AWS KMS キーのキーステータス
AWS KMS key は必ずキーステータスを持っています。キーの状態は、KMS キーとその環境に対するオペレーションによって変化することがあります。キーの状態が変わるのは、一時的である場合と、別のオペレーションによってキーの状態が変化するまでの場合があります。これらのオペレーションは、非同期的に実行されるか、API コールによって実行されます。
このセクションの表は、キーステータスが AWS KMS API オペレーションへの呼び出しにどのように影響するかを示しています。キーステータスの結果として、KMS キーでのオペレーションは成功 (✓)、失敗 (X)、または特定の条件でのみ成功する (?) と予想されます。多くの場合、この結果は KMS キーのインポートされたキーマテリアルによって異なります。
この表には、既存の KMS キーを使用する API オペレーションのみが含まれています。その他のオペレーション (CreateKey および ListKeys など) は省略されています。
キーステータスと KMS キーの種類
KMS キーの種類によって、それが持つキーステータスが決まります。
-
すべての KMS キーは、
Enabled、Disabled、およびPendingDeletion状態になり得ます。 -
ほとんどの KMS キーは
Enabledステータスで作成されます。インポートされたキーマテリアルを持つキーはPendingImportステータスで作成されます。 -
PendingImportステータスは、インポートされたキーマテリアルを持つ KMS キーにのみ適用されます。インポートされたキーのキーマテリアルが削除された場合、または有効期限が切れた場合、状態はEnabledからPendingImportに変わります。 -
Unavailableステータスは、カスタムキーストア内の KMS キーにのみ適用されます。カスタムキーストアがその AWS CloudHSM クラスターから意図的に切断された場合、AWS CloudHSM キーストアの KMS キーはUnavailableです。カスタムキーストアがその外部キーストアプロキシから意図的に切断された場合、外部キーストアの KMS キーはUnavailableです。使用できない KMS キーを表示および管理することはできますが、暗号化オペレーションで使用することはできません。カスタムキーストア内の KMS キーのキーの状態は、そのバッキングキーが変更されても影響を受けません。AWS CloudHSM キーストアの KMSキーは、AWS CloudHSM クラスター内の関連するキーマテリアルが変更されても影響を受けません。外部キーストアの KMS キーは、外部のキーマネージャーの外部キーが変更されても影響を受けません。バッキングキーが無効化されるか削除されると、KMS キーの状態は変わりませんが、KMS キーを使用した暗号化オペレーションは失敗します。
-
Creating、Updating、PendingReplicaDeletionのキーステータスは、マルチリージョンキーにのみ適用されます。-
マルチリージョンのレプリカキーは、作成中の一時的な
Creatingキーステータスです。ReplicateKey オペレーションの完了時、このプロセスはまだ進行中の可能性があります。レプリケートプロセスが完了すると、レプリカキーはEnabledまたはPendingImportステータスになります。 -
プライマリリージョンの更新中、マルチリージョンキーは一時的に
Updatingキーステータスになります。UpdatePrimaryRegion オペレーションの完了時、このプロセスはまだ進行中の可能性があります。更新プロセスが完了すると、プライマリキーとレプリカキーは、Enabledキーステータスを再開します。 -
レプリカキーを持つマルチリージョンのプライマリキーの削除をスケジュールすると、プライマリキーはそのレプリカキーがすべて削除されるまで、
PendingReplicaDeletionステータスを保持します。その後、キーステータスがPendingDeletionに変わります。詳細については、「Deleting multi-Region keys」を参照してください。
-
キーステータスの表
次の表に、KMS キーのキーステータスが、AWS KMS オペレーションにどのような影響を与えるかを示します。
番号付きの脚注の説明 ([n]) は、このトピックの最後にあります。
注記
この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。
| API | 有効 | 無効 |
削除保留中 レプリカの削除保留中 |
インポートの保留中 | 使用不可 | 作成 | 更新中 |
|---|---|---|---|---|---|---|---|
| CancelKeyDeletion |  [4] |
[4] |
 |
[4] |
[4], [13] |
[4] |
[4] |
| CreateAlias | |
|
[3] |
|
|
|
|
| CreateGrant | |
[1] |
[2] または [3] |
[5] |
|
[14] |
|
| Decrypt | |
[1] |
[2] または [3] |
[5] |
[11] |
[14] |
|
| DeleteAlias | |
|
|
|
|
|
|
| DeleteImportedKeyMaterial |
[9] |
[9] |
[9] |
|
該当なし |
[14] |
[15] |
| DeriveSharedSecret | |
[1] |
[2] または [3] |
[5] |
該当なし |
[14] |
|
| DescribeKey | |
|
|
|
|
|
|
| DisableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| DisableKeyRotation |
[7] |
[1] または [7] |
[3] または [7] |
[6] |
[7] |
[14] |
[7] |
| EnableKey | |
|
[3] |
[5] |
[12] |
[14] |
[15] |
| EnableKeyRotation |
[7] |
[1] または [7] |
[3] または [7] |
[6] |
[7] |
[14] |
[7] |
| 暗号化 | |
[1] |
[2] または [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKey | |
[1] |
[2] または [3] |
[5] |
[11] |
[14] |
