パブリックキーのダウンロード - AWS Key Management Service
パブリックキーのダウンロードに関する特別な考慮事項パブリックキーのダウンロード (コンソール)パブリックキーのダウンロード (AWS KMSAPI)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パブリックキーのダウンロード

AWS Management Console または AWS KMS API を使用して、非対称 CMK ペアからパブリックキーを表示、コピー、ダウンロードできます。非対称 CMK に対する kms:GetPublicKey アクセス許可が必要です。

各非対称の CMK ペアは、AWS KMS が暗号化されていないままにすることがないプライベートキーと、ダウンロードして共有できるパブリックキーで構成されます。

パブリックキーを共有して、プライベートキーでのみ復号できる AWS KMS 外部のデータを他のユーザーが暗号化できるようにすることもできます。または、プライベートキーを使用して生成した AWS KMS の外部にあるデジタル署名を他のユーザーが確認できるようにすることができます。

AWS KMS 内の非対称 CMK でパブリックキーを使用すると、すべての AWS KMS オペレーションの一部である認証、承認、およびロギングの恩恵を受けることができます。また、復号できないデータを暗号化するリスクも軽減します。これらの機能は、AWS KMS の外部では有効ではありません。詳細については、「パブリックキーのダウンロードに関する特別な考慮事項」を参照してください。

パブリックキーのダウンロードに関する特別な考慮事項

CMK を保護するために、AWS KMS は、アクセス制御、認証された暗号化、およびすべてのオペレーションの詳細なログを提供します。AWS KMS では、CMK の使用を一時的または永続的に防止することもできます。最後に、AWS KMS オペレーションは、復号できないデータを暗号化するリスクを最小限に抑えるように設計されています。これらの機能は、ダウンロードしたパブリックキーを AWS KMS の外部で使用する場合には使用できません。

承認

キーポリシーおよびIAM ポリシー内の CMK へのアクセスを制御するAWS KMSの外部で実行される操作には影響しませんAWS。パブリックキーを取得できるユーザーは、AWS KMSCMK で署名を検証するアクセス許可がない場合でも、

キー使用法の制限

キー使用法の制限は、AWS KMS。あなたが呼び出す場合Encryptを持つ CMK で操作をKeyUsageSIGN_VERIFYとすると、AWS KMSオペレーションは失敗します。しかし、外部でデータを暗号化するとAWS KMSおよび CMK からのパブリックキーを使用してKeyUsageSIGN_VERIFYの場合、データは復号できません。

アルゴリズムの制限

暗号化および署名アルゴリズムの制限AWS KMSサポートの外部では有効ではありませんAWS KMS。の外部で CMK からパブリックキーを使用してデータを暗号化する場合AWS KMSの暗号化アルゴリズムを使用します。AWS KMSがサポートしていない場合、データを復号化できません。

CMK の無効化と削除

AWS KMS 内の暗号化オペレーションで CMK が使用されないようにするために実行できるアクションは、AWS KMS の外部でパブリックキーを使用することを妨げません。たとえば、CMK の無効化、CMK の削除のスケジューリング、CMK の削除、CMK からのキーマテリアルの削除は、AWS KMS 外部のパブリックキーには影響しません。非対称 CMK を削除、またはそのキーマテリアルを削除したり紛失したりすると、AWS KMS の外部にあるパブリックキーで暗号化したデータは回復できなくなります。

ログ記録

リクエスト、レスポンス、日付、時刻、許可されたユーザーなど、すべての AWS KMS オペレーションを記録する AWS CloudTrail ログには、AWS KMS の外でのパブリックキーの使用は記録されません。

パブリックキーのダウンロード (コンソール)

「」を使用できますAWS Management Consoleの非対称 CMK からパブリックキーを表示、コピー、ダウンロードする AWS アカウント 。非対称 CMK からパブリックキーをダウンロードするには AWS アカウント を使用するにはAWS KMSAPI.

  1. にサインインします。AWS Management Consoleを開きAWS Key Management Service(AWS KMS) コンソールhttps://console.aws.amazon.com/kms

  2. を変更するにはAWSリージョンを使用するには、ページの右上隅にある [リージョンセレクター] を使用します。

  3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

  4. 非対称 CMK のエイリアスまたはキー ID を選択します。

  5. [ 暗号構成 ] タブを選択します。の値を記録するキー仕様,キーの使用方法, および暗号化アルゴリズムまたは署名アルゴリズムfields AWS KMS の外部でパブリックキーを使用するには、これらの値を使用する必要があります。パブリックキーを共有するときは、必ずこの情報を共有してください。

  6. [パブリックキー] タブを選択します。

  7. パブリックキーをクリップボードにコピーするには、[コピー] を選択します。パブリックキーをファイルにダウンロードするには、[ダウンロード] を選択します。

パブリックキーのダウンロード (AWS KMSAPI)

GetPublicKey オペレーションは、非対称 CMK でパブリックキーを返します。また、キーの使用方法や暗号化アルゴリズムなど、AWS KMS の外部でパブリックキーを正しく使用するために必要な重要な情報も返されます。これらの値を保存し、パブリックキーを共有する場合は必ず共有してください。

このセクションの例ではAWS Command Line Interface(AWS CLI)ただし、サポートされている任意のプログラミング言語を使用できます。

CMK を指定するには、そのキー IDキー ARNエイリアス名、またはエイリアス ARN を使用します。エイリアス名を使用する場合は、接頭辞として alias/ を付けます。CMK を別の AWS アカウント を使用するには、そのキー ARN またはエイリアス ARN を使用する必要があります。

このコマンドを実行する前に、サンプルのエイリアス名を CMK の有効な識別子に置き換えます。このコマンドを実行するには、CMK に対する kms:GetPublicKey アクセス許可が必要です。 

$ aws kms get-public-key --key-id alias/example_RSA_3072

{
    "CustomerMasterKeySpec": "RSA_3072",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "RSAES_OAEP_SHA_1",
        "RSAES_OAEP_SHA_256"
    ],
    "PublicKey": "MIIBojANBgkqhkiG..."
}