翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# キーの特定と表示
[AWS マネジメントコンソール](https://console.aws.amazon.com/kms) または [AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/) を使用して、管理する KMS キーや によって管理される KMS キーなど、各アカウントとリージョン AWS KMS keys で を表示できます AWS。
**Topics**
+ [キー ID とキー ARN を検索する](find-cmk-id-arn.md)
+ [KMS キーの詳細にアクセスして一覧表示する](finding-keys.md)
+ [さまざまなキータイプの特定](identify-key-types.md)
+ [コンソールの表示をカスタマイズする](viewing-console-customize.md)
+ [キーストアで KMS キーと AWS CloudHSM キーマテリアルを検索する](find-key-material.md)
# キー ID とキー ARN を検索する
を識別するには AWS KMS key、[キー ID](concepts.md#key-id-key-id) または Amazon リソースネーム ([キー ARN](concepts.md#key-id-key-ARN)) を使用できます。[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)では、[エイリアス名](concepts.md#key-id-alias-name)または[エイリアス ARN](concepts.md#key-id-alias-ARN) を使用することもできます。
[AWS KMS コンソール](https://console.aws.amazon.com/kms)または [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) オペレーションを使用して、お使いのアカウントとリージョン内の各 KMS キーのキー ID とキー ARN を確認できます。
でサポートされている KMS キー識別子の詳細については AWS KMS、「」を参照してください[キー識別子 (KeyId)](concepts.md#key-id)。エイリアス名とエイリアス ARN を検索する方法については、「」を参照してください [KMS キーのエイリアス名とエイリアス ARN を見つける](alias-view.md)。
## AWS KMS コンソールの使用
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで **[Customer managed keys]** (カスタマーマネージドキー) を選択します。 AWS が作成および管理しているアカウントのキーを表示するには、ナビゲーションペインで**AWS マネージドキー**を選択します。
1. KMS キーの[キー ID](concepts.md#key-id-key-id) を検索するには、KMS キーのエイリアスで始まる行を参照します。
デフォルトでは、[**キー ID**] 列がテーブルに表示されます。[キー ID] 列がテーブルに表示されない場合は、「[コンソールの表示をカスタマイズする](viewing-console-customize.md)」で説明されている手順に従って復元します。KMS キーの詳細ページで KMS キーのキー ID を表示することもできます。
![\[カスタマーマネージドキー table showing Key ID for a single key-test alias.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/find-key-id-new.png)
1. KMS キーの Amazon リソースネーム (ARN) を検索するには、キー ID またはエイリアスを選択します。[キー ARN](concepts.md#key-id-key-ARN) が [**General configuration**] セクションに表示されます。
![\[General configuration section showing key alias, status, and ARN details.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/find-key-arn.png)
## AWS KMS API の使用
の[キー ID](concepts.md#key-id-key-id) と[キー ARN](concepts.md#key-id-key-ARN) を検索するには AWS KMS key、[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) オペレーションを使用します。
`ListKeys` オペレーションは、呼び出し元のアカウントとリージョン内のすべての KMS キーのキー ID と Amazon リソースネーム (ARN) を返します。
例えば、`ListKeys` オペレーションに対するこの呼び出しでは、架空のアカウントの各 KMS キーの ID と ARN を返します。複数のプログラミング言語の例については、「[AWS SDK または CLI `ListKeys`で を使用する](example_kms_ListKeys_section.md)」を参照してください。
```
$ aws kms list-keys
{
"Keys": [
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
]
}
```
# KMS キーの詳細にアクセスして一覧表示する
[AWS KMS コンソール](https://console.aws.amazon.com/kms)または [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用して、アカウントとリージョン内の KMS キーに関する詳細情報にアクセスして一覧表示できます。
以下の手順は、キー ID、キー仕様、キー用途などの KMS キーの詳細にアクセスする方法を示します。
## AWS KMS コンソールの使用
各 KMS キーの詳細ページには、KMS キーのプロパティが表示されます。KMS キーの種類によって若干異なります。
KMS キーに関する詳細情報を表示するには、 **AWS マネージドキー ** または**カスタマーマネージドキー**ページで、KMS キーのエイリアスまたはキー ID を選択します。
KMS キーの詳細ページには、KMS キーのベーシックプロパティを表示する **[General configuration]** (一般設定) セクションがあります。また、**キーポリシー**、**暗号化設定**、**タグ**、**キーマテリアルとローテーション** (自動ローテーションまたはオンデマンドローテーションをサポートする KMS キーの場合)、**リージョナリティ** (マルチリージョンキーの場合)、**パブリックキー** (非対称 KMS キーの場合) など、KMS キーのプロパティを表示および編集できるタブも含まれています。
**注記**
AWS KMS コンソールには、アカウントとリージョンで[表示するアクセス許可](customer-managed-policies.md#iam-policy-example-read-only-console)を持つ KMS キーが表示されます。他の の KMS キーは、表示、管理、使用するアクセス許可がある場合でも、コンソールには表示 AWS アカウント されません。他のアカウントの KMS キーを表示するには、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用します。
KMS キーのキーの詳細ページに移動するには
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで **[Customer managed keys]** (カスタマーマネージドキー) を選択します。が AWS 作成および管理するアカウントのキーを表示するには、ナビゲーションペインでマネージド**AWS キー**を選択します。
1. キーの詳細ページを開くには、キーテーブルで KMS キーのキー ID またはエイリアスを選択します。
KMS キーに複数のエイリアスがある場合、エイリアスの概要 (**\$1*n* 個追加**) が、エイリアスの 1 つの名前の横に表示されます。エイリアスのサマリーを選択すると、キーの詳細ページの **Aliases** (エイリアス) タブを直接表示します。
![\[AWS KMSカスタマー管理キー details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
次のリストでは、タブ内のフィールドを含め、詳細表示のフィールドについて説明します。これらのフィールドの一部は、テーブル表示の列としても使用できます。