|
| GenerateDataKeyPair | |
[1] |
[2] または [3] |
[5] |
[7] |
[14] |
|
| GenerateDataKeyPairWithoutPlaintext | |
[1] |
[2] または [3] |
[5] |
[7] |
[14] |
|
| GenerateDataKeyWithoutPlaintext | |
[1] |
[2] または [3] |
[5] |
[11] |
[14] |
|
| GenerateMac | |
[1] |
[2] または [3] |
[5] |
該当なし |
[14] |
|
| GetKeyPolicy | |
|
|
|
|
|
|
| GetKeyRotationStatus |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| GetParametersForImport |
[9] |
[9] |
[8] または [9] |
|
[9] |
[14] |
[15] |
| GetPublicKey | |
|
[2] または [3] |
|
該当なし |
[14] |
|
| ImportKeyMaterial |
[9] |
[9] |
[9] |
|
[9] |
[14] |
|
| ListAliases | |
|
|
|
|
|
|
| ListGrants | |
|
|
|
|
|
|
| ListKeyPolicies | |
|
|
|
|
|
|
| ListKeyRotations |
[7] |
[7] |
[7] |
[6] |
[7] |
[7] |
[7] |
| ListResourceTags | |
|
|
|
|
|
|
| PutKeyPolicy | |
|
|
|
|
|
|
| ReEncrypt | |
[1] |
[2] または [3] |
[5] |
[11] |
[14] |
|
| ReplicateKey | |
[1] |
[2] または [3] |
[5] |
該当なし |
[14] |
[15] |
| RetireGrant | |
|
|
|
|
|
|
| RevokeGrant | |
|
|
|
|
|
|
| RotateKeyOnDemand |
[7] |
[1] または [7] |
[3] または [7] |
[5] |
[7] |
[14] |
[7] |
| ScheduleKeyDeletion | |
|
[3] |
|
|
|
[15] |
| Sign | |
[1] |
[2] または [3] |
[5] |
該当なし |
[14] |
|
| TagResource | |
|
[3] |
|
|
|
|
| UntagResource | |
|
[3] |
|
|
|
|
| UpdateAlias | |
|
[10] |
|
|
|
|
| UpdateKeyDescription | |
|
[3] |
|
|
|
|
| UpdatePrimaryRegion | |
[1] |
[2] または [3] |
[5] |
該当なし |
[14] |
|
| Verify | |
[1] |
[2] または [3] |
[5] |
該当なし |
[14] |
|
| VerifyMac | |
[1] |
[2] または [3] |
[5] |
該当なし |
[14] |
|
テーブルの詳細
-
[1]
DisabledException:<key ARN>is disabled. -
[2]
DisabledException:<key ARN>is pending deletion (or pending replica deletion). -
[3]
KMSInvalidStateException:<key ARN>is pending deletion (or pending replica deletion). -
[4]
KMSInvalidStateException:<key ARN>is not pending deletion (or pending replica deletion). -
[5]
KMSInvalidStateException:<key ARN>is pending import because no key material has ever been imported or one of the imported key materials is deleted or expired. -
[6]
UnsupportedOperationException:<key ARN>origin is EXTERNAL which is not valid for this operation. -
[7] KMS キーがカスタムキーストアにある場合:
UnsupportedOperationException。 -
[8] KMS キーがインポートされたキーマテリアルを持つ場合:
KMSInvalidStateException -
[9] KMS キーがインポートされたキーマテリアルを持てない場合:
UnsupportedOperationException。 -
[10] ソース KMS キーが削除保留中の場合、コマンドは成功します。送信先の KMS キーが削除保留中の場合、コマンドは次のエラーで失敗します:
KMSInvalidStateException :<key ARN>is pending deletion. -
[11]
KMSInvalidStateException:使用不可能な KMS キーでこのオペレーションを実行することはできません。<key ARN>is unavailable. -
[12] オペレーションは成功しますが、KMS キーのキーステータスは、使用可能になるまで変更されません。
-
[13] カスタムキーストアの KMS キーが削除保留中の場合、KMS キーが使用不可能になっても、そのキーステータスは
PendingDeletionのままになります。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。 -
[14]
KMSInvalidStateException:AWS KMS は、この例外をマルチリージョンキー (<key ARN>is creating.ReplicateKey) のレプリケーション中にスローします。 -
[15]
KMSInvalidStateException:AWS KMS は、この例外をマルチリージョンキー (<key ARN>is updating.UpdatePrimaryRegion) のプライマリリージョンの更新中にスローします。
