View a markdown version of this page

の検出とモニタリングのベストプラクティス AWS KMS - AWS 規範ガイダンス
オペレーションのモニタリング AWS KMS キーアクセスのモニタリング暗号化設定のモニタリングCloudWatch アラームの設定レスポンスの自動化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の検出とモニタリングのベストプラクティス AWS KMS

検出とモニタリングは、 AWS Key Management Service (AWS KMS) キーの可用性、状態、使用状況を理解する上で重要な部分です。モニタリングは、 AWS ソリューションのセキュリティ、信頼性、可用性、パフォーマンスを維持するのに役立ちます。 には、KMS キーと AWS KMS オペレーションをモニタリングするためのいくつかのツール AWS が用意されています。このセクションでは、これらのツールを設定して使用して環境の可視性を高め、KMS キーの使用状況をモニタリングする方法について説明します。

による AWS KMS オペレーションのモニタリング AWS CloudTrail

AWS KMS は、 ユーザーAWS CloudTrail、ロール、その他 AWS KMS による へのすべての呼び出しを記録できるサービスである と統合されています AWS のサービス。CloudTrail は、 へのすべての API コールをイベント AWS KMS としてキャプチャします。これには、 AWS KMS コンソール、 AWS KMS APIs、 AWS Command Line Interface (AWS CLI) AWS CloudFormation、および からの呼び出しが含まれます AWS Tools for PowerShell。

CloudTrail は、 ListAliasesや などの読み取り専用 AWS KMS オペレーションを含むすべてのオペレーションをログに記録しますGetKeyRotationStatus。また、 CreateKeyや や などの KMS キーを管理するオペレーションもログに記録しPutKeyPolicy, and cryptographic operations, such as GenerateDataKeyますDecrypt。また、、、、 DeleteExpiredKeyMaterial DeleteKeyなどSynchronizeMultiRegionKey、 が AWS KMS 呼び出す内部オペレーションもログに記録されますRotateKey

CloudTrail は、作成 AWS アカウント 時に で有効になります。デフォルトでは、イベント履歴は、 で過去 90 日間に記録された管理イベント API アクティビティの表示可能、検索可能、ダウンロード可能、およびイミュータブルなレコードを提供します AWS リージョン。90 日間を超える KMS キーの使用状況をモニタリングまたは監査するには、 の CloudTrail 証跡を作成することをお勧めします AWS アカウント。で組織を作成した場合は AWS Organizations、その組織内のすべての のイベントをログに記録する組織の証跡またはイベントデータストアを作成できます。 AWS アカウント

アカウントまたは組織の証跡を確立したら、他の を使用して、証跡に記録されたイベント AWS のサービス を保存、分析、および自動的に応答できます。例えば、次のオペレーションを実行できます。

CloudTrail による AWS KMS オペレーションのモニタリングの詳細については、以下を参照してください。

IAM Access Analyzer を使用した KMS キーへのアクセスのモニタリング

AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) は、外部エンティティと共有されている組織およびアカウント (KMS キーなど) 内のリソースを識別するのに役立ちます。このサービスは、セキュリティ上のリスクであるリソースやデータへの意図しないアクセスや過度に広範なアクセスを特定するのに役立ちます。IAM Access Analyzer は、ロジックベースの推論を使用して AWS 環境内のリソースベースのポリシーを分析することで、外部プリンシパルと共有されているリソースを識別します。

IAM Access Analyzer を使用して、KMS キーにアクセスできる外部エンティティを特定できます。IAM Access Analyzer を有効にすると、組織全体またはターゲットアカウントのアナライザーが作成されます。選択した組織またはアカウントは、アナライザーの信頼ゾーンと呼ばれます。アナライザーは、信頼ゾーン内のサポートされているリソースをモニタリングします。信頼ゾーン内のプリンシパルによるリソースへのアクセスは、信頼されたと見なされます。

KMS キーの場合、IAM Access Analyzer はキーに適用されるキーポリシーと許可を分析します。キーポリシーまたは許可が外部エンティティにキーへのアクセスを許可する場合、結果が生成されます。IAM Access Analyzer を使用して、外部エンティティが KMS キーにアクセスできるかどうかを判断し、それらのエンティティがアクセスする必要があるかどうかを確認します。

IAM Access Analyzer を使用して KMS キーアクセスをモニタリングする方法の詳細については、以下を参照してください。

AWS のサービス を使用した他の の暗号化設定のモニタリング AWS Config

AWS Config は、 内の AWS リソースの設定の詳細ビューを提供します AWS アカウント。を使用して AWS Config 、KMS キーを使用する AWS のサービス で暗号化設定が適切に設定されていることを確認します。例えば、暗号化されたボリューム AWS Config ルールを使用して、Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されていることを検証できます。

AWS Config には、リソースを評価するルールをすばやく選択するためのマネージドルールが含まれています。 AWS Config AWS リージョン で、必要なマネージドルールがそのリージョンでサポートされているかどうかを確認します。利用可能なマネージドルールには、Amazon Relational Database Service (Amazon RDS) スナップショットの設定のチェック、CloudTrail 証跡の暗号化、Amazon Simple Storage Service (Amazon S3) バケットのデフォルトの暗号化、Amazon DynamoDB テーブルの暗号化などが含まれます。

