翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
パブリックキーのダウンロード
AWS Management Console または AWS KMS API を使用して、非対称 KMS キーペアからパブリックキーを表示、コピー、ダウンロードできます。非対称 KMS キーに対する kms:GetPublicKey
アクセス許可が必要です。
各非対称 KMS キーペアは、暗号化 AWS KMS されていない を残さないプライベートキーと、ダウンロードして共有できるパブリックキーで構成されます。
パブリックキーを共有して、プライベートキーでのみ復号 AWS KMS できる 以外のデータを他のユーザーに暗号化させることができます。または、プライベートキーを使用して生成した AWS KMS の外部にあるデジタル署名を他のユーザーが確認できるようにすることができます。または、パブリックキーをピアと共有して、共有シークレットを取得します。
内の非対称 KMS キーで パブリックキーを使用すると AWS KMS、すべての AWS KMS オペレーションの一部である認証、承認、ログ記録のメリットが得られます。また、復号できないデータを暗号化するリスクも軽減します。これらの機能は、 の外部では有効ではありません AWS KMS。詳細については、「パブリックキーのダウンロードに関する特別な考慮事項」を参照してください。
ヒント
データキーまたは SSH キーをお探しですか。このトピックでは、プライベートキーをエクスポートすることができない AWS Key Management Serviceでの非対称キーの管理方法を説明しています。プライベートキーが対称暗号化 KMS キーで保護されているエクスポート可能なデータキーペアについては、「」を参照してくださいGenerateDataKeyPair。Amazon EC2 インスタンスに関連付けられたパブリックキーのダウンロードについては、「Amazon EC2 ユーザーガイド」および「Amazon EC2 ユーザーガイド」の「パブリックキーの取得」を参照してくださいAmazon EC2。 Amazon EC2
パブリックキーのダウンロードに関する特別な考慮事項
KMS キーを保護するために、 はすべてのオペレーションのアクセスコントロール、認証された暗号化、および詳細なログ AWS KMS を提供します。 AWS KMS また、 では、KMS キーの使用を一時的または永続的に防止することもできます。最後に、 AWS KMS オペレーションは、復号できないデータを暗号化するリスクを最小限に抑えるように設計されています。これらの機能は、ダウンロードしたパブリックキーを の外部で使用する場合は使用できません AWS KMS。
- 認証
-
内の KMS キーへのアクセスを制御するキーポリシーと IAM ポリシー AWS KMS は、 の外部で実行されるオペレーションには影響しません AWS。パブリックキーを取得できるユーザーは、KMS キーを使用してデータを暗号化したり、署名を検証したりするアクセス許可がない場合 AWS KMS でも、 の外部でパブリックキーを使用できます。
- キーの用途の制限
-
キーの使用制限は、 の外部では有効ではありません AWS KMS。の を持つ KMS キーを使用して Encrypt
KeyUsage
オペレーションを呼び出すとSIGN_VERIFY
、 AWS KMS オペレーションは失敗します。ただし、SIGN_VERIFY
または の AWS KMS を持つ KMS キーからパブリックキーを使用してKeyUsage
の外部でデータを暗号化する場合KEY_AGREEMENT
、データを復号することはできません。 - アルゴリズムの制限
-
が AWS KMS サポートする暗号化アルゴリズムと署名アルゴリズムの制限は、 の外部では有効ではありません AWS KMS。の外部で KMS キーからパブリックキーを使用してデータを暗号化し AWS KMS、 がサポート AWS KMS していない暗号化アルゴリズムを使用する場合、データを復号することはできません。
- KMS キーの無効化と削除
-
内の暗号化オペレーションで KMS キーが使用されないようにするために実行できるアクションは、誰も の外部でパブリックキーを使用することを妨げ AWS KMS ません AWS KMS。例えば、KMS キーの無効化、KMS キーの削除のスケジューリング、KMS キーの削除、KMS キーからのキーマテリアルの削除は、 AWS KMSの外部のパブリックキーには影響しません。非対称 KMS キーを削除するか、そのキーマテリアルを削除または紛失した場合、 の外部にあるパブリックキーで暗号化したデータは AWS KMS 回復できません。
- ログ記録
-
AWS CloudTrail は、リクエスト、レスポンス、日付、時刻、承認されたユーザーを含むすべての AWS KMS オペレーションを記録する ログで、 の外部でのパブリックキーの使用を記録しません AWS KMS。
- SM2 キーペアによるオフライン検証 (中国リージョンのみ)
-
SM2 パブリックキー AWS KMS を使用して の外部で署名を検証するには、識別 ID を指定する必要があります。デフォルトでは、 AWS KMS を識別 ID
1234567812345678
として使用します。詳細については、「SM2 キーペアによるオフライン検証」(中国リージョンのみ) を参照してください。
パブリックキーをダウンロードする (コンソール)
を使用して、 の非対称 KMS キーからパブリックキー AWS Management Console を表示、コピー、ダウンロードできます AWS アカウント。異なる の非対称 KMS キーからパブリックキーをダウンロードするには AWS アカウント、 AWS KMS API を使用します。
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/kms
で AWS Key Management Service (AWS KMS) コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
非対称 KMS キーのエイリアスまたはキー ID を選択します。
-
[Cryptographic configuration] (暗号化の設定) タブを選択します。[Key spec] (キー仕様)、[Key usage] (キーの用途)、[Encryption algorithms] (暗号化アルゴリズム)、または [Signing Algorithms] (署名アルゴリズム) フィールドの値を記録します。の外部でパブリックキーを使用するには、これらの値を使用する必要があります AWS KMS。パブリックキーを共有するときは、必ずこの情報を共有してください。
-
[Public key] (パブリックキー) タブを選択します。
-
パブリックキーをクリップボードにコピーするには、[Copy] (コピー) を選択します。パブリックキーをファイルにダウンロードするには、[Download] (ダウンロード) を選択します。
パブリックキーのダウンロード (AWS KMS API)
GetPublicKey オペレーションは、非対称 KMS キーでパブリックキーを返します。また、キーの使用方法や暗号化アルゴリズムなど AWS KMS、 の外部でパブリックキーを正しく使用する必要がある重要な情報も返します。これらの値を保存し、パブリックキーを共有する場合は必ず共有してください。
このセクションの例では AWS Command Line Interface
(AWS CLI)
KMS キーを指定するには、そのキー ID、キー ARN、エイリアス名、エイリアス ARN を使用します。エイリアス名を使用する場合は、接頭辞として alias/ を付けます。別の で KMS キーを指定するには AWS アカウント、そのキー ARN またはエイリアス ARN を使用する必要があります。
このコマンドを実行する前に、サンプルのエイリアス名を KMS キーの有効な識別子に置き換えます。このコマンドを実行するには、KMS キーに対する kms:GetPublicKey
アクセス許可が必要です。
$
aws kms get-public-key --key-id
alias/example_RSA_3072
{ "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }