翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# パブリックキーを使用してオフラインオペレーションを実行する
非対称 KMS キーでは、プライベートキーは に作成 AWS KMS され、暗号化されていないままになる AWS KMS ことはありません。プライベートキーを使用するには、 を呼び出す必要があります AWS KMS。API AWS KMS オペレーションを呼び出す AWS KMS ことで、 内でパブリックキーを使用できます。または、[パブリックキーをダウンロード](download-public-key.md)して、 の外部で使用するために共有することもできます AWS KMS。
パブリックキーを共有して、プライベートキーでのみ復号 AWS KMS できる 以外のデータを他のユーザーに暗号化させることができます。または、プライベートキーを使用して生成した AWS KMS の外部にあるデジタル署名を他のユーザーが確認できるようにすることができます。または、パブリックキーをピアと共有して共有シークレットを取得することもできます。
AWS KMS内の非対称 KMS キーでパブリックキーを使用すると、すべての AWS KMS オペレーションの一部である認証、認可、ロギングの利点を得ることができます。また、復号できないデータを暗号化するリスクも軽減します。これらの機能は、 の外部では有効ではありません AWS KMS。詳細については、「[パブリックキーのダウンロードに関する特別な考慮事項](#download-public-key-considerations)」を参照してください。
**ヒント**
データキーまたは SSH キーをお探しですか。このトピックでは、プライベートキーをエクスポートすることができない AWS Key Management Serviceでの非対称キーの管理方法を説明しています。プライベートキーが対称暗号化 KMS キーで保護されているエクスポート可能なデータキーペアについては、「[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)」を参照してください。Amazon EC2 インスタンスに関連付けられたパブリックキーのダウンロード方法については、「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/describe-keys.html#retrieving-the-public-key)」内の「*パブリックキーの取得*」および「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/describe-keys.html#retrieving-the-public-key)」を参照してください。
**Topics**
+ [パブリックキーのダウンロードに関する特別な考慮事項](#download-public-key-considerations)
+ [パブリックキーをダウンロードする](download-public-key.md)
+ [オフラインオペレーションの例](offline-operations.md)
## パブリックキーのダウンロードに関する特別な考慮事項
KMS キーを保護するために、 はすべてのオペレーションのアクセスコントロール、認証された暗号化、および詳細なログ AWS KMS を提供します。 AWS KMS また、 では、KMS キーの使用を一時的または永続的に防止することもできます。最後に、 AWS KMS オペレーションは、復号できないデータを暗号化するリスクを最小限に抑えるように設計されています。これらの機能は、ダウンロードしたパブリックキーを の外部で使用する場合は使用できません AWS KMS。
**Authorization**
内の [KMS キーへのアクセスを制御するキーポリシー](key-policies.md)と [IAM ポリシー](iam-policies.md) AWS KMS は、 の外部で実行されるオペレーションには影響しません AWS。パブリックキーを取得できるユーザーは、KMS キーを使用してデータを暗号化したり、署名を検証したりするアクセス許可がない場合 AWS KMS でも、 の外部で使用できます。
**キーの用途の制限**
キーの使用制限は、 の外部では有効ではありません AWS KMS。`KeyUsage` の を持つ KMS キーを使用して [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) オペレーションを呼び出すと`SIGN_VERIFY`、 AWS KMS オペレーションは失敗します。ただし、 `SIGN_VERIFY`または `KeyUsage`の KMS キーからパブリックキー AWS KMS を使用して の外部でデータを暗号化する場合`KEY_AGREEMENT`、データを復号することはできません。
**アルゴリズムの制限**
AWS KMS がサポートする暗号化アルゴリズムと署名アルゴリズムの制限は、 の外部では有効ではありません AWS KMS。外部で KMS キーからパブリックキーを使用してデータを暗号化し AWS KMS、 AWS KMS がサポートしていない暗号化アルゴリズムを使用する場合、データを復号することはできません。
**KMS キーの無効化と削除**
内の暗号化オペレーションで KMS キーが使用されないようにするために実行できるアクション AWS KMS は、誰も の外部でパブリックキーを使用することを妨げません AWS KMS。例えば、KMS キーの無効化、KMS キーの削除のスケジューリング、KMS キーの削除、KMS キーからのキーマテリアルの削除は、 AWS KMSの外部のパブリックキーには影響しません。非対称 KMS キーを削除した場合、またはそのキーマテリアルを削除または紛失した場合、 の外部にあるパブリックキーで暗号化したデータは AWS KMS 回復できません。
**ログ記録**
AWS CloudTrail リクエスト、レスポンス、日付、時刻、承認されたユーザーなど、すべての AWS KMS オペレーションを記録する ログは、 の外部でのパブリックキーの使用を記録しません AWS KMS。
**SM2 キーペアによるオフライン検証 (中国リージョンのみ)**
SM2 パブリックキー AWS KMS を使用して の外部の署名を検証するには、識別 ID を指定する必要があります。デフォルトでは、 AWS KMS を識別 ID `1234567812345678`として使用します。詳細については、「[SM2 キーペアによるオフライン検証](offline-operations.md#key-spec-sm-offline-verification)」(中国リージョンのみ) を参照してください。