Amazon EventBridge を使用した KMS キーのモニタリング - AWS Key Management Service
KMS CMK ローテーションKMS でインポートされたキーマテリアルの有効期限KMS CMK 削除

Amazon EventBridge を使用した KMS キーのモニタリング

Amazon EventBridge (以前の Amazon CloudWatch Events) を使用して、KMS キーのライフサイクルにおける次の重要なイベントについて警告を受け取ることができます。

  • KMS キーのキーマテリアルのローテーションが自動的またはオンデマンドで行われます。

  • KMS キーにインポートされたキーマテリアルの有効期限が切れました。

  • 削除が予定されていた KMS キーが削除されました。

AWS KMS は Amazon EventBridge と統合されており、KMS キーに影響する重要なイベントを通知します。各イベントは、JSON (JavaScript Object Notation) で表され、イベント名、イベント日時、その影響などが含まれています。これらのイベントを収集し、AWS Lambda 関数、Amazon SNS トピック、Amazon SQS キュー、Amazon Kinesis Data Streams のストリーム、組み込みターゲットなどの 1 つ以上のターゲットにイベント送信のルールを確立できます。

読み取り/書き込み API リクエストを記録するときに AWS CloudTrail によって発行されるイベントなど、他の種類のイベントで EventBridge を使用する方法については、「Amazon EventBridge ユーザーガイド」を参照してください。

以下のトピックでは、AWS KMS が生成する EventBridge イベントを説明します。

KMS CMK ローテーション

AWS KMS は、対称暗号化 KMS キーのキーマテリアルの自動およびオンデマンドローテーションをサポートします。

AWS KMS がキーマテリアルをローテーションするたびに、KMS CMK Rotation イベントが EventBridge に送信されます。AWS KMS は、ベストエフォートベースでこのイベントを生成します。

このイベントの例を以下に示します。

{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}

KMS でインポートされたキーマテリアルの有効期限

キーマテリアルを KMS キーにインポートすると、キーマテリアルの有効期限を任意で指定することができます。キーマテリアルの有効期限が切れると、AWS KMS はキーマテリアルを削除し、対応する KMS Imported Key Material Expiration イベントを EventBridge に送信します。AWS KMS はベストエフォートベースでこのイベントを生成します。

このイベントの例を以下に示します。

{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}

KMS CMK 削除

KMS キーのキー削除をスケジュールすると、AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間の終了後、AWS KMS は KMS キーを削除し、EventBridge へ KMS CMK Deletion イベントを送信します。AWS KMS はこの EventBridge を保証します。再試行により、同じ KMS キーを削除する複数のイベントが数秒以内に生成される場合があります。

このイベントの例を以下に示します。

{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}