**Aliases**
場所: [Aliases] (エイリアス) タブ
KMS キーのわかりやすい名前。エイリアスを使用して、コンソールと一部の AWS KMS APIs で KMS キーを識別できます。詳細については、「[のエイリアス AWS KMS](kms-alias.md)」を参照してください。
**エイリアス**タブには、 AWS アカウント および リージョンの KMS キーに関連付けられたすべてのエイリアスが表示されます。
**ARN**
場所: [General configuration] (一般設定) セクション
KMS キーの Amazon リソースネーム (ARN)。この値は KMS キーを一意に識別します。この値を使用して、 AWS KMS API オペレーションで KMS キーを識別できます。
**接続状態**
[カスタムキーストア](key-store-overview.md#custom-key-store-overview)がバッキングキーストアに接続しているかどうかを示します。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。
このフィールドの値の詳細については、「AWS KMS API リファレンス」の「[ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)」を参照してください。
**作成日**
場所: [General configuration] (一般設定) セクション
KMS キーが作成された日時。この値は、デバイスの現地時間で表示されます。タイムゾーンはリージョンに依存しません。
**有効期限切れ**とは異なり、作成時は KMS キーのみを参照し、キーマテリアルは参照しません。
**CloudHSM クラスター ID**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーのキーマテリアルを含む AWS CloudHSM クラスターのクラスター ID。このフィールドは、KMS キーが[カスタムキーストア](key-store-overview.md#custom-key-store-overview)で作成された場合にのみ表示されます。
CloudHSM クラスター ID を選択すると、 AWS CloudHSM コンソールで**クラスター**ページが開きます。
**現在のキーマテリアル**
場所: [General configuration] (一般設定) セクション
`AWS_KMS` オリジンを含む対称暗号化キーは、自動ローテーションとオンデマンドローテーションの両方をサポートします。`EXTERNAL` オリジンを使用した対称暗号化キーは、オンデマンドローテーションをサポートします。これらのキーには、キーに関連付けられた複数のキーマテリアルを含めることができます。最後にローテーションされたキーマテリアルは、暗号化と復号の両方に使用できます。このキーマテリアルは、現在のキーマテリアルとして識別されます。他のキーマテリアルは復号にのみ使用できます。KMS キーの自動キーローテーションまたはオンデマンドキーローテーションを実行すると、キーの現在のキーマテリアルが変更されます。
**カスタムキーストア ID**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーを含む[カスタムキーストア](key-store-overview.md#custom-key-store-overview)の ID。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。
カスタムキーストア ID を選択すると、 AWS KMS コンソールで**カスタムキーストア**ページが開きます。
**カスタムキーストア名**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーを含む[カスタムキーストア](key-store-overview.md#custom-key-store-overview)の名前。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。
**カスタムキーストアのタイプ**
場所: [Cryptographic configuration] (暗号化設定) タブ
カスタムキーストアが [AWS CloudHSM キーストア](keystore-cloudhsm.md)と[外部キーストア](keystore-external.md)のいずれであるのかを示します。このフィールドは、KMS キーが[カスタムキーストア](key-store-overview.md#custom-key-store-overview)で作成された場合にのみ表示されます。
**説明**
場所: [General configuration] (一般設定) セクション
書き込みおよび編集できる KMS キーの簡単な説明 (オプション)。カスタマーマネージドキーの説明を追加または更新するには、上記の**一般設定**で**編集**を選択します。
**暗号化アルゴリズム**
場所: [Cryptographic configuration] (暗号化設定) タブ
AWS KMSで KMS キーとともに使用できる暗号化アルゴリズムを一覧表示します。このフィールドは、**[Key type]** (キーのタイプ) が **[Asymmetric]** (非対称) で、**[Key usage]** (キーの用途) が **[Encrypt and decrypt]** (暗号化と復号) の場合にのみ表示されます。が AWS KMS サポートする暗号化アルゴリズムの詳細については、[SYMMETRIC\$1DEFAULT キー仕様](symm-asymm-choose-key-spec.md#symmetric-cmks)「」および「」を参照してください[暗号化および復号の RSA キー仕様](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption)。
**有効期限日**
場所:[キーマテリアル] タブ
KMS キーのキーマテリアルの有効期限が切れる日時。このフィールドは、[インポートされたキーマテリアル](importing-keys.md)を持つ KMS キーに対してのみ表示されます。つまり、[**Origin**] (オリジン) が [**External**] (外部) で、KMS キーに有効期限付きキーマテリアルがある場合です。対称暗号化キーには、複数のキーマテリアルを関連付けることができます。このようなキーの場合、このフィールドには、関連するキーマテリアルの中で有効期限が最も早いものの日時が表示されます。
**外部キー ID**
場所: [Cryptographic configuration] (暗号化設定) タブ
[外部キーストア](keystore-external.md)の KMS キーに関連付けられている[外部キー](keystore-external.md#concept-external-key)のID。このフィールドは、外部キーストアの KMS キーにのみ表示されます。
**外部キーのステータス**
場所: [Cryptographic configuration] (暗号化設定) タブ
[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)が KMS キーに関連付けられた[外部キー](keystore-external.md#concept-external-key)について報告した最新のステータス。このフィールドは、外部キーストアの KMS キーにのみ表示されます。
**外部キーの使用**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーに関連付けられた[外部キー](keystore-external.md#concept-external-key)で有効になっている、暗号化のオペレーション。このフィールドは、外部キーストアの KMS キーにのみ表示されます。
**キーポリシー**
場所: [Key policy] (キーポリシー) タブ
[IAM ポリシー](iam-policies.md)および[グラント](grants.md)とともに KMS キーへのアクセスを制御します。KMS キーそれぞれに 1 つのキーポリシーがあります。これは、唯一の必須認可要素です。カスタマーマネージドキーのキーポリシーを変更するには、**キーポリシー**タブで**編集**を選択します。詳細については、「[のキーポリシー AWS KMS](key-policies.md)」を参照してください。
**キーマテリアルとローテーション**
場所: [キーマテリアルとローテーション] タブ
このタブは、`AWS_KMS` オリジンを含む対称暗号化キー (自動ローテーションとオンデマンドローテーションの両方をサポート) と、`EXTERNAL` オリジンを含む単一リージョンの対称暗号化キー (オンデマンドローテーションをサポート) に対してのみ表示されます。
タブには 3 つのパネルがあります。
