パブリックキーを使用してオフラインオペレーションを実行する - AWS Key Management Service
パブリックキーのダウンロードに関する特別な考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パブリックキーを使用してオフラインオペレーションを実行する

非対称 KMS キーでは、プライベートキーが AWS KMS で作成され、AWS KMS を暗号化されないままにしません。プライベートキーを使用するには、AWS KMS を呼び出す必要があります。AWS KMS API オペレーションを呼び出すことによって、AWS KMS 内でパブリックキーを使用できます。または、パブリックキーをダウンロードし、AWS KMS の外部での使用向けに共有することもできます。

パブリックキーを共有して、プライベートキーでのみ復号できる AWS KMS 外部のデータを他のユーザーが暗号化できるようにすることもできます。または、プライベートキーを使用して生成した AWS KMS の外部にあるデジタル署名を他のユーザーが確認できるようにすることができます。または、パブリックキーをピアと共有して共有シークレットを取得することもできます。

AWS KMS 内の非対称 KMS キーでパブリックキーを使用すると、すべての AWS KMS オペレーションに含まれる認証、認可、ロギングに役立ちます。また、復号できないデータを暗号化するリスクも軽減します。これらの機能は、AWS KMS の外部では有効ではありません。詳細については、「パブリックキーのダウンロードに関する特別な考慮事項」を参照してください。

ヒント

データキーまたは SSH キーをお探しですか。このトピックでは、プライベートキーをエクスポートすることができない AWS Key Management Service での非対称キーの管理方法を説明しています。プライベートキーが対称暗号化 KMS キーで保護されているエクスポート可能なデータキーペアについては、「GenerateDataKeyPair」を参照してください。Amazon EC2 インスタンスに関連付けられたパブリックキーのダウンロード方法については、「Amazon EC2 ユーザーガイド」内の「パブリックキーの取得」および「Amazon EC2 ユーザーガイド」を参照してください。

トピック

パブリックキーのダウンロードに関する特別な考慮事項

KMS キーを保護するために、AWS KMS は、アクセス制御、認証された暗号化、すべてのオペレーションの詳細なログを提供します。AWS KMS は、KMS キーの使用を一時的または永続的に阻止することもできます。最後に、AWS KMS オペレーションは、復号できないデータを暗号化するリスクを最小限に抑えるように設計されています。これらの機能は、ダウンロードしたパブリックキーを AWS KMS の外部で使用する場合には使用できません。

認可

AWS KMS 内の KMS キーへのアクセスを制御するキーポリシーおよび IAM ポリシーは、AWS の外部で実行されるオペレーションには影響しません。パブリックキーを取得できるユーザーは、KMS キーで、データを暗号化、または署名を検証する許可がない場合でも、AWS KMS の外部でパブリックキーを使用できます。

キーの用途の制限

キーの用途の制限は、AWS KMS の外部では有効ではありません。SIGN_VERIFYKeyUsage を持つ KMS キーで Encrypt オペレーションを呼び出すと、AWS KMS オペレーションは失敗します。ただし、SIGN_VERIFY または KEY_AGREEMENTKeyUsage で、KMS キーからパブリックキーを使用して AWS KMS の外部のデータを暗号化する場合、データを復号することはできません。

アルゴリズムの制限

AWS KMS がサポートする暗号化および署名アルゴリズムの制限は、AWS KMS の外部では有効ではありません。AWS KMS の外部の KMS キーからのパブリックキーを使用してデータを暗号化し、AWS KMS がサポートしていない暗号化アルゴリズムを使用すると、データを復号できません。

KMS キーの無効化と削除

AWS KMS 内の暗号化オペレーションで KMS キーの使用を阻止するために実行できるアクションは、AWS KMS の外部でパブリックキーを使用することを妨げません。例えば、KMS キーの無効化、KMS キーの削除のスケジューリング、KMS キーの削除、KMS キーからのキーマテリアルの削除は、AWS KMS の外部のパブリックキーには影響しません。非対称 KMS キーを削除、またはそのキーマテリアルを削除したり紛失したりすると、AWS KMS の外部にあるパブリックキーで暗号化したデータを回復できなくなります。

ログ記録

AWS CloudTrail ログは、リクエスト、レスポンス、日付、時刻、許可されたユーザーなど、すべての AWS KMS オペレーションを記録しますが、AWS KMS の外部でのパブリックキーの使用は記録されません。

SM2 キーペアによるオフライン検証 (中国リージョンのみ)

SM2 パブリックキーを使用して AWS KMS の外部で署名を検証するには、識別 ID を指定する必要があります。デフォルトでは、AWS KMS は識別 ID として 1234567812345678 を使用します。詳細については、「SM2 キーペアによるオフライン検証」(中国リージョンのみ) を参照してください。