翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Key Management Service バージョン 3 を使用した AWS SDK for PHP の例
AWS Key Management Service (AWS KMS) は、データの暗号化に使用される暗号化キーの作成と管理を容易にするマネージド型サービスです。AWS KMS に関する詳細は、[Amazon KMS ドキュメント](https://aws.amazon.com/documentation/kms/)を参照してください。セキュア PHP のアプリケーションを作成しているか、他の AWS サービスにデータを送信しているかにかかわらず、AWS KMS を使用すると、キーを使用できるユーザー、および暗号化されたデータにアクセスできるユーザーを制御できます。
AWS SDK for PHP バージョン 3 用のすべてのサンプルコードは [GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code) で入手できます。
**Topics**
+ [キーの使用](kms-example-keys.md)
+ [データキーの暗号化と復号](kms-example-encrypt.md)
+ [キーポリシーの使用](kms-example-key-policy.md)
+ [許可の使用](kms-example-grants.md)
+ [エイリアスの使用](kms-example-alias.md)
# AWS KMS API と AWS SDK for PHP バージョン 3 を使用したキーの操作
AWS Key Management Service (AWS KMS) のプライマリリソースは です[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。KMS キーを使用してデータを暗号化できます。
以下の例では、次の方法を示しています。
+ [CreateKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#createkey) を使用してカスタマー KMS キーを作成する。
+ [GenerateDataKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#generatedatakey) を使用してデータキーを生成する。
+ [DescribeKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#describekey) を使用して KMS キーを表示する。
+ [ListKeys](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeys) を使用して KMS キーのキー ID とキー ARN を取得する
+ [EnableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#enablekey) を使用して KMS キーを有効にする。
+ [DisableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#disablekey) を使用して KMS キーを無効にする
のすべてのサンプルコード AWS SDK for PHP は[GitHub で入手できます](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 認証情報
サンプルコードを実行する前に、「」の説明に従って AWS 認証情報を設定します[AWS SDK for PHP バージョン 3 AWS を使用した での認証](credentials.md)。次に AWS SDK for PHP、「」の説明に従って をインポートします[AWS SDK for PHP バージョン 3 のインストール](getting-started_installation.md)。
AWS Key Management Service (AWS KMS) の使用の詳細については、「 [AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
## KMS キーを作成する
[KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)を作成するには、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
//Creates a customer master key (CMK) in the caller's AWS account.
$desc = "Key for protecting critical data";
try {
$result = $KmsClient->createKey([
'Description' => $desc,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## データキーを生成する
データ暗号化キーを生成するには、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) オペレーションを使用します。このオペレーションでは、作成されるデータキーのプレーンテキストおよび暗号化されたコピーが返されます。データキーを生成する AWS KMS key を指定します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$keySpec = 'AES_256';
try {
$result = $KmsClient->generateDataKey([
'KeyId' => $keyId,
'KeySpec' => $keySpec,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## KMS キーを表示する
KMS キーの Amazon リソースネーム (ARN) および[キーの状態](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html)を含む KMS キーについての詳細を取得するには、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用します。
`DescribeKey` はエイリアスを取得しません。エイリアスを取得するには、 [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->describeKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## KMS キーのキー ID およびキー ARN を取得する
KMS キーの ID と ARN を取得するには、[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$limit = 10;
try {
$result = $KmsClient->listKeys([
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## KMS キーを有効にする
無効になっている KMS キーを有効にするには、[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->enableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## KMS キーを無効にする
KMS キーを無効にするには、[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) オペレーションを使用します。KMS キーを無効にすると、使用されなくなります。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->disableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# AWS SDK for PHP バージョン 3 を使用した AWS KMS データキーの暗号化と復号
データキーは、大量のデータや他のデータ暗号化キーといったデータを暗号化するための暗号化キーです。
AWS Key Management Serviceの (AWS KMS) を使用して、データキー[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)を生成、暗号化、復号できます。
以下の例では、次の方法を示しています。
+ [Encrypt](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#encrypt) を使用してデータキーを暗号化する。
+ [Decrypt](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#decrypt) を使用してデータキーを復号化する。
+ [ReEncrypt](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#reencrypt) を使用して新しい KMS キーでデータキーを再暗号化します。
のすべてのサンプルコード AWS SDK for PHP は[GitHub で入手できます](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 認証情報
サンプルコードを実行する前に、「」の説明に従って AWS 認証情報を設定します[AWS SDK for PHP バージョン 3 AWS を使用した での認証](credentials.md)。次に AWS SDK for PHP、「」の説明に従って をインポートします[AWS SDK for PHP バージョン 3 のインストール](getting-started_installation.md)。
AWS Key Management Service (AWS KMS) の使用の詳細については、「 [AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
## 暗号化
[Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) オペレーションは、データキーを暗号化するように設計されていますが、頻繁には使用されていません。[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) および [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) オペレーションは、暗号化されたデータキーを返します。暗号化されたデータを新しい AWS リージョンに移動し、その新しいリージョンで KMS キーを使用してデータキーを暗号化するときに `Encypt` メソッドを使用できます。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$message = pack('c*', 1, 2, 3, 4, 5, 6, 7, 8, 9, 0);
try {
$result = $KmsClient->encrypt([
'KeyId' => $keyId,
'Plaintext' => $message,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## Decrypt