自動ローテーション: [カスタマーマネージド KMS キー](concepts.md#customer-mgn-key)のキーマテリアルの[自動ローテーション](rotate-keys.md)を有効化または無効可します。[カスタマーマネージドキー](concepts.md#customer-mgn-key)のキーローテーションステータスを変更するには、チェックボックスを使用します。[AWS マネージドキー](concepts.md#aws-managed-key)のキーマテリアルのローテーションを有効または無効にすることはできません。 AWS マネージドキー は毎年自動的にローテーションされます。
オンデマンドローテーション: [カスタマーマネージドキー](concepts.md#customer-mgn-key)でキーマテリアルの[オンデマンドローテーション](rotate-keys.md)を開始します。インポートされたキーの場合、**[今すぐローテーション]** オプションを使用するには、`PENDING_ROTATION` 状態のインポートされたキーマテリアルが存在する必要があります。
キーマテリアル: KMS キーに関連付けられているすべてのキーマテリアルが一覧表示されます。各キーマテリアルには一意の識別子があり、その行には、キーマテリアルに関する追加情報 (キーマテリアルが KMS で使用できるようになったローテーション日など) が表示されます。インポートされたキーの場合、各行には、特定のキーマテリアルの削除や KMS キーへの再インポートに使用できる **[アクション]** メニューも表示されます。
** キー仕様**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーのキーマテリアルのタイプ。 は、対称暗号化 KMS キー (SYMMETRIC\$1DEFAULT)、異なる長さの HMAC KMS キー、異なる長さの RSA キーの KMS キー、および異なる曲線の楕円曲線キー AWS KMS をサポートします。詳細については、「[Key spec](create-keys.md#key-spec)」を参照してください。
**キーのタイプ**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーが**対称**か**非対称**かを示します。
** キーの用途**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーを **[Encrypt and decrypt]** (暗号化および復号)、**[Sign and verify]** (署名および検証)、または **[Generate and verify MAC]** (MAC の生成と検証) のどれに使用できるかを示します。詳細については、「[Key usage](create-keys.md#key-usage)」を参照してください。
**オリジン**
場所: [Cryptographic configuration] (暗号化設定) タブ
KMS キーのキーマテリアルのソース。次の値を指定できます。
+ AWS KMS が生成するキーマテリアル用の **AWS KMS**
+ [AWS CloudHSM キーストア](keystore-cloudhsm.md)の KMS キー用の **AWS CloudHSM**
+ [インポートされたキーマテリアル](importing-keys.md)の**外部** (BYOK)
+ [外部キーストア](keystore-external.md)の KMS キー用の**外部キーストア**
**MAC アルゴリズム**
場所: [Cryptographic configuration] (暗号化設定) タブ
AWS KMSで HMAC KMS キーと使用できる MAC アルゴリズムのリストです。このフィールドは、**[Key spec]** (キーの仕様) が HMAC キー仕様 (HMAC\$1\$1) である場合にのみ表示されます。 AWS KMS がサポートする MAC アルゴリズムについては、「[HMAC KMS キーの主な仕様](symm-asymm-choose-key-spec.md#hmac-key-specs)」を参照してください。
**プライマリキー**
場所: [リージョナリティ] タブ
この KMS キーが[マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)であることを示します。認可されたユーザーはこのセクションを使用して、別の関連するマルチリージョンキーに[プライマリキーを変更](multi-region-update.md)できます。このフィールドは、KMS キーがマルチリージョンのプライマリキーである場合にのみ表示されます。
**パブリックキー**
場所: [Public key] (パブリックキー) タブ
非対称 KMS キーのパブリックキーを表示します。承認されたユーザーは、このタブを使用して[パブリックキーをコピーおよびダウンロード](download-public-key.md)できます。
**リージョナリティー**
場所: 一般設定セクションおよびリージョナリティータブ
KMS キーが単一リージョンキー、[マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)、または[マルチリージョンのレプリカキー](multi-region-keys-overview.md#mrk-replica-key)のいずれであるかを示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。
**関連するマルチリージョンキー**
場所: [リージョナリティ] タブ
関連するすべての[マルチリージョンのプライマリキーとレプリカキー](multi-region-keys-overview.md) (現在の KMS キーを除く) を表示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。
プライマリキーの **[Related multi-Region keys]** (関連するマルチリージョンキー) セクションでは、承認されたユーザーが[新しいレプリカキーを作成](multi-region-keys-replicate.md)できます。
**レプリカキー**
場所: [リージョナリティ] タブ
この KMS キーが[マルチリージョンのレプリカキー](multi-region-keys-overview.md#mrk-replica-key)であることを示します。このフィールドは、KMS キーがマルチリージョンのレプリカキーである場合にのみ表示されます。
**署名アルゴリズム**
場所: [Cryptographic configuration] (暗号化設定) タブ
AWS KMSで KMS キーとともに使用できる署名アルゴリズムを一覧表示します。このフィールドは、**[Key type]** (キーのタイプ) が **[Asymmetric]** (非対称) で、**[Key usage]** (キーの用途) が **[Sign and verify]** (署名と検証) の場合にのみ表示されます。が AWS KMS サポートする署名アルゴリズムの詳細については、[署名および検証用の RSA キー仕様](symm-asymm-choose-key-spec.md#key-spec-rsa-sign)「」および「」を参照してください[楕円曲線のキー仕様](symm-asymm-choose-key-spec.md#key-spec-ecc)。
**ステータス**
場所: [General configuration] (一般設定) セクション
KMS キーのキーステータス。KMS キーはステータスが**有効**の場合にのみ、[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で使用できます。各 KMS キーステータスと KMS キーで実行されるオペレーションへの影響の詳細については、[キーの AWS KMS キーステータス](key-state.md) を参照してください。
**タグ**
場所: [Tags] (タグ) タブ
KMS キーを記述するオプションのキーバリューペア。KMS キーのタグを追加または変更するには、[**Tags**] (タグ) タブで [**Edit**] (編集) を選択します。
AWS リソースにタグを追加すると、 は使用量とコストをタグ別に集計したコスト配分レポート AWS を生成します。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、[のタグ AWS KMS](tagging-keys.md) および [の ABAC AWS KMS](abac.md) を参照してください。
## AWS KMS API の使用
[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションは、指定された KMS キーの詳細を返します。KMS キーを識別するには、その[キー ID](concepts.md#key-id-key-id)、[キー ARN](concepts.md#key-id-key-ARN)、[エイリアス名](concepts.md#key-id-alias-name)、[エイリアス ARN](concepts.md#key-id-alias-ARN) を使用します。
