KMS システムイベントのクエリ方法とアラートの設定方法。 - Key Management Service

Key Management Service (KMS) は Cloud Monitor (CMS) と統合して、システムイベントをモニタリングし、アラートを提供します。この統合により、イベントに関する情報を常に把握し、迅速に対応できます。このトピックでは、システムイベントのクエリ方法とアラートの設定方法について説明します。

KMS システムイベントのタイプ

システムイベントは手動での構成を必要としません。システムイベントのトリガー条件が満たされると、イベントは Key Management Service コンソールと CloudMonitor コンソールに自動的に表示されます。イベントのアラート通知を受信するには、CloudMonitor コンソールで設定する必要があります。詳細については、「このトピックのシステムイベントのアラート通知を設定する」をご参照ください。

システムイベント	イベントレベル	トリガー条件
QPS が上限に近づいています	重大	このイベントは、KMS インスタンスのリアルタイムのクエリ/秒 (QPS) がクォータの 90% に達するとトリガーされます。
削除がスケジュールされたキー	警告	キーの削除がスケジュールされると、このイベントがトリガーされます。
削除されたキー	警告	キーが削除されると、このイベントがトリガーされます。
削除がスケジュールされた認証情報	警告	認証情報の削除がスケジュールされると、このイベントがトリガーされます。
削除された認証情報	警告	認証情報が削除されると、このイベントがトリガーされます。
管理対象認証情報のローテーションに失敗しました	重大	認証情報のローテーションに失敗すると、このイベントがトリガーされます。
管理対象認証情報のローテーションに成功しました	情報	認証情報のローテーションに成功すると、このイベントがトリガーされます。
キーの同期に失敗しました	重大	KMS インスタンス内のキーがリージョン間で同期に失敗すると、このイベントがトリガーされます。詳細については、「リージョン間の同期」をご参照ください。
キーの同期に成功しました	情報	KMS インスタンス内のキーがリージョン間で正常に同期されると、このイベントがトリガーされます。詳細については、「リージョン間の同期」をご参照ください。
ClientKey の有効期限リマインダー	重大	このイベントは、ClientKey の有効期限が切れる 180、90、30、7 日前にトリガーされます。 ClientKey の詳細については、「アプリケーションアクセスポイントの概要」をご参照ください。

以下のセクションでは、各イベント通知の JSON フォーマットとコンテンツフィールドについて説明します。

QPS が上限に近づいています

{
    "product": "kms",
    "resourceId": "acs:kms:cn-shanghai:119285********60:instance/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "Instance:QPS:Reminder",
    "content": {
        "eventId": "119285********60:0d603b4a-********71:175*****07",
        "qps": "***",
        "kmsInstanceId": "kst***pn8",
        "time": "2025-08-26 05:43:00",
        "qpsQuota": "***"
    },
    "status": "normal"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:0d603b4a-****71:175***07
qps	現在の QPS。	10000 per second
kmsInstanceId	KMS インスタンス ID。	kst***pn8
qpsQuota	QPS の上限。	10000 per second

削除がスケジュールされたキー

{
    "id": "83d05dd6-1066-4b3f-99be-********19",
    "status": "normal",
    "instanceName": "0d603b4a-********71be",
    "resourceId": "acs:kms:cn-hangzhou:119285********60:key/0d603b4a-********71be",
    "content": {
        "eventId": "119285********60:0d603b4a-********71:175*****07",
        "keyId": "0d603b4a-********71be",
        "deleteEntityArn": "acs:kms:cn-hangzhou:119285********60:key/0d603b4a-********71be",
        "plannedDeleteTime": "2025-09-01T07:15:07Z"
    },
    "product": "kms",
    "time": 1756106122000,
    "level": "WARN",
    "regionId": "cn-hangzhou",
    "groupId": "0",
    "name": "Key:DeleteKey:ScheduleDeletion"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:0d603b4a-****71:175***07
keyId	キー ID。	0d603b4a-********71be
deleteEntityArn	削除されるリソースの Alibaba Cloud リソースネーム (ARN)。	acs:kms:cn-hangzhou:119285******60:key/0d603b4a-******71be
plannedDeleteTime	スケジュールされた削除時間。	2025-09-01T07:15:07Z

削除されたキー

{
    "id": "40d14dbc-5b49-481f-********ce",
    "status": "normal",
    "instanceName": "key-hzz68916ed********q4",
    "resourceId": "acs:kms:cn-hangzhou:119285********60:key/key-hzz6********pq4",
    "content": {
        "eventId": "119285********60:key-hzz6********pq4:1755855590",
        "keyId": "0d603b4a-********71be",
        "deleteEntityArn": "acs:kms:cn-hangzhou:119285********60:key/0d603b4a-********71be",
        "deleteTime": "2025-08-22T09:39:50Z"
    },
    "product": "kms",
    "time": 1755855632000,
    "level": "WARN",
    "regionId": "cn-hangzhou",
    "groupId": "0",
    "name": "Key:DeleteKey:ActualDeletion"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:0d603b4a-****71:175***07
keyId	キー ID。	0d603b4a-********71be
deleteEntityArn	削除されたリソースの ARN。	acs:kms:cn-hangzhou:119285******60:key/0d603b4a-******71be
deleteTime	実際のキーの削除時間。	2025-08-22T09:39:50Z

削除がスケジュールされた認証情報

{
    "id": "a065edc8-*******f9ba432",
    "status": "normal",
    "instanceName": "XrGpwbua",
    "resourceId": "acs:kms:cn-shanghai:119285********60:secret/XrGpwbua",
    "content": {
        "eventId": "119285********60:XrGpwbua:175*****45",
        "secretName": "XrGpwbua",
        "deleteEntityArn": "acs:kms:cn-shanghai:119285********60:secret/XrGpwbua",
        "plannedDeleteTime": "2025-09-01T06:10:45Z"
    },
    "product": "kms",
    "time": 1756102268000,
    "level": "WARN",
    "regionId": "cn-shanghai",
    "groupId": "0",
    "name": "Secret:DeleteSecret:ScheduleDeletion"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:0d603b4a-****71:175***07
secretName	認証情報名。	XrGpwbua
deleteEntityArn	削除されるリソースの ARN。	acs:kms:cn-shanghai:119285********60:secret/XrGpwbua
plannedDeleteTime	スケジュールされた認証情報の削除時間。	2025-08-22T09:39:50Z

削除された認証情報

{
    "id": "a065edc8-********ba432",
    "status": "normal",
    "instanceName": "XrGpwbua",
    "resourceId": "acs:kms:cn-shanghai:119285********60:secret/XrGpwbua",
    "content": {
        "eventId": "119285********60:XrGpwbua:1756102245",
        "secretName": "XrGpwbua",
        "deleteEntityArn": "acs:kms:cn-shanghai:119285********60:secret/XrGpwbua",
        "deleteTime": "2025-09-01T06:10:45Z"
    },
    "product": "kms",
    "time": 1756102268000,
    "level": "WARN",
    "regionId": "cn-shanghai",
    "groupId": "0",
    "name": "Secret:DeleteSecret:ScheduleDeletion"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:0d603b4a-****71:175***07
secretName	認証情報名。	XrGpwbua
deleteEntityArn	削除されたリソースの ARN。	acs:kms:cn-shanghai:119285********60:secret/XrGpwbua
deleteTime	実際の認証情報の削除時間。	2025-08-22T09:39:50Z

管理対象認証情報のローテーションに失敗しました

{
    "id": "ac54ac2b-********01aba",
    "status": "Failed",
    "instanceName": "acs/ecs/secret_rotator",
    "resourceId": "acs:kms:cn-chengdu:119285********60:secret/acs/ecs/secret_rotator",
    "content": {
        "eventId": "119285********60:acs/ecs/secret_rotator:1755853996",
        "secretName": "acs/ecs/secret_rotator",
        "secretType": "ECS",
        "rotationEntityArn": "acs:kms:cn-chengdu:119285********60:secret/acs/ecs/secret_rotator",
        "rotationStatus": "Enabled",
        "secretSubType": "ECSLoginPassword",
        "failureInfo": {
            "errorCode": "RotateError",
            "errorMessage": "output , err stdout:[Module:DescribeECSInstances failed] "
        },
        "failureTime": "2025-08-22T09:13:16Z"
    },
    "product": "kms",
    "time": 1755854045000,
    "level": "CRITICAL",
    "regionId": "cn-chengdu",
    "groupId": "0",
    "name": "Secret:RotateSecret:Failure"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:0d603b4a-****71:175***07
secretName	認証情報名。	acs/ecs/secret_rotator
secretType	認証情報タイプ: Rds: RDS 認証情報。 Redis: Redis 認証情報。 RAMCredentials: RAM 認証情報。 ECS: ECS 認証情報。 PolarDB: PolarDB 認証情報。	ECS
secretSubType	認証情報サブタイプ: SecretType が Rds (RDS 認証情報) の場合、secretSubType の有効な値は次のとおりです: RdsSingleUser: シングルアカウントの RDS 認証情報。 RdsDoubleUsers: デュアルアカウントの RDS 認証情報。 SecretType が Redis (Redis 認証情報) の場合、secretSubType の有効な値は次のとおりです: RedisDoubleUsers: デュアルアカウントの Redis 認証情報。 SecretType が RAMCredentials (RAM 認証情報) の場合、secretSubType の有効な値は次のとおりです: RamUserAccessKey: RAM ユーザーの AccessKey。 SecretType が ECS (ECS 認証情報) の場合、secretSubType の有効な値は次のとおりです: ECSLoginPassword: ECS ログインパスワード。 ECSLoginSSHKey: ECS SSH 公開鍵と秘密鍵。 SecretType が PolarDB の場合、secretSubType の有効な値は次のとおりです: PolarDBDoubleUsers: デュアルアカウントの PolarDB 認証情報。	ECSLoginPassword
rotationEntityArn	ローテーションが実行されるリソースの ARN。	acs:kms:cn-hangzhou:119285******60:key/0d603b4a-******71be
rotationStatus	ローテーションステータス: Enabled: 自動ローテーションが有効です。 Disabled: 自動ローテーションが無効です。 Invalid: ローテーションステータスが異常です。Secrets Manager は認証情報を自動的にローテーションできません。	2025-08-22T09:39:50Z
failureInfo	ローテーション失敗の理由。 errorCode: エラーコード。 errorMessage: 詳細なエラーメッセージ。	`{ "errorCode": "RotateError", "errorMessage": "output , err stdout:[Module:DescribeECSInstances failed] " }`

管理対象認証情報のローテーションに成功しました

{
    "id": "21c9b9e0-********f3e678",
    "status": "normal",
    "instanceName": "acs/ram/user/secrettest",
    "resourceId": "acs:kms:cn-shanghai:119285********60:secret/acs/ram/user/secrettest",
    "content": {
        "eventId": "119285********60:acs/ram/user/secrettest:17******59",
        "secretName": "acs/ram/user/secrettest",
        "secretType": "RAMCredentials",
        "rotationEntityArn": "acs:kms:cn-shanghai:119285********60:secret/acs/ram/user/secrettest",
        "rotationStatus": "Enabled",
        "secretSubType": "RamUserAccessKey",
        "successTime": "2025-08-20T09:37:19Z",
        "message": ""
    },
    "product": "kms",
    "time": 1755855610000,
    "level": "INFO",
    "regionId": "cn-shanghai",
    "groupId": "0",
    "name": "Secret:RotateSecret:Success"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:acs/ram/user/secrettest:17****59
secretName	認証情報名。	acs/ram/user/secrettest
secretType	認証情報タイプ: Rds: RDS 認証情報。 Redis: Redis 認証情報。 RAMCredentials: RAM 認証情報。 ECS: ECS 認証情報。 PolarDB: PolarDB 認証情報。	RAMCredentials
secretSubType	認証情報サブタイプ: SecretType が Rds (RDS 認証情報) の場合、secretSubType の有効な値は次のとおりです: RdsSingleUser: シングルアカウントの RDS 認証情報。 RdsDoubleUsers: デュアルアカウントの RDS 認証情報。 SecretType が Redis (Redis 認証情報) の場合、secretSubType の有効な値は次のとおりです: RedisDoubleUsers: デュアルアカウントの Redis 認証情報。 SecretType が RAMCredentials (RAM 認証情報) の場合、secretSubType の有効な値は次のとおりです: RamUserAccessKey: RAM ユーザーの AccessKey。 SecretType が ECS (ECS 認証情報) の場合、secretSubType の有効な値は次のとおりです: ECSLoginPassword: ECS ログインパスワード。 ECSLoginSSHKey: ECS SSH 公開鍵と秘密鍵。 SecretType が PolarDB の場合、secretSubType の有効な値は次のとおりです: PolarDBDoubleUsers: デュアルアカウントの PolarDB 認証情報。	RamUserAccessKey
rotationEntityArn	ローテーションされたオブジェクトの ARN。	acs:kms:cn-shanghai:119285********60:secret/acs/ram/user/secrettest
rotationStatus	ローテーションステータス: Enabled: 自動ローテーションが有効です。 Disabled: 自動ローテーションが無効です。 Invalid: ローテーションステータスが異常です。Secrets Manager は認証情報を自動的にローテーションできません。	Enabled
successTime	ローテーションが成功した時間。	2025-08-20T09:37:19Z

キーの同期に失敗しました

{
    "product": "kms",
    "resourceId": "acs:kms:cn-hangzhou:119285********60:key/<resource-id>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "Instance:KeySync:Failure",
    "content": {
        "eventId": "119285********60:8071aa27-********87",
        "syncTaskId": "8071aa27-********0fc87",
        "masterInstanceId": "kst-ph********z6",
        "shadowInstanceId": "kst-ps********qq",
        "syncStatus": "SyncFailure",
        "errorCode": "",
        "resourceId": "key-ph********4d",
        "resourceType": "KEY",
        "eventTime": "2024-03-22T07:41:17Z"
    },
    "status": "Normal"
}

コンテンツフィールドの説明:

eventId	イベント ID。	119285******60:8071aa27-******87
syncTaskId	同期タスク ID。	8071aa27-********0fc87
masterInstanceId	プライマリインスタンス ID。	kst-ph********z6
shadowInstanceId	レプリカインスタンス ID。説明キーはプライマリインスタンスからレプリカインスタンスに同期されます。	kst-ps********qq
syncStatus	同期ステータス: SyncFailure (同期失敗)。	SyncFailure
errorCode	エラーコード。	""
resourceId	リソース ID。	key-ph********04d
resourceType	リソースタイプ。KEY のみがサポートされています。	KEY
eventTime	同期時間。	2024-03-22T07:41:17Z

キーの同期に成功しました

{
    "product": "kms",
    "resourceId": "acs:kms:cn-hangzhou:119285********60:key/<resource-id>",
    "level": "INFO",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "Instance:KeySync:Success",
    "content": {
        "eventId": "119285********60:8071aa27-********0fc87",
        "syncTaskId": "8071aa27-********420fc87",
        "masterInstanceId": "kst-ph********z6",
        "shadowInstanceId": "kst-ps********qq",
        "syncStatus": "SyncSuccess",
        "errorCode": "",
        "resourceId": "key-ph********04d",
        "resourceType": "KEY",
        "eventTime": "2024-03-22T07:41:17Z"
    },
    "status": "Normal"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:8071aa27-******0fc87
syncTaskId	同期タスク ID。	8071aa27-********420fc87
masterInstanceId	プライマリインスタンス ID。	kst-ph********z6
shadowInstanceId	レプリカインスタンス ID。説明キーはプライマリインスタンスからレプリカインスタンスに同期されます。	kst-ps********qq
syncStatus	同期ステータス: SyncSuccess (同期成功)。	SyncSuccess
errorCode	エラーコード。	""
resourceId	リソース ID。	key-ph********04d
resourceType	リソースタイプ。KEY のみがサポートされています。	KEY
eventTime	同期時間。	2024-03-22T07:41:17Z

ClientKey の有効期限リマインダー

{
    "product": "kms",
    "resourceId": "<aap_arn>",
    "level": "CRITICAL",
    "instanceName": "instanceName",
    "regionId": "cn-hangzhou",
    "name": "Instance:ClientKey:ExpireReminder",
    "content": {
        "clientKeyName": "clientKeyName",
        "eventId": "eventId",
        "dateOfExpiration": "2024-09-30T18:23:46Z",
        "daysToExpire": "180",
        "affectedKmsInstanceId": "kst-exxxx"
    },
    "status": "Normal"
}

コンテンツフィールドの説明:

