをデプロイします。

AWS アカウントプロファイルが設定されたターミナルウィンドウで、以下のコマンドを実行します。

aws cloudformation create-stack --stack-name <stack_name> \
--capabilities <Value>  \
--template-body file://<Full_Path> \
 --parameters ParameterKey=DestinationEmailAddress,ParameterValue=<Value> \
ParameterKey=SNSTopicName,ParameterValue=<Value> \
ParameterKey=EnableRemediation ,ParameterValue=<Value> \
ParameterKey=AutomationAssumeRole,ParameterValue=<Value>

次のステップでは、テンプレートパラメータの値を入力します。

開発者、セキュリティエンジニア

テンプレートパラメータを入力します。

パラメータの必須値を入力します。

  • DestinationEmailAddress— AWS KMS キーの削除がスケジュール済みの場合、アラートを受け取る E メールアドレス。

  • SNSTopicName— Amazon SNS トピックの名前。

  • EnableRemediation— Systems Manager ランブックを使用して、予定されていたキーの削除をキャンセルします。指定できる値は truefalse です。

  • 説明: (オプション) Automation がユーザーに代わってアクションを実行できるようにするロールの Amazon リソースネーム (ARN)。詳細については、「AWSConfigRemediation-CancelKeyDeletion」ドキュメントの「必要な IAM 権限」セクションを参照してください。 

  • Capabilities— AWS CloudFormation が「スタックを作成する」には、スタックテンプレートに特定の機能が含まれていることを明示的に確認する必要があります。

開発者、セキュリティエンジニア
タスク説明必要なスキル

サブスクリプションを確認します。

E メールの受信トレイを確認し、Amazon SNS から受信する E メールメッセージで [サブスクリプションの確認] を選択します。ウェブブラウザが開き、サブスクリプション ID とともにサブスクリプションの確認を表示します。 

開発者、セキュリティエンジニア

サブスクリプションを確認

タスク説明必要なスキル

サブスクリプションを確認します。

E メールの受信トレイを確認し、Amazon SNS から受信する E メールメッセージで [サブスクリプションの確認] を選択します。ウェブブラウザが開き、サブスクリプション ID とともにサブスクリプションの確認を表示します。 

開発者、セキュリティエンジニア

関連リソース

リファレンス

チュートリアルと動画

AWS ワークショップ

追加情報

以下のコードは、あらゆる AWS サービスの変更を監視して通知するようにソリューションを拡張する例を示しています。例には、定義済みのパターンとカスタムパターンが含まれます。詳細については、「EventBridge でのイベントとイベントパターン」を参照してください。

EventPattern:
        source:
        - aws.kms
        detail-type:
        - AWS API Call via CloudTrail
        detail:
          eventSource:
          - kms.amazonaws.com
          eventName:
          - ScheduleKeyDeletion

添付ファイル

このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip

ヘルプが必要ですか?

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.