発信者のアカウントとリージョンの KMS キーのみが表示される [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) オペレーションとは異なり、許可されたユーザーは、`DescribeKey` オペレーションを使用して、他のアカウントの KMS キーに関する詳細を取得できます。
**注記**
`DescribeKey` レスポンスは、同じ値を持つ `KeySpec` および `CustomerMasterKeySpec` メンバーの両方を含みます。`CustomerMasterKeySpec` メンバーは非推奨です。
例えば、`DescribeKey` に対するこの呼び出しは、対称暗号化 KMS キーに関する情報を返します。レスポンスのフィールドは、[AWS KMS key の仕様](create-keys.md#key-spec)、[キーの状態](key-state.md)、[キーマテリアルのオリジン](create-keys.md#key-origin)によって異なります。複数のプログラミング言語の例については、「[AWS SDK または CLI `DescribeKey`で を使用する](example_kms_DescribeKey_section.md)」を参照してください。
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
この例では、署名と検証に使用される非対称 KMS キーで `DescribeKey` オペレーションを呼び出します。レスポンスには、この KMS キーに対して AWS KMS がサポートする署名アルゴリズムが含まれます。
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```
# さまざまなキータイプの特定
以下のトピックでは、 AWS KMS コンソールおよび [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) レスポンスでさまざまなキータイプを識別する方法について説明します。
KMS キーの詳細ページにある **[暗号化設定]** タブに移動する方法については、「[KMS キーの詳細にアクセスして一覧表示する](finding-keys.md)」を参照してください。
**Topics**
+ [非対称 KMS キーを特定する](#identify-asymm-keys)
+ [HMAC KMS キーの特定](#hmac-view)
+ [マルチリージョン KMS キーの特定](#multi-region-keys-view)
+ [インポートされたキーマテリアルを持つ KMS キーを特定する](#identify-imported-keys)
+ [キーストア内の KMS AWS CloudHSM キーを特定する](#identify-key-hsm-keystore)
+ [外部キーストアの KMS キーを特定する](#view-xks-key)
## 非対称 KMS キーを特定する
** AWS KMS コンソールで**
**[カスタマーマネージドキー]** テーブルの **[キータイプ]** 列は、各 KMS キーが対称であるか非対称であるかを示します。**[キータイプ]** 値でテーブルをフィルタリングして、非対称 KMS キーのみを表示させることができます。詳細については、「[KMS キーのソートおよびフィルタリング](viewing-console-customize.md#viewing-console-filter)」を参照してください。
KMS キーの詳細ページの **[暗号化設定]** タブに **[キータイプ]** が表示され、そのキーが対称か非対称かを示します。また、**[キーの用途]** も表示されます。これは、その非対称 KMS キーが暗号化と復号化、署名と検証、および共有シークレットの取得のうちどの用途に使用されるのかを示します。
**DescribeKey レスポンス内で**
非対称 KMS キーで `DescribeKey` オペレーションを呼び出すと、レスポンスには `KeySpec` と `KeyUsage` の値が含まれます。これらの値を使用して、KMS キーが対称か非対称かを確認できます。
`KeySpec` 値が `SYMMETRIC_DEFAULT` の場合、そのキーは対称暗号化 KMS キーです。非対称キー仕様の詳細については、「[キー仕様のリファレンス](symm-asymm-choose-key-spec.md)」を参照してください。
`KeyUsage` 値が `SIGN_VERIFY` または `KEY_AGREEMENT` の場合、そのキーは非対称 KMS キーです。
`DescribeKey` オペレーションは、非対称 KMS キーに関する以下の詳細も返します。
+ `KeyUsage` 値が `ENCRYPT_DECRYPT` である非対称 KMS キーの場合、オペレーションはそのキーの有効な暗号化アルゴリズムを一覧表示する `EncryptionAlgorithms` を返します。
+ `KeyUsage` 値が `SIGN_VERIFY` である非対称 KMS キーの場合、オペレーションはそのキーの有効な署名アルゴリズムを一覧表示する `SigningAlgorithms` を返します。
+ `KeyUsage` 値が `KEY_AGREEMENT` である非対称 KMS キーの場合、オペレーションはそのキーの有効なキーアグリーメントアルゴリズムを一覧表示する `KeyAgreementAlgorithms` を返します。
非対称 KMS キーの詳細については、「[の非対称キー AWS KMS](symmetric-asymmetric.md)」を参照してください。
## HMAC KMS キーの特定
** AWS KMS コンソールで**
HMAC KMS キーは **[カスタマーマネージドキー]** テーブルに含まれていますが、HMAC キーを識別するキー仕様値またはキー用途値でこのテーブルをソートまたはフィルタリングすることはできません。HMAC キーを見つけやすくするには、それらに固有のエイリアスまたはタグを割り当てます。そうすることで、エイリアスまたはタグによるソートまたはフィルタリングが可能になります。
KMS キーの詳細ページの **[暗号化設定]** タブに **[キータイプ]** が表示され、そのキーが対称か非対称かを示します。HMAC KMS キーは対称です。**[暗号化設定]** タブには、**[キーの用途]** も表示されます。HMAC KMS キーにおいて、有効なキー用途値は常に **[MAC の生成と検証]** となります。
**DescribeKey レスポンス内で**
HMAC KMS キーで `DescribeKey` オペレーションを呼び出すと、レスポンスには `KeySpec` と `KeyUsage` の値が含まれます。HMAC KMS キーの場合、キー用途値は常に `GENERATE_VERIFY_MAC`であり、キー仕様値は常に `HMAC_` で始まります。
HMAC KMS キーの詳細については、「[の HMAC キー AWS KMS](hmac.md)」を参照してください。
## マルチリージョン KMS キーの特定
** AWS KMS コンソールで**
**[カスタマーマネージドキー]** テーブルには、選択されているリージョンの KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。 AWS リージョンを変更するには、コンソールの右上隅にあるリージョンセレクターを使用します。
**[カスタマーマネージドキー]** テーブルでマルチリージョンキーを識別しやすくするには、テーブルに **[リージョナリティ]** を追加します。ヘルプについては、「[KMS キーテーブルのカスタマイズ](viewing-console-customize.md#console-customize-tables)」を参照してください。
マルチリージョン KMS キーの詳細ページには、**[リージョナリティ]** タブがあります。プライマリキーの **[リージョナリティー]** タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。**関連するマルチリージョンキー**セクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。
関連するマルチリージョンキーテーブルから**関連するマルチリージョンキー**を選択すると、 AWS KMS コンソールは選択したキーのリージョンに変更され、キーの詳細ページが開きます。たとえば、以下の**「関連するマルチリージョンキー**」セクションの例から`sa-east-1`リージョンのレプリカキーを選択すると、 AWS KMS コンソールは`sa-east-1`リージョンに変更され、そのレプリカキーの詳細ページが表示されます。レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。
