AWS Key Management Service
開発者ガイド

キーの編集

AWS KMS API、および AWS マネジメントコンソールのキー詳細ページを使用して、カスタマー管理のカスタマーマスターキー (CMK) のプロパティの一部を編集することができます。説明の変更、管理者およびユーザーの追加あるいは削除、タグの管理、およびキーローテーションの有効化と無効化ができます。

AWS が管理する CMK のプロパティを変更することはできません。

CMK を編集する (コンソール)

必要なアクセス許可を持っているユーザーは、カスタマー管理の CMK のプロパティを AWS マネジメントコンソールで変更できます。これには、説明、タグ、ポリシーと許可、およびローテーションステータスが含まれます。

AWS が管理する CMK のプロパティを表示することはできますが、編集することはできません。AWS が管理する CMK のキーポリシーを表示するには、GetKeyPolicy オペレーションを使用します。

注記

AWS KMS は最近、KMS リソースを整理や管理が簡単にできる、新しいコンソールを導入しました。https://console.aws.amazon.com/kms でお試しいただくことをお勧めします。コンソールまたはこのページの右下隅にある、[Feedback (フィードバック)] を選択して、フィードバックをお知らせください。

新しいコンソールに精通できるように、元のコンソールは短期間ながら引き続き参照できます。元のコンソールを使用するには、https://console.aws.amazon.com/iam/home#encryptionKeys に移動します。

カスタマー管理の CMK を編集するには (新しいコンソール)
CMK の詳細ページに移動する
  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左のナビゲーションペインで、暗号化キーを選択します。

  3. フィルタ で、AWS の該当するリージョンを選択します。

  4. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。 (AWS 管理型のキーのプロパティを編集することはできません)

  5. 編集する CMK のエイリアスまたはキー ID を選択します。キー詳細ページのコントロールを使用して、CMK のプロパティを表示および変更します。

CMK の説明を変更する

CMK の説明は、その CMK が削除保留中である場合を除いて変更できます。説明はオプションです。

  1. 右上隅の [Edit (編集)] を選択します。

  2. [Description (説明)] に、CMK の簡単な説明を入力します。

  3. 変更を保存するには [Save] を選択します。

CMK の管理者とユーザーを変更する

CMK のキーポリシーを変更することができます。キーポリシーは、CMK を管理して暗号化オペレーションに使用できる IAM ユーザー、グループ、およびロールを定義します。

AWS アカウント (root ユーザー) には、デフォルトで完全なアクセス権限があります。したがって、アタッチされたポリシーによって適切なアクセス権限が付与されている IAM ユーザーとロールも、CMK を管理できます。キーポリシーと IAM ポリシーの設定の詳細については、「AWS KMS に対する認証とアクセスコントロール」を参照してください。

  1. [General configuration (一般設定)] で [Key policy (キーポリシー)] タブを選択します。

    CMK のキーポリシーがデフォルトポリシーの場合、[Key policy (キーポリシー)] タブにデフォルトビューが [Key administrators (キー管理者)]、[Key deletion (キーの削除)]、[Key users (キーユーザー)]、および [Other AWS accounts (別の AWS アカウント)] のセクションと共に表示されます。それ以外の場合、このタブにはキーポリシードキュメントが表示されます。

    キーポリシードキュメントを直接編集するには、[Switch to policy view (ポリシービューへの切り替え)] (該当する場合)、[Edit (編集)] の順に選択し、ドキュメントを編集してから [Save (保存)] を選択します。

    この手順の残りのステップでは、デフォルトビューを使用してキーポリシーを編集する方法について説明します。

  2. CMK を管理できるユーザーとロールを変更するには、[Key administrators (キー管理者)] セクションを使用します。

    • キー管理者を追加するには、[Add (追加)] を選択し、ユーザーまたはロールを選択するか入力してから [Add (追加)] を選択します。

    • キー管理者を削除するには、ユーザーまたはロールのチェックボックスをオンにしてから [Remove (削除)] を選択します。

  3. キー管理者がこの CMK の削除をスケジュールできないようにするには、[Key deletion (キーの削除)] セクションで [Allow key administrators to delete this key (キーの管理者がこのキーを削除できるようにします。)] チェックボックスをオフにします。

  4. 暗号化オペレーションで CMK を使用できるユーザーおよびロールを変更するには、[Key users (キーユーザー)] セクションを使用します。

    • キーユーザーを追加するには、[Add (追加)] を選択し、ユーザーまたはロールを選択してから [Add (追加)] を選択します。

    • キーユーザーを削除するには、ユーザーまたはロールのチェックボックスをオンにしてから [Remove (削除)] を選択します。

  5. 暗号化オペレーションで CMK を使用できる他の AWS アカウントを変更するには、[Other AWS accounts (他の AWS アカウント)] セクションで [Add other AWS accounts (別の AWS アカウントを追加)] を選択します。

    注記

    外部アカウントを追加しても、そのアカウントのユーザーおよびロールが CMK を使用することは許可されません。外部アカウントのユーザーおよびロールが CMK を使用できるようにするには、外部アカウントの管理者が、これらのアクセス許可を提供する IAM ポリシーを追加する必要があります。詳細については、「外部 AWS アカウントの CMK へのアクセスの許可」を参照してください。

