翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# オンデマンドキーローテーションの実行
<a name="rotating-keys-on-demand"></a>

自動キーローテーションが有効かどうかにかかわらず、カスタマーマネージド KMS キーのキーマテリアルのオンデマンドローテーションを実行できます。自動ローテーション ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) を無効にしても、オンデマンドローテーションを実行する機能には影響せず、進行中のオンデマンドローテーションもキャンセルされません。オンデマンドローテーションは、既存の自動ローテーションスケジュールには影響を与えません。例えば、ローテーション期間を 730 日に設定して自動キーローテーションを有効化している KMS キーを想定してみましょう。キーの自動ローテーションを 2024 年 4 月 14 日に予定して、オンデマンドローテーションを 2024 年 4 月 10 日に実行しても、キーはスケジュールどおりに、2024 年 4 月 14 日と以降 730 日ごとに自動ローテーションされます。

オンデマンドキーローテーションは、KMS キーごとに最大 25 回実行できます。 AWS KMS コンソールを使用して、KMS キーで使用できる残りのオンデマンドローテーションの数を表示できます。

オンデマンドキーローテーションは、[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)でのみサポートされています。[カスタムキーストア](key-store-overview.md#custom-key-store-overview)では、[非対称 KMS キー](symmetric-asymmetric.md)、[HMAC KMS キー](hmac.md)、または KMS キーのオンデマンドローテーションを実行することはできません。関連する[マルチリージョンキー](rotate-keys.md#multi-region-rotate)セットのオンデマンドローテーションを実行するには、プライマリキーでオンデマンドローテーションを呼び出します。

`kms:RotateKeyOnDemand` および アクセス`kms:GetKeyRotationStatus`許可を持つ承認済みユーザーは、 AWS KMS コンソールと AWS KMS API を使用してオンデマンドキーローテーションを開始し、キーローテーションのステータスを表示できます。KMS キーの完了済みのローテーションを表示するには、[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html) を使用します。

**Topics**
+ [オンデマンドキーローテーションの開始 (コンソール)](#rotate-on-demand-console)
+ [オンデマンドキーローテーションの開始 (AWS KMS API)](#rotate-on-demand-api)

## オンデマンドキーローテーションの開始 (コンソール)
<a name="rotate-on-demand-console"></a>

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。( AWS マネージドキーをオンデマンドローテーションすることはできません。これらのキーのローテーションは毎年自動的に行われます。)

1. KMS キーのエイリアスまたは キー ID を選択します。

1. **[キーマテリアルとローテーション]** タブを選択します。

   **[キーマテリアルとローテーション]** タブは、自動ローテーションまたはオンデマンドローテーションをサポートする対称暗号化 KMS キーの詳細ページにのみ表示されます。これには、 が生成した AWS KMS キーマテリアルを持つ KMS キー (**AWS\$1KMS** オリジン) と、インポートされたキーマテリアルを持つ KMS キー (**外部**オリジン) が含まれます。

   [カスタムキーストア](key-store-overview.md#custom-key-store-overview)では、非対称 KMS キー、HMAC KMS キー、または KMS キーのオンデマンドローテーションを実行することはできません。ただし、[手動でローテーション](rotate-keys-manually.md)することはできます。

1. **[今すぐローテーション]** を選択します。インポートされたキーマテリアルを持つ対称暗号化キーの場合、**Rotate now** オプションは、以前に[新しいキーマテリアルをインポート](importing-keys-import-key-material.md#import-new-key-material)し、それが**保留中のローテーション**状態である場合にのみ使用できます。
**注記**  
マルチリージョンキーの場合、プライマリリージョンキーのみをローテーションできます。

1. そのキーの残りのオンデマンドローテーション回数に関する注意事項が表示されるので、確認します。また、ローテーション後に最新になるキーマテリアルの ID、説明、有効期限などの情報も表示されます。オンデマンドローテーションを続行しない場合は、**[キャンセル]** を選択します。

1. **[キーをローテーションする]** を選択して、オンデマンドローテーションの実行を確定します。
**注記**  
オンデマンドローテーションは、他の AWS KMS 管理オペレーションと同じ結果整合性の影響を受けます。新しいキーマテリアルが AWS KMS全体で使用可能になるまで、若干の遅延が生じることがあります。オンデマンドローテーションが完了すると、コンソールの上部にあるバナーに通知が表示されます。

## オンデマンドキーローテーションの開始 (AWS KMS API)
<a name="rotate-on-demand-api"></a>

任意のカスタマーマネージドキーについて、[AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/) を使用してオンデマンドキーローテーションを開始し、現在のローテーションステータスを確認することができます。この例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用していますが、サポートされている任意のプログラミング言語を使用することができます。

[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) オペレーションは、指定された KMS キーのオンデマンドキーローテーションを直ちに開始します。これらのオペレーションで KMS キーを識別するには、その[キー ID](concepts.md#key-id-key-id) または[キー ARN](concepts.md#key-id-key-ARN) を使用します。

次の例では、指定された対称暗号化 KMS キーについてオンデマンドキーローテーションを開始し、[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) オペレーションを使用してオンデマンドローテーションが進行中であることを確認しています。`kms:GetKeyRotationStatus` レスポンス内の `OnDemandRotationStartDate` は、進行中のオンデマンドローテーションが開始された日時を特定します。この例では、KMS キーで自動ローテーションも有効になっていて、期間は 365 日間です。

```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}
```

KMS キーが自動ローテーションをサポートしていない場合、または自動ローテーションが有効になっていない場合、次の例に示すように、`kms:GetKeyRotationStatus` レスポンスのフィールドの数が少なくなります。

```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false,
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```