このトピックでは、Simple Log Service for Key Management Service (KMS) 機能のデータ収集、アセット、課金、および制限について説明します。
KMSの簡易ログサービスとは
Simple Log Service for KMS機能を使用すると、KMSコンソールでKMSインスタンスのログを照会および分析できます。 この機能では、ログを最大180日間保存することもでき、アプリケーションがコンプライアンス要件を満たすのに役立ちます。 Simple Log Serviceの詳細については、Simple Log Serviceとは
データ収集
Simple Log Service for KMS機能は、KMSインスタンスによって処理されるリクエストに関する情報のみを収集します。 api_nameおよびshare_gateway_api_nameフィールドを使用して、リクエストのビジネスシナリオを識別できます。 呼び出し元が使用するエンドポイントに基づいて、ビジネスシナリオを区別できます。 次の表に、ビジネスシナリオを示します。 エンドポイントの詳細については、「エンドポイント」をご参照ください。
この機能は、KMSリソースの管理操作に関する情報を収集しません。 管理操作をクエリする場合は、ActionTrailを使用します。 ActionTrailでサポートされているイベントの詳細については、「KMSのイベントの監査」をご参照ください。 イベントのクエリ方法の詳細については、「ActionTrailを使用したKMSイベントのクエリ」をご参照ください。
KMSエンドポイント
share_gateway_api_name
api_name
説明
ビジネスシナリオ
GetSecretValue
Decrypt
秘密を取得します。
自己管理アプリケーションはシークレットを取得します。
GenerateDataKey
GenerateDataKey
データキーを生成します。
シナリオ1: クラウドサービスはKMSと統合されています。
シナリオ2: シークレットを作成する必要があるか、またはシークレット値を自己管理アプリケーション用に格納する必要がある。
GenerateDataKeyWithoutPlaintext
GenerateDataKey
データキーを生成し、データキー暗号文のみを返します。
クラウドサービスはKMSと統合されています。
Encrypt
Encrypt
対称キーを使用してデータを暗号化します。
クラウドサービスはKMSと統合されています。
Decrypt
Decrypt
対称キーを使用してデータを復号化します。
クラウドサービスはKMSと統合されています。
非対称性暗号化
Encrypt
非対称キーを使用してデータを暗号化します。
クラウドサービスはKMSと統合されています。
非対称性Decrypt
Decrypt
非対称キーを使用してデータを復号化します。
クラウドサービスはKMSと統合されています。
非対称性サイン
署名
非対称キーを使用してデータに署名します。
クラウドサービスはKMSと統合されています。
非対称性検証
検証
非対称キーを使用して署名を検証します。
クラウドサービスはKMSと統合されています。
KMSインスタンスエンドポイント
自己管理アプリケーションがKMSインスタンスを使用する場合は、KMSインスタンスエンドポイントを使用する必要があります。 この場合、share_gateway_api_nameフィールドは空です。
api_name
説明
GetSecretValue
秘密を取得します。
AdvanceEncrypt
キーを使用して、平文を暗号文に暗号化します。
この操作は、ソフトウェアキー管理タイプのKMSインスタンスで対称キーを使用する場合にのみサポートされます。
AdvanceDecrypt
キーを使用して暗号文を平文に復号します。
この操作は、ソフトウェアキー管理タイプのKMSインスタンスで対称キーを使用する場合にのみサポートされます。
AdvanceGenerateDataKey
データキーを生成します。
この操作は、ソフトウェアキー管理タイプのKMSインスタンスで対称キーを使用する場合にのみサポートされます。
GenerateDataKeyPair
非対称データキーペアを生成し、秘密キーのプレーンテキストを返します。
GenerateDataKeyPairWithoutPlaintext
非対称データキーペアを生成し、秘密キーのプレーンテキストを返しません。
GenerateDataKey
データキーを生成します。
Encrypt
平文を暗号文に暗号化します。
Decrypt
暗号文を平文に復号化します。
署名
非対称キーを使用してデータに署名します。
検証
非対称キーを使用して署名を検証します。
GetPublicKey
非対称キーの公開キーを照会します。
資産
KMSインスタンスのSimple Log Service for KMS機能を有効にすると、KMSインスタンスのプロジェクトが自動的に作成され、ログを保存するためのLogstoreがプロジェクトに作成されます。 プロジェクトの詳細については、「プロジェクト」をご参照ください。 Logstoreの詳細については、Logstoreをご参照ください。 プロジェクトはKMSインスタンスと同じリージョンにあります。
プロジェクトとLogstoreを表示するには、Simple log Serviceコンソールにログインします。 プロジェクトの名前はkms-log-KMSインスタンスID形式で、Logstoreの名前はkms_audit_log形式です。
KMSログに関連するプロジェクトまたはログストアは削除しないでください。 それ以外の場合、KMSログはSimple Log Serviceに送信できません。
課金
Simple Log Service for KMS機能はKMS側で購入でき、KMSはログストレージ容量に基づいて課金されます。 この機能は、サブスクリプションの課金方法のみをサポートしています。 購入するためのログストレージの最小容量は1,000 GBで、1,000 GB単位で増加します。 単価はあります
1,000 GBで1か月あたりUSD 80。KMSの請求書には、ストレージの料金とクエリと分析の料金が含まれます。 変換、配送、インデックス作成など、Simple Log Serviceの他の機能を使用する場合、実際の使用状況に基づいてSimple Log Serviceによって個別に課金されます。 詳細については、「機能課金の課金項目」をご参照ください。
Simple Log Service for KMS機能のサブスクリプション期間は、KMSインスタンスのサブスクリプション期間によって異なります。 KMSインスタンスの購入時にこの機能を有効にすると、この機能の料金はKMSインスタンスのサブスクリプション期間に基づいて計算されます。 KMSインスタンスをアップグレードして機能を有効にする場合、機能の料金はKMSインスタンスの残りのサブスクリプション期間に基づいて計算されます。 この場合、サブスクリプション期間は分単位で正確です。
制限事項
Simple Log Service for KMS機能を有効にした場合、KMSログはデフォルトで180日間保存されます。 ログの保存期間は変更できません。
ログストレージ容量が十分であることを確認してください。 容量が使い果たされた場合、新しいログを保存することはできません。 この場合、できるだけ早い機会に容量を拡張することをお勧めします。 容量を拡張した後、構成をダウングレードすることはできません。
説明KMSコンソールに表示されるログストレージの使用状況はリアルタイムで更新されず、過去2時間の実際の使用状況は含まれません。
機能を有効にすると、機能を無効にすることはできません。 機能を無効にする場合は、テクニカルサポートにお問い合わせください。 詳細については、「お問い合わせ」をご参照ください。
KMSインスタンスを期待どおりに実行する必要があります。 それ以外の場合、機能は中断されます。 KMSインスタンスの有効期限が切れて更新されない場合、KMSインスタンスはリリースされ、有効期限が切れてから16日目にプロジェクトが削除されます。
必要なログストレージ容量の計算
ほとんどの場合、各リクエストログは約1 KBのストレージを占有します。 1秒あたりの平均クエリ数 (QPS) が100の場合、1日以内に生成されるリクエストログに必要なストレージは8,640,000 KBで、約8.2 GBです。 この値は、100 × 60 × 60 × 24 × 1 = 8,640,000の式を用いて算出される。 KMSログはデフォルトで180日間保存され、必要なログストレージ容量は1,476テラバイトです。 この値は、8.2 × 180 = 1,476の式を用いて算出される。 Simple Log Service for KMS機能を有効にすると、ログストレージ容量を2,000 GBに設定できます。