データキーを復号するには、[Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーションを使用します。
指定する `ciphertextBlob` は、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)、または [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) レスポンスからの `CiphertextBlob` フィールド値である必要があります。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$ciphertext = 'Place your cipher text blob here';
try {
$result = $KmsClient->decrypt([
'CiphertextBlob' => $ciphertext,
]);
$plaintext = $result['Plaintext'];
var_dump($plaintext);
} catch (AwsException $e) {
// Output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 再暗号化
暗号化されたデータキーを復号し、続いてすぐに異なる KMS キーでデータキーを再暗号化するには、[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) オペレーションを使用します。オペレーションは内部のサーバー側で完全に実行されるため AWS KMS、プレーンテキストが外部に公開されることはありません AWS KMS。
指定する `ciphertextBlob` は、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)、または [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) レスポンスからの `CiphertextBlob` フィールド値である必要があります。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$ciphertextBlob = 'Place your cipher text blob here';
try {
$result = $KmsClient->reEncrypt([
'CiphertextBlob' => $ciphertextBlob,
'DestinationKeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# AWS SDK for PHP バージョン 3 を使用した AWS KMS キーポリシーの操作
[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) の作成時に、KMS キーを使用および管理できるユーザーを決定します。これらのアクセス許可は、キーポリシーと呼ばれるドキュメントに含まれます。キーポリシーを使用して、カスタマーマネージド KMS キーのアクセス許可をいつでも追加、削除、または変更できますが、 AWS マネージド KMS キーのキーポリシーを編集することはできません。詳細については、「[AWS KMSに対する認証とアクセスコントロール](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)」を参照してください。
以下の例では、次の方法を示しています。
+ [ListKeyPolicies](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeypolicies) を使用してキーポリシーの名前をリストする。
+ [GetKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#getkeypolicy) を使用してキーポリシーを取得する。
+ [PutKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#putkeypolicy) を使用してキーポリシーを設定する。
のすべてのサンプルコード AWS SDK for PHP は[GitHub で入手できます](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 認証情報
サンプルコードを実行する前に、「」の説明に従って AWS 認証情報を設定します[AWS SDK for PHP バージョン 3 AWS を使用した での認証](credentials.md)。次に AWS SDK for PHP、「」の説明に従って をインポートします[AWS SDK for PHP バージョン 3 のインストール](getting-started_installation.md)。
AWS Key Management Service (AWS KMS) の使用の詳細については、「 [AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
## すべてのキーポリシーをリストする
KMS キーのキーポリシーの名前を取得するには、`ListKeyPolicies` オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$limit = 10;
try {
$result = $KmsClient->listKeyPolicies([
'KeyId' => $keyId,
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## キーポリシーを取得する
KMS キーのキーポリシーを取得するには、`GetKeyPolicy` オペレーションを使用します。
`GetKeyPolicy` では、ポリシー名が必要です。KMS キーを作成したときにキーポリシーを作成した場合を除き、唯一の有効なポリシー名は default です。[デフォルトキーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)の詳細については、*AWS Key Management Service 開発者ガイド*をご覧ください。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->getKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## キーポリシーを設定する
KMS キーのキーポリシーを作成または変更するには、`PutKeyPolicy` オペレーションを使用します。
`PutKeyPolicy` では、ポリシー名が必要です。KMS キーを作成したときにキーポリシーを作成した場合を除き、唯一の有効なポリシー名は default です。[デフォルトキーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)の詳細については、*AWS Key Management Service 開発者ガイド*をご覧ください。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->putKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName,
'Policy' => '{
"Version":"2012-10-17",
"Id": "custom-policy-2016-12-07",
"Statement": [
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/root" },
"Action": [ "kms:*" ],
"Resource": "*" },
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/ExampleUser" },
"Action": [
"kms:Encrypt*",
"kms:GenerateDataKey*",
"kms:Decrypt*",
"kms:DescribeKey*",
"kms:ReEncrypt*"
],
"Resource": "*" }
]
} '
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# AWS KMS API と AWS SDK for PHP バージョン 3 を使用した許可の使用
許可は、アクセス許可を付与するための別のメカニズムです。キーポリシーに代わるものです。権限を使用して、 AWS プリンシパルが AWS Key Management Service (AWS KMS) カスタマー管理の を使用できるようにする長期的なアクセスを許可できます[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。詳細については、*AWS Key Management Service デベロッパーガイド*の「[AWS KMSに付与する](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。
以下の例では、次の方法を示しています。
+ [CreateGrant](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#creategrant) を使用して KMS キーに対するグラントを作成する。
+ [ListGrants](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listgrants) を使用して KMS キーの許可を表示する。
+ [RetireGrant](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#retiregrant) を使用して KMS キーの許可を無効にする。
+ [RevokeGrant](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#revokegrant) を使用して KMS キーの許可を取り消す。
のすべてのサンプルコード AWS SDK for PHP は[GitHub で入手できます](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 認証情報
サンプルコードを実行する前に、「」の説明に従って AWS 認証情報を設定します[AWS SDK for PHP バージョン 3 AWS を使用した での認証](credentials.md)。次に AWS SDK for PHP、「」の説明に従って をインポートします[AWS SDK for PHP バージョン 3 のインストール](getting-started_installation.md)。
AWS Key Management Service (AWS KMS) の使用の詳細については、「 [AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
## 許可を作成する
の許可を作成するには AWS KMS key、[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$granteePrincipal = "arn:aws:iam::111122223333:user/Alice";
$operation = ['Encrypt', 'Decrypt']; // A list of operations that the grant allows.