**DescribeKey レスポンス内で**
デフォルトでは、 AWS KMS API オペレーションはリージョン別であり、現在または指定されたリージョンのリソースのみを返します。ただし、マルチリージョン KMS キーで `DescribeKey`オペレーションを呼び出すと、レスポンスには `MultiRegionConfiguration`要素の他の AWS リージョンに関連するすべてのマルチリージョンキーが含まれます。
マルチリージョン KMS キーの詳細については、「[のマルチリージョンキー AWS KMS](multi-region-keys-overview.md)」を参照してください。
## インポートされたキーマテリアルを持つ KMS キーを特定する
** AWS KMS コンソールで**
インポートされたキーマテリアルを持つ KMS キーを **[カスタマーマネージドキー]** テーブルで識別しやすくするため、テーブルに **[オリジン]** 列を追加します。**[オリジン]** 列によって、**EXTERNAL (キーマテリアルのインポート)** のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「[KMS キーテーブルのカスタマイズ](viewing-console-customize.md#console-customize-tables)」を参照してください。
KMS キーの詳細ページにある **[暗号化設定]** タブには、その KMS キーのキーマテリアルのソースを示す **[オリジン]** が表示されます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に **[外部] (インポートキーマテリアル)** となります。詳細ページには、インポートされたキーマテリアルに関する詳細情報を提供する **[キーマテリアル]** タブも含まれます。`EXTERNAL` オリジンを持つ対称暗号化キーはオンデマンドローテーションをサポートし、複数のキーマテリアルを関連付けることができます。そのようなキーの場合、タブには「**キーマテリアルとローテーション**」というラベルが付けられます。
**DescribeKey レスポンス内で**
インポートされたキーマテリアルを持つ KMS キーで `DescribeKey` オペレーションを呼び出すと、レスポンスには `Origin`、`ExpirationModel`、`ValidTo` の各値が含まれます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に `EXTERNAL` となります。`ExpirationModel` 値は、そのキーマテリアルに有効期限が設定されているかどうかを示し、`ValidTo` 値はキーマテリアルの有効期限を示します。複数のキーマテリアルが 1 つのキーに関連付けられている場合、`ValidTo` の値は、すべてのキーマテリアル (保留中のローテーションを除く) の最も早い有効期限を示します。`ExpirationModel`は、いずれのキーマテリアルの有効期限も設定されていない場合にのみ `DOES_NOT_EXPIRE` に設定されます。詳細については、「[有効期限の設定 (オプション)](importing-keys-import-key-material.md#importing-keys-expiration)」を参照してください。
インポートされたキーマテリアルを持つ KMS キーの詳細については、「[キーの AWS KMS キーマテリアルのインポート](importing-keys.md)」を参照してください。
## キーストア内の KMS AWS CloudHSM キーを特定する
** AWS KMS コンソールで**
カスタマーマネージドキーテーブルの AWS CloudHSM キーストアで KMS キーを識別しやすくするには、**オリジン**列をテーブルに追加します。 ******[オリジン]** 列では、**AWS CloudHSM** のオリジンプロパティ値のある KMS キーを簡単に識別できます。ヘルプについては、「[KMS キーテーブルのカスタマイズ](viewing-console-customize.md#console-customize-tables)」を参照してください。
KMS キーの詳細ページにある **[暗号化設定]** タブには、その KMS キーのキーマテリアルのソースを示す **[オリジン]** が表示されます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に です**AWS CloudHSM**。
AWS CloudHSM キーストアの KMS キーの場合、**暗号化設定**タブには、KMS **キー**に関連付けられた AWS CloudHSM キーストアと AWS CloudHSM クラスターに関する情報を提供するカスタムキーストアというセクションが追加されています。
**DescribeKey レスポンス内で**
AWS CloudHSM キーストアの KMS キーで `DescribeKey` オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す `Origin` が含まれます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に です`AWS_CLOUDHSM`。オペレーションは、 AWS CloudHSM キーストアの KMS キーに対して次の特別なフィールドも返します。
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`
AWS CloudHSM キーストアの詳細については、「」を参照してください[AWS CloudHSM キーストア](keystore-cloudhsm.md)。
## 外部キーストアの KMS キーを特定する
** AWS KMS コンソールで**
外部キーストアの KMS キーを **[カスタマーマネージドキー]** テーブルで識別しやすくするには、**[オリジン]** 列をテーブルに追加します。**[オリジン]** 列により、**[外部キーストア]** のオリジンプロパティ値を持つ KMS キーを一目で識別できます。ヘルプについては、「[KMS キーテーブルのカスタマイズ](viewing-console-customize.md#console-customize-tables)」を参照してください。
KMS キーの詳細ページにある **[暗号化設定]** タブには、その KMS キーのキーマテリアルのソースを示す **[オリジン]** が表示されます。外部キーストアの KMS キー場合、オリジン値は常に **[外部キーストア]** となります。
外部キーストアの KMS キーの場合、**[暗号化設定]** タブには **[カスタムキーストア]** と **[外部キー]** の 2 つの追加セクションが含まれます。**[カスタムキーストア]** テーブルは、その KMS キーに関連付けられた外部キーストアに関する情報を提供します。**[外部キーストア]** テーブルは、外部キーストアの KMS キーの AWS KMS コンソールにのみ表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。[*外部キー*](keystore-external.md#concept-external-key)は、外部キーストアの KMS キーのキーマテリアル AWS として機能する 外の暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、[外部キーマネージャー](keystore-external.md#concept-ekm)によって実行されます。
**[External key]** (外部キー) セクションには、次の値が表示されます。
**外部キー ID**
外部キーマネージャーの外部キーの識別子です。これは、外部キーストアプロキシが外部キーを識別するために使用する値です。外部キー ID は KMS キーの作成時に指定します。この ID を変更することはできません。KMS キーの作成に使用した外部キー ID の値が変更または無効になった場合は、[KMS キーを削除するようにスケジュールして](deleting-keys.md)、正しい外部キー ID 値を使用し、[新しい KMS キーを作成する](create-xks-keys.md)必要があります。
**DescribeKey レスポンス内で**
外部キーストアの KMS キーで `DescribeKey` オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す `Origin` が含まれます。キーストアの KMS AWS CloudHSM キーの場合、オリジン値は常に です`EXTERNAL_KEY_STORE`。オペレーションは、その KMS キーに関連付けられた外部キーストアを特定する `CustomKeyStoreId` 要素も返します。
