翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# モニタリング AWS KMS keys
<a name="monitoring-overview"></a>

モニタリングは、 での の可用性、状態、使用状況を理解し、 AWS ソリューションの信頼性、可用性、パフォーマンス AWS KMS keys AWS KMS を維持する上で重要な部分です。 AWS ソリューションのすべてのパートからモニタリングデータを収集すると、マルチポイント障害が発生した場合にそれをデバッグするのに役立ちます。ただし、KMS キーのモニタリングをスタートする前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。
+ モニタリングの目的は何ですか?
+ どのリソースをモニタリングしますか?
+ どのくらいの頻度でこれらのリソースをモニタリングしますか?
+ 使用する[モニタリングツール](#monitoring-tools)は ?
+ 誰がモニタリングタスクを実行しますか?
+ 問題が発生したときに誰が通知を受け取りますか ?

次のステップでは、KMS キーを経時的にモニタリングして、環境内での通常の AWS KMS の使用および想定のベースラインを確立します。KMS キーをモニタリングする際に、過去のモニタリングデータを保存し、現在のデータと比較することで、通常パターンと異常パターンを識別して、問題に対処する方法を考案できるようにします。

たとえば、KMS キーに影響する AWS KMS API アクティビティとイベントをモニタリングできます。データが、確立基準を上回ったり、下回ったりする場合、修正作業を調査、または実行する必要が生じる場合があります。

通常のパターンのベースラインを確立するには、次の項目をモニタリングします。
+ AWS KMS *データプレーン*オペレーションの API アクティビティ。これは、KMS キーを使用する[暗号化オペレーション](kms-cryptography.md#cryptographic-operations) ([Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)、[Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)、[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) など) です。
+ AWS KMS ユーザーにとって重要な*コントロールプレーン*オペレーションの API アクティビティ。これらのオペレーションはKMS キーを管理し、KMS キーの可用性を変更するオペレーション ([ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)、[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)、[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)、[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)、[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)、[DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) など) をモニタリングします。または、KMS キーのアクセスコントロール ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) および [RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) など) を変更します。
+ その他の AWS KMS メトリクス ([インポートされたキーマテリアル](importing-keys.md)の有効期限が切れるまでの残り時間など) およびイベント (インポートされたキーマテリアルの有効期限、KMS キーの削除またはキーローテーションなど）。

## モニタリングツール
<a name="monitoring-tools"></a>

AWS には、KMS キーのモニタリングに使用できるさまざまなツールが用意されています。これらのツールの一部はモニタリングを行うように設定できますが、一部のツールは手動による介入が必要です。モニタリングタスクをできるだけ自動化することをお勧めします。

### 自動モニタリングツール
<a name="monitoring-tools-automated"></a>

次の自動化されたモニタリングツールを使用して KMS キーを監視し、変更が生じたときに報告させることができます。
+ **AWS CloudTrail ログモニタリング** – アカウント間でログファイルを共有し、CloudWatch Logs に送信CloudWatch CloudTrail ログファイルをリアルタイムでモニタリングし、[CloudTrail Processing Library](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html) を使用してログ処理アプリケーションを書き込み、CloudTrail による配信後にログファイルが変更されていないことを確認します。詳細については、*AWS CloudTrail ユーザーガイド*の「[CloudTrail ログファイルのオペレーション](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html)」を参照してください。
+ **Amazon CloudWatch アラーム** - 指定した期間にわたって単一のメトリクスをモニタリングし、複数の期間にわたる特定のしきい値に対するメトリクスの値に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon Simple Notification Service (Amazon SNS) のトピックまたは Amazon EC2 Auto Scaling のポリシーに送信される通知です。CloudWatch アラームは、特定の状態にあるという理由だけでアクションを呼び出すことはありません。状態が変更され、指定された期間維持されている必要があります。詳細については、「[Amazon CloudWatch で KMS キーをモニタリングする](monitoring-cloudwatch.md)」を参照してください。
+ **Amazon EventBridge** — イベントを照合し、1 つ以上のターゲット関数またはストリームにルーティングして、状態情報をキャプチャし、必要に応じて変更または修正措置を講じます。詳細については、[Amazon EventBridge を使用した KMS キーのモニタリング](kms-events.md) および「[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/)」を参照してください。
+ **Amazon CloudWatch Logs** – AWS CloudTrail またはその他のソースからログファイルをモニタリング、保存、およびアクセスします。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)」を参照してください。

### 手動モニタリングツール
<a name="monitoring-tools-manual"></a>

KMS キーのモニタリングにおいてもう 1 つの重要な部分は、CloudWatch アラームおよびイベントでカバーされない項目を手動でモニタリングすることです。 AWS KMS、CloudWatch AWS Trusted Advisor、およびその他の AWS ダッシュボードには、環境の状態がat-a-glanceビューが表示されます AWS 。

[AWS KMS コンソール](https://console.aws.amazon.com/kms)の **[AWS マネージドキー]** ページと **[カスタマーマネージドキー]** ページを[カスタマイズ](viewing-console-customize.md#console-customize-tables)して、各 KMS キーに関する次の情報を表示できます。
+ キー ID
+ ステータス
+ 作成日
+ 有効期限 ([インポートされたキーマテリアル](importing-keys.md)を持つ KMS キーの場合)
+ オリジン
+ カスタムキーストア ID ([カスタムキーストア](key-store-overview.md#custom-key-store-overview)のKMS キーの場合)

 [CloudWatch コンソールのダッシュボード](https://console.aws.amazon.com/cloudwatch/home) には、以下が表示されます。
+ 現在のアラームとステータス
+ アラームとリソースのグラフ
+ サービスのヘルスステータス

また、CloudWatch を使用して以下のことを行えます。
+ 重視するサービスをモニタリングするための[カスタマイズしたダッシュボード](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html)を作成します
+ メトリクスデータをグラフ化して、問題のトラブルシューティングを行い、傾向を確認する
+ すべての AWS リソースメトリクスを検索して参照する
+ 問題があることを通知するアラームを作成/編集する

AWS Trusted Advisor は、 AWS リソースをモニタリングして、パフォーマンス、信頼性、セキュリティ、コスト効率を向上させるのに役立ちます。すべてのユーザーが 4 つの Trusted Advisor チェックを利用できます。ビジネスまたはエンタープライズサポートプランのユーザーは 50 を超えるチェックを利用できます。詳細については、「[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)」を参照してください。