フィールド	説明	例
eventId	イベント ID。	119285******60:0d603b4a-****71:175***07
clientKeyName	アプリケーションアクセスポイント (AAP) 名。	kms-client.
dateOfExpiration	有効期限。	2024-09-30T18:23:46Z
daysToExpire	ClientKey の残りの有効期間 (日数)。	180
affectedKmsInstanceId	スコープ (KMS インスタンス ID)。	kst-hzz********bxt

サポートされている CloudMonitor メトリック

メトリック	説明	アラートのサポート	ディメンション	統計
インスタンスの 1 分あたりのリクエスト数	1 分あたりのリクエスト数。	はい	userId, regionId, instanceId	値
1 分あたりの対称暗号化/復号リクエスト数	1 分あたりの対称操作リクエスト数。	はい	userId, regionId, instanceId	値
1 分あたりの非対称暗号化リクエスト数	1 分あたりの非対称暗号化リクエスト数。	はい	userId, regionId, instanceId	値
1 分あたりの非対称復号リクエスト数	1 分あたりの非対称復号リクエスト数。	はい	userId, regionId, instanceId	値
1 分あたりの非対称署名リクエスト数	1 分あたりの非対称署名リクエスト数。	はい	userId, regionId, instanceId	値
1 分あたりの非対称署名検証リクエスト数	1 分あたりの非対称署名検証リクエスト数。	はい	userId, regionId, instanceId	値
1 分あたりの認証情報操作リクエスト数	1 分あたりの認証情報リクエスト数。	はい	userId, regionId, instanceId	値
1 分あたりのその他のリクエスト数	1 分あたりのその他の操作リクエスト数。	はい	userId, regionId, instanceId	値
5xx エラーリクエスト	1 分あたりの 5xx エラーコードを持つリクエスト数。	はい	userId, regionId, instanceId	値
4xx エラーリクエスト	1 分あたりの 4xx エラーコードを持つリクエスト数。	はい	userId, regionId, instanceId	値
リクエストレイテンシ	1 分あたりのすべてのリクエストの平均レイテンシ。	はい	userId, regionId, instanceId	値
KMS インスタンスの CPU 使用率	インスタンスの CPU 使用率。	はい	user_id,instance_id	値
KMS インスタンスの対称 QPS 使用率	インスタンスの対称 QPS 使用率。	はい	user_id,instance_id	値
KMS インスタンスの非対称 QPS 使用率	インスタンスの非対称 QPS 使用率。	はい	user_id,instance_id	値

システムイベントの表示

過去 90 日間のシステムイベントを表示できます。

方法 1: Key Management Service コンソールで表示
1. KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、Security Operations > Alert Events を選択します。
2. CloudMonitor Alerts タブで、クエリするシステムイベントと時間範囲を選択します。
3. 操作列で、詳細をクリックしてイベントの詳細を表示します。
方法 2: CloudMonitor コンソールで表示
1. Cloud Monitor コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[イベントセンター] > [システムイベント] を選択します。
3. [イベントモニタリング] タブで、[プロダクト] を [Key Management Service] に設定します。次に、イベントレベル、イベント名、期間を選択し、[検索] をクリックします。
4. イベントリストで、ターゲットイベントを見つけ、[アクション] 列の [詳細] をクリックします。

システムイベントのアラート通知を設定する

システムイベントのアラートルールを設定して、例外発生時に迅速な通知を受け取ることができます。これにより、問題を迅速に分析し、特定するのに役立ちます。これらのルールは CloudMonitor コンソールでのみ設定できます。

Cloud Monitor コンソールにログインします。
左側のナビゲーションウィンドウで、[イベントセンター] > [システムイベント] を選択します。
[イベントモニタリング] タブで、[アラートルールとして保存] をクリックします。
説明
アラート通知に対してマージやノイズリダクションなどのカスタム処理を実行するには、[イベントサブスクリプション] ページで通知を構成できます。詳細については、「イベントサブスクリプションの管理 (推奨)」をご参照ください。
[イベントアラートの作成/変更] パネルで、アラート設定を構成します。
説明
構成項目の詳細については、「システムイベントのアラートルールを作成する」をご参照ください。

リファレンス

KMS CloudMonitor アラートの設定方法と CloudMonitor 統計の表示方法の詳細については、「概要」をご参照ください。