KMS キーの詳細にアクセスして一覧表示する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

KMS キーの詳細にアクセスして一覧表示する

AWS KMS コンソールまたは DescribeKey オペレーションを使用して、アカウントとリージョン内の KMS キーに関する詳細情報にアクセスして一覧表示できます。

以下の手順は、キー ID、キー仕様、キー用途などの KMS キーの詳細にアクセスする方法を示します。

各 KMS キーの詳細ページには、KMS キーのプロパティが表示されます。KMS キーの種類によって若干異なります。

KMS キーに関する詳細情報を表示するには、 AWS マネージドキー またはカスタマーマネージドキーページで、KMS キーのエイリアスまたはキー ID を選択します。

KMS キーの詳細ページには、KMS キーのベーシックプロパティを表示する [General configuration] (一般設定) セクションがあります。また、キーポリシー暗号化設定タグキーマテリアルとローテーション (自動ローテーションまたはオンデマンドローテーションをサポートする KMS キーの場合)、リージョン性 (マルチリージョンキーの場合)、パブリックキー (非対称 KMS キーの場合) など、KMS キーのプロパティを表示および編集できるタブも含まれています。

注記

AWS KMS コンソールには、アカウントとリージョンで表示するアクセス許可を持つ KMS キーが表示されます。他の の KMS キー AWS アカウント は、表示、管理、使用するアクセス許可がある場合でも、コンソールに表示されません。他のアカウントの KMS キーを表示するには、DescribeKey オペレーションを使用します。

KMS キーのキーの詳細ページに移動するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。が AWS 作成および管理するアカウントのキーを表示するには、ナビゲーションペインでマネージドAWS キーを選択します。

  4. キーの詳細ページを開くには、キーテーブルで KMS キーのキー ID またはエイリアスを選択します。

    KMS キーに複数のエイリアスがある場合、エイリアスの概要 (+n 個追加) が、エイリアスの 1 つの名前の横に表示されます。エイリアスのサマリーを選択すると、キーの詳細ページの Aliases (エイリアス) タブを直接表示します。

AWS KMSカスタマー管理キー details showing general and cryptographic configurations.

次のリストでは、タブ内のフィールドを含め、詳細表示のフィールドについて説明します。これらのフィールドの一部は、テーブル表示の列としても使用できます。

エイリアス

場所: [Aliases] (エイリアス) タブ

KMS キーのわかりやすい名前。エイリアスを使用して、コンソールと一部の AWS KMS APIs で KMS キーを識別できます。詳細については、「のエイリアス AWS KMS」を参照してください。

エイリアスタブには、 AWS アカウント および リージョンの KMS キーに関連付けられたすべてのエイリアスが表示されます。

ARN

場所: [General configuration] (一般設定) セクション

KMS キーの Amazon リソースネーム (ARN)。この値は KMS キーを一意に識別します。この値を使用して、 AWS KMS API オペレーションで KMS キーを識別できます。

接続状態

カスタムキーストアがバッキングキーストアに接続しているかどうかを示します。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

このフィールドの値の詳細については、「AWS KMS API リファレンスの「ConnectionState」を参照してください。

作成日

場所: [General configuration] (一般設定) セクション

KMS キーが作成された日時。この値は、デバイスの現地時間で表示されます。タイムゾーンはリージョンに依存しません。

有効期限切れとは異なり、作成時は KMS キーのみを参照し、キーマテリアルは参照しません。

CloudHSM クラスター ID

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルを含む AWS CloudHSM クラスターのクラスター ID。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

CloudHSM クラスター ID を選択すると、 AWS CloudHSM コンソールでクラスターページが開きます。

現在のキーマテリアル

場所: [General configuration] (一般設定) セクション

AWS_KMS オリジンを持つ対称暗号化キーは、自動ローテーションとオンデマンドローテーションの両方をサポートします。EXTERNAL オリジンを使用した単一リージョンの対称暗号化キーは、オンデマンドローテーションをサポートします。これらのキーには、キーに関連付けられた複数のキーマテリアルを含めることができます。最近ローテーションされたキーマテリアルは、暗号化と復号の両方に使用できます。このキーマテリアルは、現在のキーマテリアルとして識別されます。他のキーマテリアルは復号にのみ使用できます。KMS キーの自動キーローテーションまたはオンデマンドキーローテーションは、現在のキーマテリアルを変更します。

カスタムキーストア ID

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを含むカスタムキーストアの ID。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

カスタムキーストア ID を選択すると、 AWS KMS コンソールでカスタムキーストアページが開きます。

カスタムキーストア名

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを含むカスタムキーストアの名前。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

