キーの編集 - AWS Key Management Service
編集 CMKs (コンソール)編集 CMKs (AWS KMS API)

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

キーの編集

以下を使用できます。 AWS KMS APIおよび AWS マネジメントコンソール 顧客管理プロパティの一部を編集し、 カスタマーマスターキー (CMKs)。説明の変更、管理者およびユーザーの追加あるいは削除、タグの管理、およびキーローテーションの有効化と無効化ができます。

のプロパティは変更できません AWS 管理 CMKs.

編集 CMKs (コンソール)

必要な権限を持つユーザーは、顧客管理のプロパティを変更できます。 CMK説明、タグ、ポリシーと権限、および AWS マネジメントコンソール.

以下が可能です。 表示編集ではなく、 AWS 管理 CMKs. のキーポリシーを表示するには AWS 管理 CMK、 GetKeyPolicy (キーポリシーの取得) 操作。

_に移動します。 CMK 詳細ページ

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。 (AWS 管理型のキーのプロパティを編集することはできません)

  4. のエイリアスまたはキー ID を選択 CMK 編集できます。ここで、キー詳細ページのコントロールを使用して、 CMK.

変更 CMK 説明

_の説明を追加、変更、削除できます。 CMK ただし、 キー状態 はです Pending Deletion。 説明はオプションです。

  1. 右上隅の [Edit (編集)] を選択します。

  2. 対象: 説明、 CMK. 既存の説明を削除することもできます。

    保護する予定のデータのタイプ、または CMK. は、 デフォルト マスターキー 他のキーが定義されていない場合に...を保護する 説明形式は、次の目的で予約されています: AWS 管理 CMKs.

  3. 変更を保存するには [Save] を選択します。

変更 CMK 管理者とユーザー

のキーポリシーは、 CMK. 主要なポリシーは、 IAM ユーザー、グループ、ロールなど、 CMK それを 暗号化操作.

AWS アカウント (root ユーザー) には、デフォルトで完全なアクセス権限があります。その結果、 IAM 関連ポリシーで適切な権限が許可されているユーザーとロールも、 CMK. キーポリシーと IAM ポリシーの設定の詳細については、「AWS KMS の認証とアクセスコントロール」を参照してください。

  1. の詳細ページ CMK、 主要方針 タブ。

    のキーポリシーが CMK はデフォルトのポリシーです。 主要方針 タブには、 主要管理者キーの削除主要ユーザー、および その他のAWSアカウント セクション。それ以外の場合、このタブにはキーポリシードキュメントが表示されます。

    キーポリシードキュメントを直接編集するには、[Switch to policy view (ポリシービューへの切り替え)] (該当する場合)、[Edit (編集)] の順に選択し、ドキュメントを編集してから [Save (保存)] を選択します。

    この手順の残りのステップでは、デフォルトビューを使用してキーポリシーを編集する方法について説明します。

  2. 管理できるユーザーと役割を変更するには CMK、 主要管理者 セクション。

    • キー管理者を追加するには、[Add (追加)] を選択し、ユーザーまたはロールを選択するか入力してから [Add (追加)] を選択します。

    • キー管理者を削除するには、ユーザーまたはロールのチェックボックスをオンにしてから [Remove (削除)] を選択します。

  3. キー管理者が CMK、 キーの削除 セクションをクリアし、 キー管理者にこのキーの削除を許可 チェックボックス。

  4. を使用可能なユーザーと役割を変更するには CMK () 暗号化操作主要ユーザー セクション。

    • キーユーザーを追加するには、[Add (追加)] を選択し、ユーザーまたはロールを選択してから [Add (追加)] を選択します。

    • キーユーザーを削除するには、ユーザーまたはロールのチェックボックスをオンにしてから [Remove (削除)] を選択します。

  5. もう 1 つの AWS を使用可能なアカウント CMK 暗号化操作、 その他 AWS アカウント セクションを選択し、 その他の追加 AWS アカウント.

