オンデマンドキーローテーションの実行 - AWS Key Management Service
オンデマンドキーローテーションの開始 (コンソール)オンデマンドキーローテーションの開始 (AWS KMS API)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オンデマンドキーローテーションの実行

自動キーローテーションが有効かどうかにかかわらず、カスタマーマネージド KMS キーのキーマテリアルのオンデマンドローテーションを実行できます。自動ローテーション (DisableKeyRotation) を無効にしても、オンデマンドローテーションを実行する機能には影響せず、進行中のオンデマンドローテーションもキャンセルされません。オンデマンドローテーションは、既存の自動ローテーションスケジュールには影響を与えません。例えば、ローテーション期間を 730 日に設定して自動キーローテーションを有効化している KMS キーを想定してみましょう。キーの自動ローテーションを 2024 年 4 月 14 日に予定して、オンデマンドローテーションを 2024 年 4 月 10 日に実行しても、キーはスケジュールどおりに、2024 年 4 月 14 日と以降 730 日ごとに自動ローテーションされます。

オンデマンドキーローテーションは、1 つの KMS キーごとに最大 10 回実行できます。AWS KMS コンソール上で、特定の KMS キーについて実行可能な残りのオンデマンドローテーション回数を確認できます。

オンデマンドキーローテーションは、対称暗号化 KMS キーでのみサポートされています。非対称 KMS キーHMAC KMS キーインポートされたキーマテリアルを持つ KMS キー、または カスタムキーストア内の KMS キーをオンデマンドローテーションすることはできません。関連するマルチリージョンキーセットのオンデマンドローテーションを実行するには、プライマリキーでオンデマンドローテーションを呼び出します。

認可されたユーザーが AWS KMS コンソール操作または AWS KMS API を使用することで、オンデマンドキーローテーションを開始し、キーローテーションステータスを確認することができます。

オンデマンドキーローテーションの開始 (コンソール)

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。(AWS マネージドキー をオンデマンドローテーションすることはできません。これらのキーのローテーションは毎年自動的に行われます。)

  4. KMS キーのエイリアスまたは キー ID を選択します。

  5. [キーローテーション] タブを選択します。

    [Key rotation] (キーローテーション) タブは、マルチリージョンの対称暗号化 KMS キーなど、AWS KMS が生成したキーマテリアルを持つ対称暗号化 KMS キー ([Origin] (オリジン) が [AWS_KMS]) の詳細ページにのみ表示されます。

    非対称 KMS キー、HMAC KMS キー、インポートされたキーマテリアルを持つ KMS キー、またはカスタムキーストア内の KMS キーをオンデマンドローテーションすることはできません。ただし、手動でローテーションすることはできます。

  6. [オンデマンドキーローテーション] セクションで、[キーをローテーションする] を選択します。

  7. そのキーの残りのオンデマンドローテーション回数に関する注意事項が表示されるので、確認します。オンデマンドローテーションを続行しない場合は、[キャンセル] を選択します。

  8. [キーをローテーションする] を選択して、オンデマンドローテーションの実行を確定します。

    注記

    オンデマンドローテーションは、他の AWS KMS 管理オペレーションと同様に、結果整合性の影響下にあります。新しいキーマテリアルが AWS KMS 全体で使用可能になるまで、若干の遅延が生じることがあります。オンデマンドローテーションが完了すると、コンソールの上部にあるバナーに通知が表示されます。

オンデマンドキーローテーションの開始 (AWS KMS API)

任意のカスタマーマネージドキーについて、AWS Key Management Service (AWS KMS) API を使用してオンデマンドキーローテーションを開始し、現在のローテーションステータスを確認することができます。この例では AWS Command Line Interface (AWS CLI) を使用していますが、サポートされている任意のプログラミング言語を使用することができます。

RotateKeyOnDemand オペレーションは、指定された KMS キーのオンデマンドキーローテーションを直ちに開始します。これらのオペレーションで KMS キーを識別するには、そのキー ID またはキー ARN を使用します。

次の例では、指定された対称暗号化 KMS キーについてオンデマンドキーローテーションを開始し、GetKeyRotationStatus オペレーションを使用してオンデマンドローテーションが進行中であることを確認しています。kms:GetKeyRotationStatus レスポンス内の OnDemandRotationStartDate は、進行中のオンデマンドローテーションが開始された日時を特定します。

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}