外部キーストアの使用の詳細については、「[外部キーストア](keystore-external.md)」を参照してください。
# コンソールの表示をカスタマイズする
AWS KMS コンソールの表示をカスタマイズして、KMS キーを見つけやすくすることができます。**[AWS マネージドキー]** および **[カスタマーマネージドキー]** ページに表示されるテーブルをカスタマイズして、最も必要な情報を見やすく表示したり、テーブル内に返される KMS キーをソートしてフィルタリングします。
**Topics**
+ [KMS キーのソートおよびフィルタリング](#viewing-console-filter)
+ [KMS キーテーブルのカスタマイズ](#console-customize-tables)
## KMS キーのソートおよびフィルタリング
コンソールで KMS キーを検索しやすくするために、キーテーブルをソートしてフィルタリングできます。
**並べ替え**
KMS キーを列の値で昇順または降順にソートできます。この機能は、テーブル内の KMS キーが現在のテーブルページに表示されていない場合も、すべての KMS キーをソートします。
ソート可能な列は、列名の横の矢印で示されます。**AWS マネージドキー** ページでは、**[Aliases]** (エイリアス) または **[Key ID]** (キー ID) でソートできます。[**Customer managed keys**] (カスタマーマネージドキー) ページでは、[**Aliases**] (エイリアス)、[**Key ID**] (キー ID)、または [**Key type**] (キータイプ) でソートできます。
昇順で並べ替えるには、矢印が上を向くように列見出しを選択します。降順で並べ替えるには、矢印が下を向くように列見出しを選択します。一度に 1 つの列のみでソートすることができます。
例えば、デフォルトのエイリアスではなく、キー ID により昇順で KMS キーをソートできます。
![\[AWS マネージドキー interface showing sortable columns for Aliases and Key ID.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/console-sort.png)
[**Customer managed keys**] (カスタマーマネージドキー) ページの KMS キーを [**Key type**] (キータイプ) で昇順にソートすると、すべての非対称キーがすべての対称キーの前に表示されます。
**フィルター**
KMS キーは、プロパティ値またはタグでフィルタリングできます。フィルターは、現在のテーブルページに表示されていない場合でも、テーブル内のすべての KMS キーに適用されます。フィルターでは、大文字と小文字は区別されません。
フィルタリング可能なプロパティがフィルターボックスに一覧表示されます。**AWS マネージドキー ** ページでは、エイリアスおよびキー IDでフィルタリングできます。[**Customer managed keys**] (カスタマーマネージドキー) ページでは、エイリアス、キー ID、キータイププロパティ、タグでフィルタリングできます。
+ **AWS マネージドキー** ページでは、エイリアスおよびキー IDでフィルタリングできます。
+ [**Customer managed keys**] (カスタマーマネージドキー) ページでは、タグ、エイリアス、キー ID、キータイプ、リージョナリティのプロパティでフィルタリングできます。
プロパティ値でフィルタリングするには、フィルター、プロパティ名の順に選択し、実際のプロパティ値のリストから選択します。タグでフィルタリングするには、タグキーを選択し、実際のタグ値のリストから選択します。プロパティまたはタグキーを選択した後、プロパティ値またはタグ値のすべてまたは一部を入力することもできます。選択を行う前に、結果のプレビューが表示されます。
例えば、`aws/e` を含むエイリアス名で KMS キーを表示するには、フィルターボックス、[**Alias (エイリアス)**]、タイプ `aws/e` の順に選択し、`Enter` または `Return` を押してフィルターを追加します。
![\[Search box for AWS マネージドキー with Aliases filter and example entries.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/filter-alias.png)
### 推奨される KMS キーテーブルフィルター
**非対称 KMS キーのフィルタリング**
[**Customer managed keys**] (カスタマーマネージドキー) ページに非対称 KMS キーのみを表示するには、フィルターボックスをクリックして、[**Key type**] (キータイプ)、[**Key type: Asymmetric**] (キータイプ: 非対称) の順に選択します。**非対称**オプションは、テーブルに非対称 KMS キーがある場合にのみ表示されます。
**マルチリージョンキーのフィルタリング**
マルチリージョンキーのみを表示するには、[**Customer managed keys**] (カスタマーマネージドキー) ページで、フィルターボックス、[**Regionality**] (リージョナリティー)、[**Regionality: Multi-Region**] (リージョナリティー: マルチリージョン) の順に選択します。**マルチリージョンキー**オプションは、テーブルにマルチリージョンキーがある場合にのみ表示されます。
**タグのフィルタリング**
特定のタグを持つ KMS キーのみを表示するには、フィルターボックス、タグキーの順に選択し、実際のタグ値の中から選択します。タグ値のすべてまたは一部を入力することもできます。
結果のテーブルには、選択したタグを持つすべての KMS キーが表示されます。ただし、タグは表示されません。タグを表示するには、KMS キーのキー ID またはエイリアスを選択し、その詳細ページで **[Tags]** (タグ) タブを選択します。これらのタブは、**一般設定**セクションにあります。
このフィルターには、タグキーとタグ値の両方が必要です。タグキーのみを入力しても、その値のみを入力しても KMS キーは検索されません。タグキー、値のすべてまたは一部でタグをフィルタリングするには、[ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html) オペレーションを使用してタグ付けされた KMS キーを取得し、プログラミング言語のフィルタリング機能を使用します。
**テキストでのフィルタリング**
テキストを検索するには、フィルターボックスに、エイリアス、キー ID、キータイプ、タグキーのすべてまたは一部を入力します。(タグキーの選択後、タグ値を検索できます)。選択を行う前に、結果のプレビューが表示されます。
例えば、KMS キーをタグキーまたはフィルタリング可能なプロパティの `test` で表示するには、フィルターボックスの `test` を入力します。プレビューには、フィルターが選択する KMS キーが表示されます。この場合、`test` は**エイリアス**のプロパティにのみ表示されます。
## KMS キーテーブルのカスタマイズ
**AWS マネージドキー** および の**カスタマーマネージドキー**ページに表示されるテーブルは AWS マネジメントコンソール 、ニーズに合わせてカスタマイズできます。テーブル列、 AWS KMS keys 各ページの の数 (**ページサイズ**)、テキストラップを選択できます。選択した設定は、確認すると保存され、ページを開くたびに再適用されます。
**KMS キーテーブルをカスタマイズするには**
1. **AWS マネージドキー** または [**Customer managed keys**] (カスタマーマネージドキー) ページで、ページの右上隅にある設定アイコン (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/console-icon-settings-new.png)) を選択します。
1. **[Preferences]** (設定) ページで、必要な設定を選択してから **[Confirm]** (確認) を選択します。
**ページサイズ**設定を使用して、特に、スクロールしやすいデバイスを通常使用する場合、各ページに表示される KMS キーの数を増やすことを検討します。
表示されるデータ列は、テーブル、ジョブロール、アカウントとリージョンでの KMS キーのタイプによって異なる場合があります。次の表に、推奨される設定を示します。列の説明については、「[AWS KMS コンソールの使用](finding-keys.md#viewing-console-details)」を参照してください。
### 推奨される KMS キーテーブルの設定
KMS キーテーブルに表示される列をカスタマイズして、KMS キーに関する必要な情報を表示できます。