カスタムキーストアのタイプ

場所: [Cryptographic configuration] (暗号化設定) タブ

カスタムキーストアが AWS CloudHSM キーストア外部キーストアのいずれであるのかを示します。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

説明

場所: [General configuration] (一般設定) セクション

書き込みおよび編集できる KMS キーの簡単な説明 (オプション)。カスタマーマネージドキーの説明を追加または更新するには、上記の一般設定編集を選択します。

暗号化アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMSで KMS キーとともに使用できる暗号化アルゴリズムを一覧表示します。このフィールドは、[Key type] (キーのタイプ) が [Asymmetric] (非対称) で、[Key usage] (キーの用途) が [Encrypt and decrypt] (暗号化と復号) の場合にのみ表示されます。が AWS KMS サポートする暗号化アルゴリズムの詳細については、SYMMETRIC_DEFAULT キー仕様「」および「」を参照してください暗号化および復号の RSA キー仕様

有効期限日

場所:[キーマテリアル] タブ

KMS キーのキーマテリアルの有効期限が切れる日時。このフィールドは、インポートされたキーマテリアルを持つ KMS キーに対してのみ表示されます。つまり、[Origin] (オリジン) が [External] (外部) で、KMS キーに有効期限付きキーマテリアルがある場合です。単一リージョンの対称暗号化キーには、複数のキーマテリアルを関連付けることができます。このようなキーの場合、このフィールドには、関連するキーマテリアルのいずれかの有効期限が切れた最も早い日時が表示されます。

外部キー ID

場所: [Cryptographic configuration] (暗号化設定) タブ

外部キーストアの KMS キーに関連付けられている外部キーのID。このフィールドは、外部キーストアの KMS キーにのみ表示されます。

外部キーのステータス

場所: [Cryptographic configuration] (暗号化設定) タブ

外部キーストアプロキシが KMS キーに関連付けられた外部キーについて報告した最新のステータス。このフィールドは、外部キーストアの KMS キーにのみ表示されます。

外部キーの使用

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーに関連付けられた外部キーで有効になっている、暗号化のオペレーション。このフィールドは、外部キーストアの KMS キーにのみ表示されます。

キーポリシー

場所: [Key policy] (キーポリシー) タブ

IAM ポリシーおよびグラントとともに KMS キーへのアクセスを制御します。KMS キーそれぞれに 1 つのキーポリシーがあります。これは、唯一の必須認可要素です。カスタマーマネージドキーのキーポリシーを変更するには、キーポリシータブで編集を選択します。詳細については、「のキーポリシー AWS KMS」を参照してください。

キーマテリアルとローテーション

場所: キーマテリアルとローテーションタブ

このタブは、AWS_KMSオリジンを持つ対称暗号化キー (自動ローテーションとオンデマンドローテーションの両方をサポート) と、EXTERNALオリジンを持つ単一リージョンの対称暗号化キー (オンデマンドローテーションをサポート) に対してのみ表示されます。

タブには 3 つのパネルがあります。

自動ローテーション: カスタマーマネージド KMS キーのキーマテリアルの自動ローテーションを有効または無効にします。カスタマーマネージドキーのキーローテーションステータスを変更するには、 チェックボックスを使用します。AWS マネージドキーのキーマテリアルのローテーションを有効または無効にすることはできません。 AWS マネージドキー は毎年自動的にローテーションされます。

オンデマンドローテーション: カスタマーマネージドキーでキーマテリアルのオンデマンドローテーションを開始します。インポートされたキーの場合、今すぐローテーションオプションを使用するには、インポートされたキーマテリアルが既に PENDING_ROTATION状態になっている必要があります。

キーマテリアル: KMS キーに関連付けられているすべてのキーマテリアルを一覧表示します。各キーマテリアルには一意の識別子があり、その行には、キーマテリアルが KMS で使用できるようになったローテーション日など、キーマテリアルに関する追加情報が表示されます。インポートされたキーの場合、各行には、特定のキーマテリアルを削除したり、KMS キーに再インポートしたりするために使用できるアクションメニューもあります。

キー仕様

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルのタイプ。 は、対称暗号化 KMS キー (SYMMETRIC_DEFAULT)、異なる長さの HMAC KMS キー、異なる長さの RSA キーの KMS キー、および異なる曲線を持つ楕円曲線キー AWS KMS をサポートします。詳細については、「Key spec」を参照してください。

キーのタイプ

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーが対称非対称かを示します。

キーの用途

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを [Encrypt and decrypt] (暗号化および復号)、[Sign and verify] (署名および検証)、または [Generate and verify MAC] (MAC の生成と検証) のどれに使用できるかを示します。詳細については、「Key usage」を参照してください。