try {
$result = $KmsClient->createGrant([
'GranteePrincipal' => $granteePrincipal,
'KeyId' => $keyId,
'Operations' => $operation
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 許可を表示する
の許可に関する詳細情報を取得するには AWS KMS key、[ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$limit = 10;
try {
$result = $KmsClient->listGrants([
'KeyId' => $keyId,
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 許可を無効にする
の許可を廃止するには AWS KMS key、[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) オペレーションを使用します。許可の使用が完了した後でクリーンアップを実行する場合に、許可を無効にします。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$grantToken = 'Place your grant token here';
try {
$result = $KmsClient->retireGrant([
'GrantToken' => $grantToken,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
//Can also identify grant to retire by a combination of the grant ID
//and the Amazon Resource Name (ARN) of the customer master key (CMK)
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$grantId = 'Unique identifier of the grant returned during CreateGrant operation';
try {
$result = $KmsClient->retireGrant([
'GrantId' => $grantToken,
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 許可を取り消す
への許可を取り消すには AWS KMS key、[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) オペレーションを使用します。許可を取り消して、許可に依存しているオペレーションを明示的に拒否することができます。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$grantId = "grant1";
try {
$result = $KmsClient->revokeGrant([
'KeyId' => $keyId,
'GrantId' => $grantId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# AWS KMS API と AWS SDK for PHP バージョン 3 を使用したエイリアスの操作
AWS Key Management Service (AWS KMS) は、エイリアス[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)と呼ばれる のオプションの表示名を提供します。
以下の例では、次の方法を示しています。
+ [CreateAlias](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#createalias) を使用してエイリアスを作成する。
+ [ListAliases](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listaliases) を使用してエイリアスを表示する。
+ [UpdateAlias](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#updatealias) を使用してエイリアスを更新する。
+ [DeleteAlias](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#deletealias) を使用してエイリアスを削除する。
のすべてのサンプルコード AWS SDK for PHP は[GitHub で入手できます](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 認証情報
サンプルコードを実行する前に、「」の説明に従って AWS 認証情報を設定します[AWS SDK for PHP バージョン 3 AWS を使用した での認証](credentials.md)。次に AWS SDK for PHP、「」の説明に従って をインポートします[AWS SDK for PHP バージョン 3 のインストール](getting-started_installation.md)。
AWS Key Management Service (AWS KMS) の使用の詳細については、「 [AWS KMS デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
## エイリアスの作成
KMS キーのエイリアスを作成するには、[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) オペレーションを使用します。エイリアスは、アカウントと AWS リージョンで一意である必要があります。既にエイリアスがある KMS キー用にエイリアスを作成した場合、`CreateAlias` によって同じ KMS キーに対して別のエイリアスが作成されます。既存のエイリアスは置き換えられません。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$aliasName = "alias/projectKey1";
try {
$result = $KmsClient->createAlias([
'AliasName' => $aliasName,
'TargetKeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## エイリアスを表示する
発信者の AWS アカウント および のすべてのエイリアスを一覧表示するには AWS リージョン、[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$limit = 10;
try {
$result = $KmsClient->listAliases([
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## エイリアスを更新する
既存のエイリアスを別の KMS キーに関連付けるには、[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) オペレーションを使用します。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$aliasName = "alias/projectKey1";
try {
$result = $KmsClient->updateAlias([
'AliasName' => $aliasName,
'TargetKeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## エイリアスを削除する
エイリアスを削除するには、 [DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html) オペレーションを使用します。エイリアスを削除しても、基になる KMS キーに影響はありません。
**インポート**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**サンプルコード**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$aliasName = "alias/projectKey1";
try {
$result = $KmsClient->deleteAlias([
'AliasName' => $aliasName,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```