キーとシークレットの呼び出し記録を照会する - Key Management Service

Key Management Service (KMS) をActionTrailおよびSimple Log Serviceと統合して、キーとシークレットの使用中に発生するイベントを記録できます。これは、トラブルシューティングおよびセキュリティ監視に有益である。このトピックでは、キーとシークレットの使用記録を照会する方法について説明します。

背景情報

鍵および秘密に関するイベントは、2つのタイプに分類される。第1のタイプは、キーの作成および削除、秘密の作成および削除、およびキーの別名の変更などの管理操作を含む。第2のタイプは、暗号操作および秘密値を取り出す操作などのサービス関連操作を含む。イベントをクエリする方法は、イベントとビジネスシナリオによって異なります。

KMSインスタンスのキーとシークレット

リソースタイプ	イベントタイプ	照会方法
Key	管理操作	ActionTrailを使用します。
Key	暗号化操作	Alibaba Cloudサービスでのサーバー側暗号化: ActionTrailを使用します。自己管理型アプリケーションでのデータ暗号化: Simple Log Serviceを使用します。
シークレット	管理操作	ActionTrailを使用します。
シークレット	シークレット値を取得する操作	KMSエンドポイントを使用した取得: ActionTrailまたはSimple Log Serviceを使用します。 KMSインスタンスのエンドポイントを使用した取得: Simple Log Serviceを使用します。

KMSインスタンス外のキーとシークレット

デフォルトキーは、KMSインスタンス外のキーと見なされます。 KMSインスタンスの外部にあるシークレットとは、KMSインスタンスを購入せずに古いバージョンのKMSのユーザーが作成したシークレットを指します。

リソースタイプ	イベントタイプ	照会方法
Key	管理操作	ActionTrailを使用します。
Key	暗号化操作	ActionTrailを使用します。
シークレット	管理操作	ActionTrailを使用します。
シークレット	シークレット値を取得する操作	ActionTrailまたはSimple Log Serviceの使用説明 KMSエンドポイントを使用してのみ、シークレット値を取得できます。

注意事項

ActionTrailを使用してキー関連のイベントをクエリすると、すべての状態のキーがサポートされます。 Simple Log Serviceを使用してキー関連のイベントを照会すると、有効になっているキーのみがサポートされます。

ActionTrailの使用

ActionTrailコンソールの [イベントクエリ] ページと [詳細イベントクエリ] ページでイベントをクエリできます。サポートされるイベントの詳細については、「KMSのイベントの監査」をご参照ください。

イベントクエリ: デフォルトでは、過去90日間のイベントをクエリできます。この機能は無料で使用できます。
高度なイベントクエリ: 高度なイベントクエリ機能を使用する前に、トレイルを作成してイベントをSimple Log Serviceに配信する必要があります。詳細については、「シングルアカウント証跡の概要」および「概要」をご参照ください。クエリできるのは、トレイルの作成後に生成されたイベントのみです。トレイルが作成される90日前に生成されたイベントを照会する方法の詳細については、「データバックフィルタスクの作成」をご参照ください。
説明
イベントをSimple Log Serviceに配信するトレイルを作成する場合、個別に課金され、料金はSimple Log Serviceの請求書に含まれます。詳細については、「課金」をご参照ください。

方法1: イベントクエリページでイベントを照会

ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[イベント] > [イベントクエリ] を選択します。
[リソース名] を選択し、イベントを照会するキーまたはシークレットのIDを入力し、時間範囲を選択して、アイコンをクリックします。
表示するイベントを見つけて、[操作] 列の [イベントの詳細の表示] をクリックします。

方法2: [Advanced Event Query] ページでイベントを照会する

ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[イベント] > [詳細イベントクエリ] を選択します。
トレイル名を選択し、ページの右上隅にある [シンプルモード] をオフにして、クエリステートメントを入力します。
例：
- キーのイベントを照会する: * AND (event.serviceName: "Kms") AND (event.eventRW: "Read") AND "key-szz63dc8c429ermur ****" 。 key-szz63dc8c429ermur **** をクエリするキーのIDに置き換える必要があります。
- 無効になっているキーのイベント * AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected. disabled") を照会します。
- Pending Deletion状態: * AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.PendingDeletion") にあるキーのイベントを照会します。
- 期限切れのインスタンスのキーのイベントを照会します。* AND (event.serviceName: "Kms") AND (event.errorCode:"Rejected.Unavailable") 。
  説明
  キーステータスに関連するエラーコードの詳細については、「一般的なエラーコード」をご参照ください。
- シークレットのイベントを照会する: * AND (event.serviceName: "Kms") AND (event.eventName: "GetSecretValue") AND "SecretName" 。 SecretNameは、クエリするシークレットのIDに置き換える必要があります。
表示するイベントを見つけて、[操作] 列の [イベントの詳細の表示] をクリックします。

Simple Log Serviceの使用

KMS コンソールにログインします。上部のナビゲーションバーで、必要なリージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Simple Log Service for KMS を選択します。
Simple Log Service for KMS ページで、[インスタンスID] ドロップダウンリストから必要なインスタンスIDを選択し、クエリするキーまたはシークレットのIDを [キー /シークレットID] フィールドに入力します。
時間範囲を指定し、[検索と分析] をクリックします。
説明
- ログは180日間保存されます。 180日前に保存されたログは削除されます。したがって、過去180日間のログのみを照会できます。
- クエリ結果には、指定された時間範囲より1分前または後に生成されたログが含まれる場合があります。
- クエリおよび分析操作に対して追加料金は発生しません。

Key Management Service:キーとシークレットの使用記録の照会