    • アカウントを追加するには、[Add another AWS account (別の AWS アカウントを追加する)] を選択してアカウント番号を入力します。

    • アカウントを削除するには、そのアカウント番号の行で [Remove (削除)] を選択します。

    終了したら、[変更の保存] を選択してから X をクリックしてウィンドウを閉じます。

タグを追加、編集、削除する

CMK のタグを変更することができます。各タグは名前と値のペアです。タグ名はアカウントとリージョンで一意であることが必要です。

タグを使用して、CMK を識別および分類することができます。AWS リソースにタグを追加すると、使用量とコストがタグごとに集計されたコスト配分レポートが AWS によって生成されます。CMK タグの詳細については、「キーのタグ付け」を参照してください。

  • [General configuration (一般設定)] で [Tags (タグ)] タブを選択します。

    • 最初のタグを作成するには、[Create tag (タグの作成)] を選択し、タグ名とタグ値を入力してから [Save (保存)] を選択します。

    • タグを追加するには、[Edit (編集)]、[Add tag (タグの追加)] の順に選択し、タグ名とタグ値を入力してから [Save (保存)] を選択します。

    • タグの名前または値を変更するには、[Edit (編集)] を選択して変更を加えた後、[Save (保存)] を選択します。

    • タグを削除するには、[Edit (編集)] を選択します。そのタグの行で、[Remove (削除)] を選択してから [Save (保存)] を選択します。

ローテーションを有効または無効にする

カスタマー管理の CMK で暗号化マテリアルの自動ローテーションを有効および無効にすることができます。この機能は、インポートされたキーマテリアルを持つ CMK ではサポートされていません。

AWS 管理の CMK は 3 年ごとに自動的にローテーションされます。この機能を有効化および無効化することはできません。

  1. [General configuration (一般設定)] で [Key rotation (キーローテーション)] タブを選択します。

  2. 自動キーローテーションを有効にするには、[Automatically rotate this CMK every year (この CMK を毎年自動的にローテーションします。)] チェックボックスをオンにします。自動キーローテーションを無効にするには、チェックボックスをオフにします。

  3. 変更を保存するには [Save] を選択します。

カスタマー管理の CMK を編集するには (元のコンソール)
CMK の詳細ページに移動する
  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/iam/home#encryptionKeys に移動します。

  2. [リージョン] で、AWS の該当するリージョンを選択します。ナビゲーションバー (右上) にあるリージョンセレクタを使用しないでください。

  3. 詳細を表示する CMK のエイリアスを選択します。

    注記

    オレンジ色の AWS アイコンにより示されている AWS 管理 CMK を編集することはできません。

キーの詳細ページで、CMK を表示および編集できます。

説明の変更

[Summary] セクションの [説明] ボックスに CMK の簡単な説明を入力します。変更を保存するには、[変更の保存] を選択します。


                  コンソールのキーの詳細ページの [Summary] セクション
キー管理者を追加および削除し、キー管理者に CMK の削除を許可または禁止する

ページの [Key Policy] セクションにある [Key Administrators] 領域でコントロールを使用します。


                  コンソールのキーポリシーセクションのキー管理者領域
ユーザーを追加および削除し、外部 AWS アカウントに CMK の使用を許可または禁止する

ページの [Key Policy] セクションにある [Key Users] 領域でコントロールを使用します。


                  コンソールのキーポリシーセクションのキーユーザー領域
タグの追加、編集、削除

ページの [Tags] セクションでコントロールを使用します。


                  コンソールのキーの詳細ページの [Tags] セクション
ローテーションを有効または無効にする

ページの [キーローテーション] セクションのコントロールを使用して、カスタマー管理 CMK の暗号化マテリアルの自動ローテーションを有効化または無効化します。


                  コンソールのキーの詳細ページのキーローテーションセクション

CMK を編集する (KMS API)

AWS Key Management Service (AWS KMS) API を使用して、カスタマー管理の CMK のプロパティを編集できます。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。このセクションでは、既存の CMK に関する詳細を返すいくつかのオペレーションを示します。

AWS が管理する CMK のプロパティを編集することはできません。

ヒント

タグを追加、削除、編集する方法については、「キーのタグ付け」を参照してください。

UpdateKeyDescription: CMK の説明を変更する

UpdateKeyDescription オペレーションは、CMK の説明を追加あるいは変更します。説明を表示するには、DescribeKey オペレーションを使用します。

たとえば、UpdateKeyDescription オペレーションへの呼び出しは、指定する CMK の説明を変更します。

$ aws kms update-key-description --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --description "Example key"

キーの説明を取得するには、次の例に示すように、DescribeKey オペレーションを使用します。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "Example key", "KeyManager": "CUSTOMER", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" } }

PutKeyPolicy: CMK のキーポリシーを変更する

PutKeyPolicy オペレーションは、CMK のキーポリシーを指定するポリシーに変更します。このポリシーには、管理者、ユーザー、およびロールへのアクセス権限が含まれています。詳しい例については、PutKeyPolicy Examples を参照してください。

キーローテーションの有効化と無効化

EnableKeyRotation オペレーションは、CMK の暗号化マテリアルの 自動ローテーション を有効化します。DisableKeyRotation オペレーションは、上記を無効化します。GetKeyRotationStatus オペレーションはブール値を返し、自動キーローテーションが有効であるか (true)、あるいは無効であるか (false) を示します。

例については、「カスタマーマスターキーをローテーションする」を参照してください。