さまざまなキータイプの特定

[カスタマーマネージドキー] テーブルの [キータイプ] 列は、各 KMS キーが対称であるか非対称であるかを示します。[キータイプ] 値でテーブルをフィルタリングして、非対称 KMS キーのみを表示させることができます。詳細については、「KMS キーのソートおよびフィルタリング」を参照してください。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。また、[キーの用途] も表示されます。これは、その非対称 KMS キーが暗号化と復号化、署名と検証、および共有シークレットの取得のうちどの用途に使用されるのかを示します。

非対称 KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpec と KeyUsage の値が含まれます。これらの値を使用して、KMS キーが対称か非対称かを確認できます。

KeySpec 値が SYMMETRIC_DEFAULT の場合、そのキーは対称暗号化 KMS キーです。非対称キー仕様の詳細については、「キー仕様のリファレンス」を参照してください。

KeyUsage 値が SIGN_VERIFY または KEY_AGREEMENT の場合、そのキーは非対称 KMS キーです。

DescribeKey オペレーションは、非対称 KMS キーに関する以下の詳細も返します。

HMAC KMS キーは [カスタマーマネージドキー] テーブルに含まれていますが、HMAC キーを識別するキー仕様値またはキー用途値でこのテーブルをソートまたはフィルタリングすることはできません。HMAC キーを見つけやすくするには、それらに固有のエイリアスまたはタグを割り当てます。そうすることで、エイリアスまたはタグによるソートまたはフィルタリングが可能になります。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。HMAC KMS キーは対称です。[暗号化設定] タブには、[キーの用途] も表示されます。HMAC KMS キーにおいて、有効なキー用途値は常に [MAC の生成と検証] となります。

HMAC KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpec と KeyUsage の値が含まれます。HMAC KMS キーの場合、キー用途値は常に GENERATE_VERIFY_MACであり、キー仕様値は常に HMAC_ で始まります。

[カスタマーマネージドキー] テーブルには、選択されているリージョンの KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。 AWS リージョンを変更するには、コンソールの右上隅にあるリージョンセレクターを使用します。

[カスタマーマネージドキー] テーブルでマルチリージョンキーを識別しやすくするには、テーブルに [リージョナリティ] を追加します。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

マルチリージョン KMS キーの詳細ページには、[リージョナリティ] タブがあります。プライマリキーの [リージョナリティー] タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。関連するマルチリージョンキーセクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。

関連するマルチリージョンキーテーブルから関連するマルチリージョンキーを選択すると、 AWS KMS コンソールは選択したキーのリージョンに変更され、キーの詳細ページが開きます。例えば、以下の関連するマルチsa-east-1リージョンキーセクションの例からリージョンのレプリカキーを選択すると、 AWS KMS コンソールはsa-east-1リージョンに変更され、そのレプリカキーの詳細ページが表示されます。 レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。

デフォルトでは、 AWS KMS API オペレーションはリージョン別であり、現在または指定されたリージョンのリソースのみを返します。ただし、マルチリージョン KMS キーで DescribeKeyオペレーションを呼び出すと、レスポンスには MultiRegionConfiguration要素の他のリージョンに関連するすべてのマルチ AWS リージョンキーが含まれます。

インポートされたキーマテリアルを持つ KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするため、テーブルに [オリジン] 列を追加します。[オリジン] 列によって、EXTERNAL (キーマテリアルのインポート) のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に [外部] (インポートキーマテリアル) となります。詳細ページには、インポートされたキーマテリアルに関する詳細情報を提供する [キーマテリアル] タブも含まれます。[キーマテリアル] タブは、インポートされたキーマテリアルを持つ KMS キーの詳細ページにのみ表示されます。

インポートされたキーマテリアルを持つ KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには Origin、ExpirationModel、ValidTo の各値が含まれます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に EXTERNAL となります。ExpirationModel 値は、そのキーマテリアルに有効期限が設定されているかどうかを示し、ValidTo 値はキーマテリアルの有効期限を示します。詳細については、「有効期限の設定 (オプション)」を参照してください。

カスタマーマネージドキーテーブルの AWS CloudHSM キーストアで KMS キーを識別しやすくするには、オリジン列をテーブルに追加します。オリジン列では、AWS CloudHSM のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に ですAWS CloudHSM。

AWS CloudHSM キーストアの KMS キーの場合、暗号化設定タブには、KMS キーに関連付けられた AWS CloudHSM キーストアと AWS CloudHSM クラスターに関する情報を提供するカスタムキーストアというセクションが追加されています。

AWS CloudHSM キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に ですAWS_CLOUDHSM。このオペレーションは、 AWS CloudHSM キーストアの KMS キーに対して次の特別なフィールドも返します。

外部キーストアの KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするには、[オリジン] 列をテーブルに追加します。[オリジン] 列により、[外部キーストア] のオリジンプロパティ値を持つ KMS キーを一目で識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。外部キーストアの KMS キー場合、オリジン値は常に [外部キーストア] となります。

外部キーストアの KMS キーの場合、[暗号化設定] タブには [カスタムキーストア] と [外部キー] の 2 つの追加セクションが含まれます。[カスタムキーストア] テーブルは、その KMS キーに関連付けられた外部キーストアに関する情報を提供します。[外部キーストア] テーブルは、外部キーストアの KMS キーの AWS KMS コンソールにのみ表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。外部キーは、外部キーストアの KMS キーのキーマテリアル AWS として機能する 外の暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、外部キーマネージャーによって実行されます。

[External key] (外部キー) セクションには、次の値が表示されます。

外部キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に ですEXTERNAL_KEY_STORE。オペレーションは、その KMS キーに関連付けられた外部キーストアを特定する CustomKeyStoreId 要素も返します。