翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EventBridge を使用した KMS キーのモニタリング
<a name="kms-events"></a>

Amazon EventBridge (以前の Amazon CloudWatch Events) を使用して、KMS キーのライフサイクルにおける次の重要なイベントについて警告を受け取ることができます。
+ KMS キーのキーマテリアルのローテーションが自動的またはオンデマンドで行われます。
+ KMS キーにインポートされたキーマテリアルの有効期限が切れました。
+ 削除が予定されていた KMS キーが削除されました。

AWS KMS は Amazon EventBridge と統合され、KMS キーに影響する重要なイベントを通知します。各イベントは、[JSON (JavaScript Object Notation)](http://json.org) で表され、イベント名、イベント日時、その影響などが含まれています。これらのイベントを収集し、 AWS Lambda 関数、Amazon SNS トピック、Amazon SQS キュー、Amazon Kinesis Data Streams のストリーム、組み込み*ターゲット*などの 1 つ以上のターゲットにルーティングするルールを確立できます。

EventBridge を他の種類のイベントで使用する方法の詳細については、[「Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/) AWS CloudTrail 」を参照してください。

以下のトピックでは、 が AWS KMS 生成する EventBridge イベントについて説明します。

## KMS CMK ローテーション
<a name="kms-events-rotation"></a>

AWS KMS は、対称暗号化 KMS キーでのキーマテリアル[の自動ローテーションとオンデマンド](rotate-keys.md)ローテーションをサポートします。

はキーマテリアルを AWS KMS ローテーションするたびに、`KMS CMK Rotation`イベントを EventBridge に送信します。 はこのイベントをベストエフォートベースで AWS KMS 生成します。

このイベントの例を以下に示します。

```
{
  "version": "0",
  "id": "6a7e8feb-b491-4cf7-a9f1-bf3703467718",
  "detail-type": "KMS CMK Rotation",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-origin": "AWS_KMS",
    "rotation-type": "ON_DEMAND",
    "previous-key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0",
    "current-key-material-id": "96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068"
  }
}
```

## KMS でインポートされたキーマテリアルの有効期限
<a name="kms-events-expiration"></a>

[キーマテリアルを KMS キーにインポートする](importing-keys.md)と、キーマテリアルの有効期限を任意で指定することができます。キーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除し、対応する`KMS Imported Key Material Expiration`イベントを EventBridge に送信します。 はこのイベントをベストエフォートベースで AWS KMS 生成します。

このイベントの例を以下に示します。

```
{
  "version": "0",
  "id": "9da9af57-9253-4406-87cb-7cc400e43465",
  "detail-type": "KMS Imported Key Material Expiration",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "key-material-id": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
  }
}
```

## KMS CMK 削除
<a name="kms-events-deletion"></a>

KMS キーの[キー削除をスケジュールする](deleting-keys.md)と、 AWS KMS は KMS キーを削除する前に待機時間を強制します。待機期間の終了後、 AWS KMS は KMS キーを削除し、EventBridge へ `KMS CMK Deletion` イベントを送信します。 AWS KMS はこの EventBridge を保証します。再試行により、同じ KMS キーを削除する複数のイベントが数秒以内に生成される場合があります。

 このイベントの例を以下に示します。

```
{
  "version": "0",
  "id": "e9ce3425-7d22-412a-a699-e7a5fc3fbc9a",
  "detail-type": "KMS CMK Deletion",
  "source": "aws.kms",
  "account": "111122223333",
  "time": "2025-05-23T03:11:54Z",
  "region": "us-west-2",
  "resources": [
    "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  ],
  "detail": {
    "key-id": "1234abcd-12ab-34cd-56ef-1234567890ab"
  }
}
```