コンソールにサインインする
AWS Key Management Service
開発者ガイド

AWS ドキュメント » AWS KMS » 開発者ガイド » ご利用開始にあたって » キーの編集

キーの編集

AWS KMS API、および AWS マネジメントコンソールのキー詳細ページを使用して、カスタマー管理のカスタマーマスターキー (CMK) のプロパティの一部を編集することができます。説明の変更、管理者およびユーザーの追加あるいは削除、タグの管理、およびキーローテーションの有効化と無効化ができます。

AWS が管理する CMK のプロパティを変更することはできません。

CMK を編集する (コンソール)

必要なアクセス許可を持っているユーザーは、カスタマー管理の CMK のプロパティを AWS マネジメントコンソールで変更できます。これには、説明、タグ、ポリシーと許可、およびローテーションステータスが含まれます。

AWS が管理する CMK のプロパティを表示することはできますが、編集することはできません。AWS が管理する CMK のキーポリシーを表示するには、GetKeyPolicy オペレーションを使用します。

CMK の詳細ページに移動する

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。 (AWS 管理型のキーのプロパティを編集することはできません)

  4. 編集する CMK のエイリアスまたはキー ID を選択します。キー詳細ページのコントロールを使用して、CMK のプロパティを表示および変更します。

CMK の説明を変更する

キーの状態Pending Deletion でない限り、CMK の説明を追加、変更、または削除できます。説明はオプションです。

  1. 右上隅の [Edit (編集)] を選択します。

  2. [Description (説明)] に、CMK の簡単な説明を入力します。既存の説明を削除することもできます。

    保護する予定のデータのタイプ、または CMK で使用する予定のアプリケーションを表す説明を入力します。他にキーが定義されていない場合に ... を保護するデフォルトのマスターキーという説明形式は、AWS 管理の CMK用に予約されています。

  3. 変更を保存するには [保存] を選択します。

CMK の管理者とユーザーを変更する

CMK のキーポリシーを変更することができます。キーポリシーは、CMK を管理して暗号化オペレーションに使用できる IAM ユーザー、グループ、およびロールを定義します。

AWS アカウント (root ユーザー) には、デフォルトで完全なアクセス権限があります。したがって、アタッチされたポリシーによって適切なアクセス権限が付与されている IAM ユーザーとロールも、CMK を管理できます。キーポリシーと IAM ポリシーの設定の詳細については、「AWS KMS に対する認証とアクセスコントロール」を参照してください。

  1. [General configuration (一般設定)] で [Key policy (キーポリシー)] タブを選択します。

    CMK のキーポリシーがデフォルトポリシーの場合、[Key policy (キーポリシー)] タブにデフォルトビューが [Key administrators (キー管理者)]、[Key deletion (キーの削除)]、[Key users (キーユーザー)]、および [Other AWS accounts (別の AWS アカウント)] のセクションと共に表示されます。それ以外の場合、このタブにはキーポリシードキュメントが表示されます。

    キーポリシードキュメントを直接編集するには、[Switch to policy view (ポリシービューへの切り替え)] (該当する場合)、[Edit (編集)] の順に選択し、ドキュメントを編集してから [Save (保存)] を選択します。

    この手順の残りのステップでは、デフォルトビューを使用してキーポリシーを編集する方法について説明します。

  2. CMK を管理できるユーザーとロールを変更するには、[Key administrators (キー管理者)] セクションを使用します。

    • キー管理者を追加するには、[Add (追加)] を選択し、ユーザーまたはロールを選択するか入力してから [Add (追加)] を選択します。

    • キー管理者を削除するには、ユーザーまたはロールのチェックボックスをオンにしてから [Remove (削除)] を選択します。

  3. キー管理者がこの CMK の削除をスケジュールできないようにするには、[Key deletion (キーの削除)] セクションで [Allow key administrators to delete this key (キーの管理者がこのキーを削除できるようにします。)] チェックボックスをオフにします。

  4. 暗号化オペレーションで CMK を使用できるユーザーおよびロールを変更するには、[Key users (キーユーザー)] セクションを使用します。

    • キーユーザーを追加するには、[Add (追加)] を選択し、ユーザーまたはロールを選択してから [Add (追加)] を選択します。

    • キーユーザーを削除するには、ユーザーまたはロールのチェックボックスをオンにしてから [Remove (削除)] を選択します。

  5. 暗号化オペレーションで CMK を使用できる他の AWS アカウントを変更するには、[Other AWS accounts (他の AWS アカウント)] セクションで [Add other AWS accounts (別の AWS アカウントを追加)] を選択します。