オリジン

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルのソース。次の値を指定できます:

MAC アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMSで HMAC KMS キーと使用できる MAC アルゴリズムのリストです。このフィールドは、[Key spec] (キーの仕様) が HMAC キー仕様 (HMAC_*) である場合にのみ表示されます。 AWS KMS がサポートする MAC アルゴリズムについては、「HMAC KMS キーの主な仕様」を参照してください。

プライマリキー

場所: [リージョナリティ] タブ

この KMS キーがマルチリージョンのプライマリキーであることを示します。認可されたユーザーはこのセクションを使用して、別の関連するマルチリージョンキーにプライマリキーを変更できます。このフィールドは、KMS キーがマルチリージョンのプライマリキーである場合にのみ表示されます。

パブリックキー

場所: [Public key] (パブリックキー) タブ

非対称 KMS キーのパブリックキーを表示します。承認されたユーザーは、このタブを使用してパブリックキーをコピーおよびダウンロードできます。

リージョナリティー

場所: 一般設定セクションおよびリージョナリティータブ

KMS キーが単一リージョンキー、マルチリージョンのプライマリキー、またはマルチリージョンのレプリカキーのいずれであるかを示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。

関連するマルチリージョンキー

場所: [リージョナリティ] タブ

関連するすべてのマルチリージョンのプライマリキーとレプリカキー (現在の KMS キーを除く) を表示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。

プライマリキーの [Related multi-Region keys] (関連するマルチリージョンキー) セクションでは、承認されたユーザーが新しいレプリカキーを作成できます。

レプリカキー

場所: [リージョナリティ] タブ

この KMS キーがマルチリージョンのレプリカキーであることを示します。このフィールドは、KMS キーがマルチリージョンのレプリカキーである場合にのみ表示されます。

署名アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMSで KMS キーとともに使用できる署名アルゴリズムを一覧表示します。このフィールドは、[Key type] (キーのタイプ) が [Asymmetric] (非対称) で、[Key usage] (キーの用途) が [Sign and verify] (署名と検証) の場合にのみ表示されます。が AWS KMS サポートする署名アルゴリズムの詳細については、署名および検証用の RSA キー仕様「」および「」を参照してください楕円曲線のキー仕様

ステータス

場所: [General configuration] (一般設定) セクション

KMS キーのキーステータス。KMS キーはステータスが有効の場合にのみ、暗号化オペレーションで使用できます。各 KMS キーステータスと KMS キーで実行されるオペレーションへの影響の詳細については、キーの AWS KMS キーステータス を参照してください。

タグ

場所: [Tags] (タグ) タブ

KMS キーを記述するオプションのキーバリューペア。KMS キーのタグを追加または変更するには、[Tags] (タグ) タブで [Edit] (編集) を選択します。

AWS リソースにタグを追加すると、 は使用量とコストをタグ別に集計したコスト配分レポート AWS を生成します。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、のタグ AWS KMS および の ABAC AWS KMS を参照してください。

DescribeKey オペレーションは、指定された KMS キーの詳細を返します。KMS キーを識別するには、そのキー IDキー ARNエイリアス名エイリアス ARN を使用します。

発信者のアカウントとリージョンの KMS キーのみが表示される ListKeys オペレーションとは異なり、許可されたユーザーは、DescribeKey オペレーションを使用して、他のアカウントの KMS キーに関する詳細を取得できます。

注記

DescribeKey レスポンスは、同じ値を持つ KeySpec および CustomerMasterKeySpec メンバーの両方を含みます。CustomerMasterKeySpec メンバーは非推奨です。

例えば、DescribeKey に対するこの呼び出しは、対称暗号化 KMS キーに関する情報を返します。レスポンスのフィールドは、AWS KMS key の仕様キーの状態キーマテリアルのオリジンによって異なります。複数のプログラミング言語の例については、「AWS SDK または CLI DescribeKeyで を使用する」を参照してください。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "MultiRegion": false,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
    }
}

この例では、署名と検証に使用される非対称 KMS キーで DescribeKey オペレーションを呼び出します。レスポンスには、この KMS キーに対して AWS KMS がサポートする署名アルゴリズムが含まれます。

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321

{
    "KeyMetadata": {        
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Origin": "AWS_KMS",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "KeyState": "Enabled",
        "KeyUsage": "SIGN_VERIFY",
        "CreationDate": 1569973196.214,
        "Description": "",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "AWSAccountId": "111122223333",
        "Enabled": true,
        "MultiRegion": false,
        "KeyManager": "CUSTOMER",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ]
    }
}