翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 削除待ち状態の KMS キーの使用を検出するアラームの作成 AWS CloudTrail、Amazon CloudWatch Logs、Amazon Simple Notification Service (Amazon SNS) の機能を組み合わせて、アカウント内の誰かが削除保留中の KMS キーを使用しようとしたときに通知する Amazon CloudWatch アラームを作成できます。この通知を受け取った場合は、KMS キーの削除をキャンセルして、削除する決定を検討し直す必要があります。 以下の手順では、「`Key ARN is pending deletion`」エラーメッセージが CloudTrail ログファイルに書き込まれるたびに通知を受信するアラームの作成方法について説明します。このエラーメッセージは、[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で、ユーザーまたはアプリケーションが KMS キーの使用を試みたことを示します。この通知はエラーメッセージにリンクされているため、`ListKeys`、`CancelKeyDeletion`、`PutKeyPolicy` などの削除保留中の KMS キーで許可される API オペレーションを使用するときにはトリガーされません。このエラーメッセージを返す AWS KMS API オペレーションのリストを確認するには、「」を参照してください[キーの AWS KMS キーステータス](key-state.md)。 受信した E メール通知には、KMS キーや暗号化オペレーションは表示されません。この情報は、[CloudTrail ログ](logging-using-cloudtrail.md)で見つけることができます。その代わりに、アラームの状態が [**OK**] から [**アラーム**] に変わったことが E メールで報告されます。CloudWatch アラームと、状態の変更の詳細については、「Amazon CloudWatch ユーザーガイド」の「[Amazon CloudWatch アラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。 **警告** この Amazon CloudWatch アラームは、 AWS KMSの外部にある非対称 KMS キーの公開キーの使用は検出できません。公開キーの暗号化に使用される非対称 KMS キーを削除する際の特別なリスク (復号できない暗号テキストの作成など) の詳細については、[Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks) を参照してください。 この手順では、削除保留中のインスタンスを検索する CloudWatch ロググループのメトリクススフィルタを作成します。次に、ロググループのメトリクスに基づいて CloudWatch アラームを作成します。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「[フィルターを使用したログイベントからのメトリクスの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)」を参照してください。 1. CloudTrail ログを解析する CloudWatch メトリクススフィルターを作成します。 以下の必須値を使用して、「[ロググループのメトリクススフィルターを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」の手順に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) 1. ステップ 1 で作成したメトリクスフィルターに基づいて CloudWatch アラームを作成します。 以下の必須値を使用して、「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」の手順に従ってください。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) この手順を完了すると、新しい CloudWatch アラームが `ALARM` 状態に入るたびに通知が届きます。このアラームの通知を受信した場合は、データの暗号化または復号化に削除が予定されている KMS キーがまだ必要であることを意味します。その場合は、[KMS キーの削除をキャンセルし](deleting-keys-scheduling-key-deletion.md)、削除する決定を検討し直す必要があります。