さまざまなキータイプの特定 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

さまざまなキータイプの特定

以下のトピックでは、 AWS KMS コンソールと DescribeKey レスポンスでさまざまなキータイプを識別する方法について説明します。

KMS キーの詳細ページにある [暗号化設定] タブに移動する方法については、「KMS キーの詳細にアクセスして一覧表示する」を参照してください。

非対称 KMS キーを特定する

AWS KMS コンソールで

[カスタマーマネージドキー] テーブルの [キータイプ] 列は、各 KMS キーが対称であるか非対称であるかを示します。[キータイプ] 値でテーブルをフィルタリングして、非対称 KMS キーのみを表示させることができます。詳細については、「KMS キーのソートおよびフィルタリング」を参照してください。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。また、[キーの用途] も表示されます。これは、その非対称 KMS キーが暗号化と復号化、署名と検証、および共有シークレットの取得のうちどの用途に使用されるのかを示します。

DescribeKey レスポンス内で

非対称 KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpecKeyUsage の値が含まれます。これらの値を使用して、KMS キーが対称か非対称かを確認できます。

KeySpec 値が SYMMETRIC_DEFAULT の場合、そのキーは対称暗号化 KMS キーです。非対称キー仕様の詳細については、「キー仕様のリファレンス」を参照してください。

KeyUsage 値が SIGN_VERIFY または KEY_AGREEMENT の場合、そのキーは非対称 KMS キーです。

DescribeKey オペレーションは、非対称 KMS キーに関する以下の詳細も返します。

  • KeyUsage 値が ENCRYPT_DECRYPT である非対称 KMS キーの場合、オペレーションはそのキーの有効な暗号化アルゴリズムを一覧表示する EncryptionAlgorithms を返します。

  • KeyUsage 値が SIGN_VERIFY である非対称 KMS キーの場合、オペレーションはそのキーの有効な署名アルゴリズムを一覧表示する SigningAlgorithms を返します。

  • KeyUsage 値が KEY_AGREEMENT である非対称 KMS キーの場合、オペレーションはそのキーの有効なキーアグリーメントアルゴリズムを一覧表示する KeyAgreementAlgorithms を返します。

非対称 KMS キーの詳細については、「の非対称キー AWS KMS」を参照してください。

HMAC KMS キーの特定

AWS KMS コンソールで

HMAC KMS キーは [カスタマーマネージドキー] テーブルに含まれていますが、HMAC キーを識別するキー仕様値またはキー用途値でこのテーブルをソートまたはフィルタリングすることはできません。HMAC キーを見つけやすくするには、それらに固有のエイリアスまたはタグを割り当てます。そうすることで、エイリアスまたはタグによるソートまたはフィルタリングが可能になります。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。HMAC KMS キーは対称です。[暗号化設定] タブには、[キーの用途] も表示されます。HMAC KMS キーにおいて、有効なキー用途値は常に [MAC の生成と検証] となります。

DescribeKey レスポンス内で

HMAC KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpecKeyUsage の値が含まれます。HMAC KMS キーの場合、キー用途値は常に GENERATE_VERIFY_MACであり、キー仕様値は常に HMAC_ で始まります。

HMAC KMS キーの詳細については、「の HMAC キー AWS KMS」を参照してください。

マルチリージョン KMS キーの特定

AWS KMS コンソールで

[カスタマーマネージドキー] テーブルには、選択されているリージョンの KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。 AWS リージョンを変更するには、コンソールの右上隅にあるリージョンセレクターを使用します。

[カスタマーマネージドキー] テーブルでマルチリージョンキーを識別しやすくするには、テーブルに [リージョナリティ] を追加します。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

マルチリージョン KMS キーの詳細ページには、[リージョナリティ] タブがあります。プライマリキーの [リージョナリティー] タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。関連するマルチリージョンキーセクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。

関連するマルチリージョンキーテーブルから関連するマルチリージョンキーを選択すると、 AWS KMS コンソールは選択したキーのリージョンに変更され、キーの詳細ページが開きます。例えば、以下の関連するマルチsa-east-1リージョンキーセクションの例からリージョンのレプリカキーを選択すると、 AWS KMS コンソールはsa-east-1リージョンに変更され、そのレプリカキーの詳細ページが表示されます。 レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。

