翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# KMS キーの過去の使用状況を確認する
KMS キーを削除する前に、そのキーで暗号化された暗号文の数を知りたい場合があります。 AWS KMS はこの情報を保存せず、暗号文も保存しません。KMS キーの過去の使用状況を把握することで、後で必要になるかどうかを判断できる場合があります。このトピックでは、KMS キーの過去の使用状況の確認に役立つ複数の戦略を示します。
**警告**
過去および実際の使用状況を判断するためのこれらの戦略は、 AWS ユーザーと AWS KMS オペレーションに対してのみ有効です。 AWS KMSの外部で非対称 KMS キーの公開キーの使用を検出することはできません。公開キーの暗号化に使用される非対称 KMS キーを削除する際の特別なリスク (復号できない暗号テキストの作成など) の詳細については、[Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks) を参照してください。
**Topics**
+ [KMS キーのアクセス許可内容を確認し、潜在的な使用の範囲を判断する](#deleting-keys-usage-key-permissions)
+ [AWS CloudTrail ログを調べて実際の使用状況を確認する](#deleting-keys-usage-cloudtrail)
## KMS キーのアクセス許可内容を確認し、潜在的な使用の範囲を判断する
現在、KMS キーにアクセスできるユーザーやアプリケーションを明らかにすることで、KMS キーが使用されている範囲や、今後必要かどうかを判断できる場合があります。現在、KMS キーにアクセスできるユーザーやアプリケーションを明らかにする方法については、[へのアクセスの確認 AWS KMS keys](determining-access.md) を参照してください。
## AWS CloudTrail ログを調べて実際の使用状況を確認する
KMS キーの使用履歴を使用して、特定の KMS キーで暗号化された暗号化テキストがあるかどうかを判断できます。
すべての AWS KMS API アクティビティは AWS CloudTrail ログファイルに記録されます。KMS キーがあるリージョンで [ CloudTrail 証跡を作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)した場合は、CloudTrail ログファイルを調べて、特定の KMS キーのすべての AWS KMS API アクティビティの履歴を表示できます。トレイルを持っていない場合でも、 [CloudTrail イベント履歴で最近のイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)を表示できます。が CloudTrail AWS KMS を使用する方法の詳細については、「」を参照してください[を使用した AWS KMS API コールのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)。
次の例は、KMS キーを使用して、Amazon Simple Storage Service (Amazon S3) に保存されているオブジェクトを保護するときに生成される CloudTrail ログエントリを示しています。この例では、[KMS キー (SSE-KMS) を使用したサーバー側の暗号化を使用してデータを保護し](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)、オブジェクトを Amazon S3 にアップロードします。SSE-KMS を使用して Amazon S3 にオブジェクトをアップロードする場合は、オブジェクトの保護に使用する KMS キーを指定します。Amazon S3 は AWS KMS [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)オペレーションを使用してオブジェクトの一意のデータキーをリクエストし、このリクエストイベントは CloudTrail に次のようなエントリで記録されます。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
"arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2015-09-10T23:12:48Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admins",
"accountId": "111122223333",
"userName": "Admins"
}
},
"invokedBy": "internal.amazonaws.com"
},
"eventTime": "2015-09-10T23:58:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "internal.amazonaws.com",
"userAgent": "internal.amazonaws.com",
"requestParameters": {
"encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "cea04450-5817-11e5-85aa-97ce46071236",
"eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
後で Amazon S3 からこのオブジェクトをダウンロードすると、Amazon S3 は指定された KMS キーを使用してオブジェクトのデータキーを復号 AWS KMS する`Decrypt`リクエストを に送信します。これを行うと、CloudTrail ログファイルに次のようなエントリが含まれます。
```
{
"eventVersion": "1.02",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
"arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2015-09-10T23:12:48Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admins",
"accountId": "111122223333",
"userName": "Admins"
}
},
"invokedBy": "internal.amazonaws.com"
},
"eventTime": "2015-09-10T23:58:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "internal.amazonaws.com",
"userAgent": "internal.amazonaws.com",
"requestParameters": {
"encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
"responseElements": null,
"requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
"eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
"readOnly": true,
"resources": [{
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "111122223333"
}],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
すべての AWS KMS API アクティビティは CloudTrail によってログに記録されます。これらのログエントリを評価すると、特定の KMS キーの過去の使用状況を明らかにし、その KMS キーを削除する必要があるかどうかを判断できる場合があります。
CloudTrail ログファイルに AWS KMS API アクティビティがどのように表示されるかのその他の例については、「」を参照してください[を使用した AWS KMS API コールのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)。CloudTrail の詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)を参照してください。