**AWS マネージドキー**
デフォルトでは、**AWS マネージドキー** テーブルに **[エイリアス]**、**[キー ID]**、**[ステータス]** の各列が表示されます。これらの列は、ほとんどのユースケースに最適です。
**対称暗号化 KMS キー**
AWS KMSによって生成されたキーマテリアルを含む対称暗号化 KMS キーのみを使用する場合は、**[エイリアス]**、**[キー ID]**、**[ステータス]**、**[作成日]** の各列が最も役に立つと思われます。
**非対称 KMS キー**
非対称 KMS キーを使用する場合は、**[エイリアス]**、**[キー ID]**、**[ステータス]** 列に加えて、**[キータイプ]**、**[キーの仕様]**、**[キーの使用]** 列を追加することを検討してください。これらの列には、KMS キーが対称か非対称か、キーマテリアルのタイプ、KMS キーを暗号化または署名に使用できるかが表示されます。
**HMAC KMS キー**
HMAC KMS キーを使用する場合は、**[エイリアス]**、**[キー ID]**、**[ステータス]** 列に加えて、**[キーの仕様]**と、**[キーの使用]** 列を追加することを検討してください。これらの列は、KMS キーが HMAC キーであるかどうかを示します。キー仕様またはキーの使用法で KMS キーをソートすることはできないため、エイリアスとタグを使用して HMAC キーを識別し、 AWS KMS コンソールの[フィルター機能](#viewing-console-filter)を使用してエイリアスまたはタグでフィルタリングします。
**インポートされたキーマテリアル**
[インポートされたキーマテリアル](importing-keys.md)を持つ KMS キーの場合、[**Origin**] (オリジン) および[**Expiration date**] (有効期限日) 列を追加することを検討します これらの列には、KMS キーのキーマテリアルが によってインポートまたは生成されるかどうか、 AWS KMS およびキーマテリアルの有効期限が切れるタイミングが表示されます。[**Creation date**] (作成日)フィールドには、KMS キーが (キーマテリアルなしで) 作成された日付が表示されます。キーマテリアルの特性を反映していません。
**カスタムキーストアのキー**
KMS キーが[カスタムキーストア](key-store-overview.md#custom-key-store-overview)にある場合、**[Origin]** (オリジン) 列と **[Custom key store ID]** (カスタムキーストア ID) 列を追加することを検討します。これらの列は、KMS キーがカスタムキーストアにあることを示し、カスタムキーストアのタイプを表し、カスタムキーストアを識別します。
**マルチリージョンキー**
[マルチリージョンキー](multi-region-keys-overview.md)がある場合、**リージョナリティー**列を追加することを検討します。これは、KMS キーが単一リージョンキー、[マルチリージョンのプライマリキー](multi-region-keys-overview.md#mrk-primary-key)、[マルチリージョンのレプリカキー](multi-region-keys-overview.md#mrk-replica-key)のいずれであるかを示します。
# キーストアで KMS キーと AWS CloudHSM キーマテリアルを検索する
AWS CloudHSM キーストアを管理する場合は、各 AWS CloudHSM キーストアで KMS キーを識別する必要がある場合があります。例えば、次のタスクの一部を実行する必要がある場合があります。
+ AWS CloudTrail ログのキーストアで KMS AWS CloudHSM キーを追跡します。
+ キーストアを切断した場合の KMS AWS CloudHSM キーへの影響を予測します。
+ キーストアを削除する前に、KMS AWS CloudHSM キーの削除をスケジュールします。
さらに、KMS キーのキーマテリアルとして機能する AWS CloudHSM クラスター内のキーを識別することもできます。は KMS キーとキーマテリアル AWS KMS を管理しますが、 AWS CloudHSM クラスターの管理、HSMs とバックアップ、HSM 内のキーの制御と責任は引き続き保持HSMs。キーマテリアルを監査したり、誤って削除されないようにしたり、KMS キーの削除後に HSM やクラスターバックアップから削除したりするために、キーを識別する必要がある場合があります。
キーストアの KMS キーのすべての AWS CloudHSM キーマテリアルは、[`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) によって所有されます。 は、 でのみ表示可能なキーラベル属性を AWS CloudHSM KMS キーの Amazon リソースネーム (ARN) AWS KMS に設定します。
KMS キーとキーマテリアルを検索するには、次のいずれかの方法を使用します。
+ [キーストアで KMS AWS CloudHSM キーを検索する](find-cmk-in-keystore.md) — 1 つまたはすべてのキーストアで KMS AWS CloudHSM キーを識別する方法。
+ [キーストアのすべての AWS CloudHSM キーを検索する](find-all-kmsuser-keys.md) — AWS CloudHSM キーストアで KMS キーのキーマテリアルとして機能する、クラスター内すべてのキーを検索する方法。
+ [KMS AWS CloudHSM キーのキーを検索する](find-handle-for-cmk-id.md) — キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内の AWS CloudHSM キーを見つける方法。
+ [キーの KMS AWS CloudHSM キーを検索する](find-label-for-key-handle.md) — クラスターで特定のキーの KMS キーを検索する方法。
# キーストアで KMS AWS CloudHSM キーを検索する
AWS CloudHSM キーストアを管理する場合は、各 AWS CloudHSM キーストアで KMS キーを識別する必要がある場合があります。この情報を使用して、 AWS CloudTrail ログ内の KMS キーオペレーションを追跡したり、KMS キーに対するカスタムキーストアの切断の影響を予測したり、 AWS CloudHSM キーストアを削除する前に KMS キーの削除をスケジュールしたりできます。
## キーストアで KMS AWS CloudHSM キーを検索するには (コンソール)
特定のキーストアで KMS AWS CloudHSM キーを検索するには、**カスタマーマネージドキー**ページで、**カスタムキーストア名**または**カスタムキーストア ID** フィールドの値を表示します。任意の AWS CloudHSM キーストアで KMS キーを識別するには、**オリジン**値が の KMS キーを探します**AWS CloudHSM**。オプションの列をディスプレイに追加するには、ページの右上隅にある歯車アイコンを選択します。
## キーストア (API) で KMS AWS CloudHSM キーを検索するには
キーストアで KMS AWS CloudHSM キーを検索するには、[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) オペレーションと [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用して、`CustomKeyStoreId`値でフィルタリングします。以下の各例を実行する前に、架空のカスタムキーストア ID の値を有効な値に置き換えます。
------
#### [ Bash ]
特定のキー AWS CloudHSM ストアで KMS キーを検索するには、アカウントとリージョン内のすべての KMS キーを取得します。次に、カスタムキーストア ID でフィルタをかけます。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
アカウントとリージョンの任意のキーストアで KMS AWS CloudHSM キーを取得するには、 の値`CustomKeyStoreType`で を検索します`AWS_CloudHSM`。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