DescribeKey レスポンス内で

デフォルトでは、 AWS KMS API オペレーションはリージョン別であり、現在または指定されたリージョンのリソースのみを返します。ただし、マルチリージョン KMS キーで DescribeKeyオペレーションを呼び出すと、レスポンスには MultiRegionConfiguration要素の他のリージョンに関連するすべてのマルチ AWS リージョンキーが含まれます。

マルチリージョン KMS キーの詳細については、「のマルチリージョンキー AWS KMS」を参照してください。

インポートされたキーマテリアルを持つ KMS キーを特定する

AWS KMS コンソールで

インポートされたキーマテリアルを持つ KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするため、テーブルに [オリジン] 列を追加します。[オリジン] 列によって、EXTERNAL (キーマテリアルのインポート) のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に [外部] (インポートキーマテリアル) となります。詳細ページには、インポートされたキーマテリアルに関する詳細情報を提供する [キーマテリアル] タブも含まれます。[キーマテリアル] タブは、インポートされたキーマテリアルを持つ KMS キーの詳細ページにのみ表示されます。

DescribeKey レスポンス内で

インポートされたキーマテリアルを持つ KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには OriginExpirationModelValidTo の各値が含まれます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に EXTERNAL となります。ExpirationModel 値は、そのキーマテリアルに有効期限が設定されているかどうかを示し、ValidTo 値はキーマテリアルの有効期限を示します。詳細については、「有効期限の設定 (オプション)」を参照してください。

インポートされたキーマテリアルを持つ KMS キーの詳細については、「キーの AWS KMS キーマテリアルのインポート」を参照してください。

キーストア内の KMS AWS CloudHSM キーを特定する

AWS KMS コンソールで

カスタマーマネージドキーテーブルの AWS CloudHSM キーストアで KMS キーを識別しやすくするには、オリジン列をテーブルに追加します。オリジン列では、AWS CloudHSM のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に ですAWS CloudHSM

AWS CloudHSM キーストアの KMS キーの場合、暗号化設定タブには、KMS キーに関連付けられた AWS CloudHSM キーストアと AWS CloudHSM クラスターに関する情報を提供するカスタムキーストアというセクションが追加されています。

DescribeKey レスポンス内で

AWS CloudHSM キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に ですAWS_CLOUDHSM。このオペレーションは、 AWS CloudHSM キーストアの KMS キーに対して次の特別なフィールドも返します。

  • CloudHsmClusterId

  • CustomKeyStoreId

AWS CloudHSM キーストアの詳細については、「」を参照してくださいAWS CloudHSM キーストア

外部キーストアの KMS キーを特定する

AWS KMS コンソールで

外部キーストアの KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするには、[オリジン] 列をテーブルに追加します。[オリジン] 列により、[外部キーストア] のオリジンプロパティ値を持つ KMS キーを一目で識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。外部キーストアの KMS キー場合、オリジン値は常に [外部キーストア] となります。

外部キーストアの KMS キーの場合、[暗号化設定] タブには [カスタムキーストア][外部キー] の 2 つの追加セクションが含まれます。[カスタムキーストア] テーブルは、その KMS キーに関連付けられた外部キーストアに関する情報を提供します。[外部キーストア] テーブルは、外部キーストアの KMS キーの AWS KMS コンソールにのみ表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。外部キーは、外部キーストアの KMS キーのキーマテリアル AWS として機能する 外の暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、外部キーマネージャーによって実行されます。

[External key] (外部キー) セクションには、次の値が表示されます。

外部キー ID

外部キーマネージャーの外部キーの識別子です。これは、外部キーストアプロキシが外部キーを識別するために使用する値です。外部キー ID は KMS キーの作成時に指定します。この ID を変更することはできません。KMS キーの作成に使用した外部キー ID の値が変更または無効になった場合は、KMS キーを削除するようにスケジュールして、正しい外部キー ID 値を使用し、新しい KMS キーを作成する必要があります。

DescribeKey レスポンス内で

外部キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に ですEXTERNAL_KEY_STORE。オペレーションは、その KMS キーに関連付けられた外部キーストアを特定する CustomKeyStoreId 要素も返します。

外部キーストアの使用の詳細については、「外部キーストア」を参照してください。