さまざまなキータイプの特定

[カスタマーマネージドキー] テーブルの [キータイプ] 列は、各 KMS キーが対称であるか非対称であるかを示します。[キータイプ] 値でテーブルをフィルタリングして、非対称 KMS キーのみを表示させることができます。詳細については、「KMS キーのソートおよびフィルタリング」を参照してください。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。また、[キーの用途] も表示されます。これは、その非対称 KMS キーが暗号化と復号化、署名と検証、および共有シークレットの取得のうちどの用途に使用されるのかを示します。

非対称 KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpec と KeyUsage の値が含まれます。これらの値を使用して、KMS キーが対称か非対称かを確認できます。

KeySpec 値が SYMMETRIC_DEFAULT の場合、そのキーは対称暗号化 KMS キーです。非対称キー仕様の詳細については、「キー仕様のリファレンス」を参照してください。

KeyUsage 値が SIGN_VERIFY または KEY_AGREEMENT の場合、そのキーは非対称 KMS キーです。

DescribeKey オペレーションは、非対称 KMS キーに関する以下の詳細も返します。

HMAC KMS キーは [カスタマーマネージドキー] テーブルに含まれていますが、HMAC キーを識別するキー仕様値またはキー用途値でこのテーブルをソートまたはフィルタリングすることはできません。HMAC キーを見つけやすくするには、それらに固有のエイリアスまたはタグを割り当てます。そうすることで、エイリアスまたはタグによるソートまたはフィルタリングが可能になります。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。HMAC KMS キーは対称です。[暗号化設定] タブには、[キーの用途] も表示されます。HMAC KMS キーにおいて、有効なキー用途値は常に [MAC の生成と検証] となります。

HMAC KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpec と KeyUsage の値が含まれます。HMAC KMS キーの場合、キー用途値は常に GENERATE_VERIFY_MACであり、キー仕様値は常に HMAC_ で始まります。

[カスタマーマネージドキー] テーブルには、選択されているリージョンの KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。AWS リージョンを変更するには、ページの右上にあるリージョンセレクターを使用します。

[カスタマーマネージドキー] テーブルでマルチリージョンキーを識別しやすくするには、テーブルに [リージョナリティ] を追加します。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

マルチリージョン KMS キーの詳細ページには、[リージョナリティ] タブがあります。プライマリキーの [リージョナリティー] タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。関連するマルチリージョンキーセクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。

関連するマルチリージョンキーを関連するマルチリージョンキーテーブルから選択すると、AWS KMS コンソールが選択したキーのリージョンに変わり、キーの詳細ページが開きます。例えば、以下の [Related multi-Region keys] (関連するマルチリージョンキー) セクション例の sa-east-1 リージョンでレプリカキーを選択した場合、AWS KMS コンソールが sa-east-1 リージョンに変わり、そのレプリカキーの詳細ページが表示されます。レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。

デフォルトでは、AWS KMS API オペレーションは特定のリージョンに特化されており、現在選択中のリージョンまたは指定されたリージョンのリソースのみを返します。ただし、マルチリージョン KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには MultiRegionConfiguration 要素内の他の AWS リージョンのすべての関連するマルチリージョンキーも含まれます。

インポートされたキーマテリアルを持つ KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするため、テーブルに [オリジン] 列を追加します。[オリジン] 列によって、EXTERNAL (キーマテリアルのインポート) のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に [外部] (インポートキーマテリアル) となります。詳細ページには、インポートされたキーマテリアルに関する詳細情報を提供する [キーマテリアル] タブも含まれます。EXTERNAL オリジンを含む単一リージョンの対称暗号化キーは、オンデマンドローテーションをサポートし、複数のキーマテリアルを関連付けることができます。そのようなキーの場合、タブには「キーマテリアルとローテーション」というラベルが付けられます。

インポートされたキーマテリアルを持つ KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには Origin、ExpirationModel、ValidTo の各値が含まれます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に EXTERNAL となります。ExpirationModel 値は、そのキーマテリアルに有効期限が設定されているかどうかを示し、ValidTo 値はキーマテリアルの有効期限を示します。複数のキーマテリアルが 1 つのキーに関連付けられている場合、ValidTo の値は、すべてのキーマテリアル (保留中のローテーションを除く) の最も早い有効期限を示します。ExpirationModelは、いずれのキーマテリアルの有効期限も設定されていない場合にのみ DOES_NOT_EXPIRE に設定されます。詳細については、「有効期限の設定 (オプション)」を参照してください。

AWS CloudHSM キーストアの KMS キーを [カスタマーマネージドキー] テーブル上で識別しやすくするには、[オリジン] 列をテーブルに追加します。[オリジン] 列では、AWS CloudHSM のオリジンプロパティ値のある KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常に [AWS CloudHSM] となります。

AWS CloudHSM キーストアの KMS キーの場合、[暗号化設定] タブには、その KMS キーに関連付けられた AWS CloudHSM キーストアと AWS CloudHSM クラスターに関する情報を提供する追加のセクションである [カスタムキーストア] が含まれます。

AWS CloudHSM キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常に AWS_CLOUDHSM となります。オペレーションは、AWS CloudHSM キーストアの KMS キーに関する以下の特殊フィールドも返します。

外部キーストアの KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするには、[オリジン] 列をテーブルに追加します。[オリジン] 列により、[外部キーストア] のオリジンプロパティ値を持つ KMS キーを一目で識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。外部キーストアの KMS キー場合、オリジン値は常に [外部キーストア] となります。

外部キーストアの KMS キーの場合、[暗号化設定] タブには [カスタムキーストア] と [外部キー] の 2 つの追加セクションが含まれます。[カスタムキーストア] テーブルは、その KMS キーに関連付けられた外部キーストアに関する情報を提供します。[外部キーストア] テーブルは、外部キーストアの KMS キーの AWS KMS コンソールにのみ表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。外部キーは、AWS 外部の外部キーストアにある KMS キーのキーマテリアルとして機能する暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、外部キーマネージャーによって実行されます。

[External key] (外部キー) セクションには、次の値が表示されます。

外部キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常に EXTERNAL_KEY_STORE となります。オペレーションは、その KMS キーに関連付けられた外部キーストアを特定する CustomKeyStoreId 要素も返します。