カスタムルールを作成し、ビジネスロジックを適用して、リソースが要件に準拠しているかどうかを判断することもできます。多くのマネージドルールのオープンソースコードは、GitHub AWS Config のルールリポジトリで入手できます。これらは、独自のカスタムルールを開発するための出発点として役立ちます。

リソースがルールに準拠していない場合は、応答アクションを開始できます。 AWS Config には、AWS Systems Manager 自動化が実行する修復アクションが含まれます。例えば、cloud-trail-encryption-enabled ルールを適用し、ルールがNON_COMPLIANT結果を返した場合、 は CloudTrail ログを暗号化することで問題を修正する自動化ドキュメントを開始 AWS Config できます。

AWS Config では、リソースをプロビジョニングする前に AWS Config 、ルールへの準拠を事前にチェックできます。プロアクティブモードでルールを適用すると、クラウドリソースが作成または更新される前に、その設定を評価するのに役立ちます。デプロイパイプラインの一部としてプロアクティブモードでルールを適用すると、リソースをデプロイする前にリソース設定をテストできます。

を通じて AWS Config ルールをコントロールとして実装することもできますAWS Security Hub CSPM。Security Hub CSPM には、 に適用できるセキュリティ標準が用意されています AWS アカウント。これらの標準は、推奨プラクティスに照らして環境を評価するのに役立ちます。AWS Foundational Security Best Practices 標準には、保管時の暗号化が設定されていること、および KMS キーポリシーが推奨プラクティスに従っていることを確認するための保護コントロールカテゴリ内のコントロールが含まれています。

を使用して の暗号化設定をモニタリング AWS Config する方法の詳細については AWS のサービス、以下を参照してください。

Amazon CloudWatch アラームによる KMS キーのモニタリング

Amazon CloudWatch は、 AWS リソースと で実行されるアプリケーションを AWS リアルタイムでモニタリングします。CloudWatch を使用して、測定できる変数であるメトリクスを収集および追跡できます。

インポートされたキーマテリアルの有効期限切れ、またはキーの削除は、意図しない、または適切に計画されていない場合、致命的なイベントになる可能性があります。これらのイベントが発生する前に警告するように CloudWatch アラームを設定することをお勧めします。また、重要なキーの削除を防ぐために、 AWS Identity and Access Management (IAM) ポリシーまたは AWS Organizations サービスコントロールポリシー (SCPs) を設定することをお勧めします。

CloudWatch アラームは、キーの削除のキャンセルなどの修正アクションや、削除または期限切れのキーマテリアルの再インポートなどの修正アクションを実行するのに役立ちます。

Amazon EventBridge によるレスポンスの自動化

Amazon EventBridge を使用して、KMS キーに影響する重要なイベントを通知することもできます。EventBridge は、 AWS リソースへの変更を記述するシステムイベントのほぼリアルタイムのストリーム AWS のサービス を配信する です。EventBridge は CloudTrail と Security Hub CSPM からイベントを自動的に受信します。EventBridge では、CloudTrail で記録されたイベントに対応するルールを作成することができます。

AWS KMS イベントには以下が含まれます。

  • KMS キーのキーマテリアルが自動的にローテーションされました

  • KMS キーのインポートされたキーマテリアルの有効期限が切れました

  • 削除がスケジュールされていた KMS キーが削除されました

これらのイベントは、 で追加のアクションを開始できます AWS アカウント。これらのアクションは、イベントが発生した後にのみ処理できるため、前のセクションで説明した CloudWatch アラームとは異なります。たとえば、キーが削除された後に特定のキーに接続されているリソースを削除したり、キーが削除されたことをコンプライアンスチームまたは監査チームに通知したりできます。

EventBridge を使用して CloudTrail に記録された他の API イベントをフィルタリングすることもできます。つまり、キーポリシー関連の API アクションが特に懸念される場合は、それらをフィルタリングできます。たとえば、EventBridge で PutKeyPolicy API アクションをフィルタリングできます。より広くは、 Disable*または で始まる API アクションをフィルタリングDelete*して、自動レスポンスを開始できます。

EventBridge を使用すると、 (検出コントロールである) をモニタリングし、(応答コントロールである) 調査して、予期しないイベントや選択したイベントに対応できます。たとえば、IAM ユーザーまたはロールが作成された場合、KMS キーが作成された場合、またはキーポリシーが変更された場合、セキュリティチームに警告し、特定のアクションを実行できます。指定した API アクションをフィルタリングし、ターゲットをルールに関連付ける EventBridge イベントルールを作成できます。ターゲットの例には、 AWS Lambda 関数、Amazon Simple Notification Service (Amazon SNS) 通知、Amazon Simple Queue Service (Amazon SQS) キューなどがあります。ターゲットへのイベントの送信の詳細については、「Amazon EventBridge のイベントバスターゲット」を参照してください。

EventBridge AWS KMS によるモニタリングとレスポンスの自動化の詳細については、 AWS KMS ドキュメントの「Amazon EventBridge による KMS キーのモニタリング」を参照してください。