AWS KMS では全キーの最後の使用状況を追跡

カテゴリ: What's New
公開日: 2026年4月27日
元記事: https://aws.amazon.com/about-aws/whats-new/2026/04/aws-kms-tracks-last-usage-kms-keys/

要約

AWS KMS は、すべてのキーの最後の暗号化操作を追跡し、管理コンソールまたは API で可視化できる新機能を提供するようになりました。この機能により、セキュリティ管理者とコンプライアンスチームは、キーの使用状況を効率的に監視し、未使用キーの特定やポリシーベースの保護を実現できるようになります。

詳細

主な機能

1. キー使用状況の自動追跡

   • すべての KMS キーの最後の暗号化操作の使用状況を追跡
   • 手動でログをクエリおよび分析する必要がなくなる

2. 管理コンソールと API での可視化

   • AWS KMS 管理コンソールまたは API を通じて、タイムスタンプ、実行された操作の種類、および関連する AWS CloudTrail イベント ID を表示
   • セキュリティ管理者とコンプライアンスチームが KMS キーの最後の使用時刻を迅速に確認

3. ポリシーベースの保護

   • 新しい条件キー kms:TrailingDaysWithoutKeyUsage により、最近使用されたキーの誤削除に対するポリシーベースの保護が可能

4. キーのライフサイクル管理

   • 未使用のキーの特定とクリーンアップ
   • キーが積極的に使用されていることの確認
   • AWS CloudTrail でのキー使用方法の追跡

利用可能地域

• すべての商用 AWS リージョン
• AWS GovCloud（US）リージョン
• AWS China リージョン
• AWS KMS が利用可能なすべての AWS リージョン

対象者

• セキュリティ管理者
• コンプライアンスチーム
• KMS キーの使用状況を可視化する必要がある組織

メリット

セキュリティ面

• 未使用キーの特定と保護: ポリシーベースの保護により不必要なキーを安全に管理
• 使用パターンの監視: 異常なアクセスを早期に検出
• 監査ログの統合: CloudTrail との連携で透明性を向上

運用効率

• 自動化による時間削減: 手動ログ分析が不要
• コスト最適化: 不要なキーの定期的なレビュー実施
• コンプライアンス対応: 規制要件への対応を簡素化
• 意思決定の高速化: リアルタイムデータ取得

ユースケース

1. キーのライフサイクル管理: 未使用キーの定期レビューと削除
2. コンプライアンス監査: 使用状況レポートの自動生成
3. セキュリティ分析: 異常な使用パターンの検出
4. 運用効率化: 自動化されたキー管理ポリシーの構築

関連リンク

• AWS CloudTrail でキー使用状況を追跡する方法
• AWS Key Management Service (KMS) - 監視ガイド
• AWS KMS ベストプラクティス 2026