    注記

    外部アカウントを追加しても、そのアカウントのユーザーおよびロールが CMK を使用することは許可されません。外部アカウントのユーザーおよびロールが CMK を使用できるようにするには、外部アカウントの管理者が、これらのアクセス許可を提供する IAM ポリシーを追加する必要があります。詳細については、「他のアカウントのユーザーに CMK の使用を許可する」を参照してください。

    • アカウントを追加するには、[Add another AWS account (別の AWS アカウントを追加する)] を選択してアカウント番号を入力します。

    • アカウントを削除するには、そのアカウント番号の行で [Remove (削除)] を選択します。

    終了したら、[変更の保存] を選択してから X をクリックしてウィンドウを閉じます。

タグを追加、編集、削除する

CMK のタグを変更することができます。各タグは名前と値のペアです。タグ名はアカウントとリージョンで一意であることが必要です。

タグを使用して、CMK を識別および分類することができます。AWS リソースにタグを追加すると、使用量とコストがタグごとに集計されたコスト配分レポートが AWS によって生成されます。CMK タグの詳細については、「キーのタグ付け」を参照してください。

  • [General configuration (一般設定)] で [Tags (タグ)] タブを選択します。

    • 最初のタグを作成するには、[Create tag (タグの作成)] を選択し、タグ名とタグ値を入力してから [Save (保存)] を選択します。

    • タグを追加するには、[Edit (編集)]、[Add tag (タグの追加)] の順に選択し、タグ名とタグ値を入力してから [Save (保存)] を選択します。

    • タグの名前または値を変更するには、[Edit (編集)] を選択して変更を加えた後、[Save (保存)] を選択します。

    • タグを削除するには、[Edit (編集)] を選択します。そのタグの行で、[Remove (削除)] を選択してから [Save (保存)] を選択します。

ローテーションを有効または無効にする

カスタマー管理の CMK で暗号化マテリアルの自動ローテーションを有効および無効にすることができます。この機能は、インポートされたキーマテリアルを持つ CMK ではサポートされていません。

AWS 管理の CMK は 3 年ごとに自動的にローテーションされます。この機能を有効化および無効化することはできません。

  1. [General configuration (一般設定)] で [Key rotation (キーローテーション)] タブを選択します。

  2. 自動キーローテーションを有効にするには、[Automatically rotate this CMK every year (この CMK を毎年自動的にローテーションします。)] チェックボックスをオンにします。自動キーローテーションを無効にするには、チェックボックスをオフにします。

  3. 変更を保存するには [保存] を選択します。

CMK を編集する (KMS API)

AWS Key Management Service (AWS KMS) API を使用して、カスタマー管理の CMK のプロパティを編集できます。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。このセクションでは、既存の CMK に関する詳細を返すいくつかのオペレーションを示します。

AWS が管理する CMK のプロパティを編集することはできません。

ヒント

タグを追加、削除、編集する方法については、「キーのタグ付け」を参照してください。

UpdateKeyDescription: CMK の説明を変更する

UpdateKeyDescription オペレーションは、CMK の説明を、指定した説明に置き換えます。これを使用して、CMK の説明を追加、変更、または削除できます。説明を表示するには、DescribeKey オペレーションを使用します。

たとえば、UpdateKeyDescription オペレーションへの呼び出しは、指定する CMK の説明を変更します。 

$ aws kms update-key-description --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
                                 --description "Example key"

キーの説明を取得するには、次の例に示すように、DescribeKey オペレーションを使用します。 

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
        
{
    "KeyMetadata": {
    "Origin": "AWS_KMS",
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "Description": "Example key",
    "KeyManager": "CUSTOMER",
    "Enabled": true,
    "KeyUsage": "ENCRYPT_DECRYPT",
    "KeyState": "Enabled",
    "CreationDate": 1499988169.234,
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333"
    }
}

PutKeyPolicy: CMK のキーポリシーを変更する

PutKeyPolicy オペレーションは、CMK のキーポリシーを指定するポリシーに変更します。このポリシーには、管理者、ユーザー、およびロールへのアクセス権限が含まれています。詳しい例については、PutKeyPolicy Examples を参照してください。

キーローテーションの有効化と無効化

EnableKeyRotation オペレーションは、CMK の暗号化マテリアルの 自動ローテーション を有効化します。DisableKeyRotation オペレーションは、上記を無効化します。GetKeyRotationStatus オペレーションはブール値を返し、自動キーローテーションが有効であるか (true)、あるいは無効であるか (false) を示します。

例については、「カスタマーマスターキーをローテーションする」を参照してください。