AWS KMS 现已支持跟踪所有 KMS 密钥的上次使用情况

发布于: 2026年4月27日

AWS Key Management Service（KMS）现在可让您查看上次使用 KMS 密钥执行的加密操作，而无需手动查询和分析日志。此功能可帮助安全管理员和合规团队快速确定上次使用 KMS 密钥执行加密操作的时间。您可以通过 AWS KMS 管理控制台或 API 查看时间戳、执行的操作类型以及关联的 AWS CloudTrail 事件 ID。

借助此功能，您可以识别未使用的密钥以进行清理、验证密钥是否使用频繁，以及追踪密钥在 AWS CloudTrail 中的使用情况。此外，您可以使用新的条件键（kms:TrailingDaysWithoutKeyUsage）来实现基于策略的保护，防止意外删除最近使用过的密钥。

此功能已在提供 AWS KMS 的所有 AWS 区域推出，包括所有的 AWS 商业区域、AWS GovCloud（美国）区域和 AWS 中国区域。 有关更多信息，请参阅《AWS KMS 开发人员指南》中的确定 KMS 密钥的过去使用情况。