特定の AWS CloudHSM キーストアで KMS キーを検索するには、[Get-KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) および [Get-KmsKey](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) コマンドレットを使用して、アカウントとリージョン内のすべての KMS キーを取得します。次に、カスタムキーストア ID でフィルタをかけます。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
アカウントとリージョンの任意の AWS CloudHSM キーストアで KMS キーを取得するには、CustomKeyStoreType の値をフィルタリングします`AWS_CLOUDHSM`。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# キーストアのすべての AWS CloudHSM キーを検索する
キーストアのキーマテリアル AWS CloudHSM として機能する AWS CloudHSM クラスター内のキーを識別できます。これを行うには、CloudHSM CLI 内で [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用します。
**キーリスト**コマンドを使用して、 キー AWS KMS の AWS CloudHSM を検索することもできます。が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。**[key list]** コマンドは、`key-reference` と `label` を返します。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
この手順を実行するには、CU `kmsuser` としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、 AWS CloudHSM クラスターに存在する現在のユーザーのすべてのキーを検索します。
デフォルトでは、現在ログインしているユーザーのキーは 10 個だけ表示され、出力には `key-reference` と `label` のみ表示されます。その他のオプションについては、「*AWS CloudHSM ユーザーガイド*」の「[key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax)」を参照してください。
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。
# キーの KMS AWS CloudHSM キーを検索する
クラスター内で `kmsuser`が所有するキーのキーリファレンスまたは ID がわかっている場合は、その値を使用して、キーストア内の関連する KMS AWS CloudHSM キーを識別できます。
が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM CLI の [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、 AWS CloudHSM キーに関連付けられた KMS キーを特定できます。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
これらの手順を実行するには、CU `kmsuser` としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
**Topics**
+ [キーリファレンスに関連付けられた KMS キーを特定する](#key-reference-filter)
+ [バッキングキー ID に関連付けられた KMS キーを特定する](#backing-key-id-filter)
## キーリファレンスに関連付けられた KMS キーを特定する
次の手順は、CloudHSM CLI の[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを `key-reference` 属性フィルターと併せて使用することにより、 AWS CloudHSM キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内のキーを検索する方法を示します。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、`key-reference` 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。
このコマンドを実行する前に、サンプル `key-reference` をお使いのアカウントにある有効な値に置き換えてください。
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。
## バッキングキー ID に関連付けられた KMS キーを特定する
AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、 `customKeyStoreId`および を含む `additionalEventData`フィールドが含まれます`backingKeyId`。`backingKeyId` フィールドで返される値は、CloudHSM キー `id` 属性と相互に関連付けられています。`id` 属性で [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) オペレーションをフィルタリングすることで、特定の `backingKeyId` に関連付けられた KMS キーを特定できます。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを属性フィルターと併せて使用することで、 AWS CloudHSM キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内のキーを検索します。
次の例は、`id` 属性でフィルタリングする方法を示します。 AWS CloudHSM は `id` 値を 16 進値として認識します。`id` 属性で**キーリスト**オペレーションをフィルタリングするには、まず CloudTrail ログエントリで識別した`backingKeyId`値を が AWS CloudHSM 認識する形式に変換する必要があります。
1. 次の Linux コマンドを使用して、`backingKeyId` を 16 進数表現に変換します。
```
echo backingKeyId | tr -d '\n' | xxd -p
```
次の例は、`backingKeyId` バイト配列を 16 進数表現に変換する方法を示します。
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. `backingKeyId` の 16 進数表現の先頭に `0x` を付加します。
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 変換された `backingKeyId` 値を使用して、`id` 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。
# KMS AWS CloudHSM キーのキーを検索する
キーストアの KMS キーの KMS AWS CloudHSM キー ID を使用して、キーマテリアルとして機能する AWS CloudHSM クラスター内のキーを識別できます。
が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、KMS キーのキーマテリアルのキーリソースおよび ID を取得できます。
AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、 `customKeyStoreId`および を含む `additionalEventData`フィールドが含まれます`backingKeyId`。`backingKeyId` フィールドで返される値は、`id` AWS CloudHSM キー属性です。KMS キー ARN でキー**リスト** AWS CloudHSM CLI オペレーションをフィルタリングして、特定の KMS キーに関連付けられた CloudHSM キー`id`属性を識別できます。
この手順を実行するには、CU `kmsuser` としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用し、 でフィルタリング`label`して、 AWS CloudHSM クラスター内の特定のキーの KMS キーを検索します。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは、一致するキーのキーリファレンスとラベル属性のみを返します。
次の例は、KMS キー ARN を格納する `label` 属性を用いたフィルタリング方法を示します。このコマンドを実行する前に、KMS キー ARN のサンプル値をお使いのアカウントにある有効な値に置き換えてください。
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。