ローテーションとキーマテリアルを一覧表示する - AWS Key Management Service
ローテーションとキーマテリアルを一覧表示する (コンソール)ローテーションとキーマテリアルを一覧表示する (AWS KMS API)

ローテーションとキーマテリアルを一覧表示する

自動キーローテーションまたはオンデマンドキーローテーションをサポートする KMS キーには、複数のキーマテリアルを関連付けることができます。これらのキーには、自動ローテーションまたはオンデマンドローテーションごとに初期キーマテリアルと 1 つの追加キーマテリアルがあります。

kms:ListKeyRotations アクセス許可を持つ承認済みユーザーは、 AWS KMS コンソール操作と ListKeyRotations API を使用して、完了した自動ローテーションとオンデマンドローテーションからのものを含め、KMS キーに関連付けられたすべてのキーマテリアルを一覧表示できます。

ローテーションとキーマテリアルを一覧表示する (コンソール)

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. KMS キーのエイリアスまたは キー ID を選択します。

  5. [キーマテリアルとローテーション] タブを選択します。

    • [キーマテリアルとローテーション] タブは、自動ローテーションまたはオンデマンドローテーションをサポートする対称暗号化 KMS キーの詳細ページにのみ表示されます。これには、AWS KMS が生成したキーマテリアルを持つ KMS キー (AWS_KMS オリジン) と、インポートされたキーマテリアルを持つ単一リージョン KMS キー (EXTERNAL オリジン) が含まれます。

    • [キーマテリアルとローテーション] タブの [キーマテリアル] テーブルには、KMS キーに関連付けられているすべてのキーマテリアルが一覧表示されます。キーマテリアルごとに、対応するエントリには、AWS KMS によって割り当てられた一意の識別子、ローテーション日、およびキーマテリアルの状態が表示されます。ローテーション日は、自動キーローテーションまたはオンデマンドキーローテーションの後にキーマテリアルが最新になったときを示します。最初のキーマテリアルおよび Pending rotation キーマテリアルに関連付けられたローテーション日はありません。キーマテリアルの状態によって、AWS KMS がキーマテリアルを使用する方法が決定されます。現在のキーマテリアルは、暗号化と復号化の両方に使用されます。最新でないキーマテリアルは復号化にのみ使用されます。Pending rotation のキーマテリアル状態は、キーマテリアルがローテーションのためにステージングされていることを示します。このキーマテリアルは、オンデマンドキーローテーションによって現在のキーマテリアルになるまで、暗号化オペレーションには使用されません。キーマテリアルに表示される追加情報は、KMS キーのタイプによって異なります。

    • AWS_KMS オリジンを持つ対称暗号化 KMS キーの場合、各行にはローテーションタイプ (On-demand または Automatic) も表示されます。

    • インポートされたキーマテリアル (EXTERNAL オリジン) を持つ単一リージョンの対称暗号化 KMS キーは On-demand ローテーションのみをサポートするため、ローテーションタイプの列はありません。代わりに、各行にはインポート状態、ユーザーが指定した説明、有効期限情報、[アクション] メニューが表示されます。インポート状態は、キーマテリアルが AWS KMS 内で使用可能であることを示す [インポート済み]、またはキーマテリアルが AWS KMS 内で使用できないことを示す [インポート保留中] のいずれかです。[アクション] メニューを使用して、インポートされたキーマテリアルを削除することやキーマテリアルを再インポートすることができます。[キーマテリアルの削除] アクションは、キーマテリアルのインポート状態が [インポート保留中] の場合、無効になります。[キーマテリアルを再インポート] アクションは常に使用できます。再インポートする前に、キーマテリアルの有効期限が切れるのを待つ必要やキーマテリアルが削除されるのを待つ必要はありません。

ローテーションとキーマテリアルを一覧表示する (AWS KMS API)

任意のカスタマーマネージドキーに対して、AWS Key Management Service (AWS KMS) API を使用してオンデマンドキーローテーションを開始し、現在のローテーションステータスを確認することができます。この例では AWS Command Line Interface (AWS CLI) を使用していますが、サポートされている任意のプログラミング言語を使用することができます。

ListKeyRotations オペレーションは、指定された KMS キーのすべてのローテーションとキーマテリアルを一覧表示します。これらのオペレーションで KMS キーを識別するには、そのキー ID またはキー ARN を使用します。

このオペレーションでは、オプションの IncludeKeyMaterial パラメータがサポートされています。このパラメータのデフォルト値は ROTATIONS_ONLY です。このパラメータを省略すると、AWS KMS は自動またはオンデマンドのキーローテーションによって作成されたキーマテリアルに関する情報を返します。ALL_KEY_MATERIAL の値を指定すると、AWS KMS は最初のキーマテリアルと、ローテーション保留中のインポートされたキーマテリアルをレスポンスに追加します。このパラメータは、自動キーローテーションまたはオンデマンドキーローテーションをサポートする KMS キーでのみ使用できます。

$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --inlcude-key-material ALL_KEY_MATERIAL
{
    "Rotations": [
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
            "KeyMaterialDescription": "KeyMaterialA",
            "ImportState": "PENDING_IMPORT",
            "KeyMaterialState": "NON_CURRENT"
        },
        {
            "KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
            "KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
            "ImportState": "IMPORTED",
            "KeyMaterialState": "CURRENT",
            "ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
            "RotationDate": "2025-05-01T15:50:51.045000-07:00",
            "RotationType": "ON_DEMAND"
        }
    ],
    "Truncated": false
}