    注記

    外部アカウントの追加では、アカウント内のユーザーとロールが CMK. 外部アカウントの役割をユーザーに許可するには、 CMK外部アカウントの管理者は、 IAM 許可を提供するポリシーです。詳細については、「他のアカウントのユーザーに CMK」を参照してください。

    • アカウントを追加するには、[Add another AWS account (別の AWS アカウントを追加する)] を選択してアカウント番号を入力します。

    • アカウントを削除するには、そのアカウント番号の行で [Remove (削除)] を選択します。

    終了したら、[変更の保存] を選択してから X をクリックしてウィンドウを閉じます。

タグを追加、編集、削除する

顧客管理でタグを作成および変更できます。 CMKs. でのタグの使用に関する詳細情報は、 AWS KMS、を参照 キーのタグ付け.

  • の詳細ページ CMK、 タグ タブ。

    • 最初のタグを作成するには、 タグを作成、タグ名(必須)とタグ値(オプション)を入力し、 保存.

      タグ値を空白のままにすると、実際のタグ値は null または空の文字列になります。

    • タグを追加するには、[Edit (編集)]、[Add tag (タグの追加)] の順に選択し、タグ名とタグ値を入力してから [Save (保存)] を選択します。

    • タグの名前または値を変更するには、[Edit (編集)] を選択して変更を加えた後、[Save (保存)] を選択します。

    • タグを削除するには、[Edit (編集)] を選択します。そのタグの行で、[Remove (削除)] を選択してから [Save (保存)] を選択します。

ローテーションを有効または無効にする

有効/無効を切り替えることができます。 自動回転 対称型の暗号化要素の 顧客管理 CMK. この機能は非対称 CMKs または CMKs キー素材がインポートされています。

AWS 管理 CMKs 3年ごとに自動的に回転します。この機能を有効化および無効化することはできません。

  1. の詳細ページ CMK、 キー回転 タブ。

  2. 自動キー回転を有効にするには、 これを自動回転 CMK 毎年 チェックボックス。自動キーローテーションを無効にするには、チェックボックスをオフにします。

  3. 変更を保存するには [Save] を選択します。

編集 CMKs (AWS KMS API)

以下を使用できます。 AWS Key Management Service (AWS KMS)API 編集するには 顧客管理 CMKs. 以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。このセクションでは、既存の CMKs.

のプロパティを編集することはできません AWS 管理 CMKs または AWS 所有 CMKs.

UpdateKeyDescription の説明を変更します。 CMK

は、 更新キーの説明 操作は、管理されている顧客の説明を置き換えます。 CMK 指定したものを使用します。これを使用して、 CMK. 説明を表示するには、DescribeKey オペレーションを使用します。

たとえば、 UpdateKeyDescription 操作によって、指定された CMK. 

$ aws kms update-key-description --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
                                 --description "Example key"

キーの説明を取得するには、次の例に示すように、DescribeKey オペレーションを使用します。 

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
        
{
    "KeyMetadata": {
      "Origin": "AWS_KMS",
      "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
      "Description": "Example key",
      "KeyManager": "CUSTOMER",
      "Enabled": true,
      "KeyUsage": "ENCRYPT_DECRYPT",
      "KeyState": "Enabled",
      "CreationDate": 1499988169.234,
      "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "AWSAccountId": "111122223333"
      "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
      "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
      ]
    }
}

PutKeyPolicy のキーポリシーを変更する CMK

は、 プットキーポリシー 運用によって、管理対象の顧客の重要なポリシーが変更されます。 CMK 指定したポリシーに。このポリシーには、管理者、ユーザー、およびロールへのアクセス権限が含まれています。詳しい例については、PutKeyPolicy Examples を参照してください。

キーローテーションの有効化と無効化

は、 キー回転を有効化 操作で有効 自動回転 対称的な顧客管理の暗号化要素の CMK. DisableKeyRotation オペレーションは、上記を無効化します。GetKeyRotationStatus オペレーションはブール値を返し、自動キーローテーションが有効であるか (true)、あるいは無効であるか (false) を示します。

例については、「回転中 カスタマーマスターキー」を参照してください。

タグを追加、編集、削除する

得意先管理CMKのタグを追加または編集するには、 タグリソース 操作。タグを追加するには、新しいタグキーとタグ値を指定します。タグを編集するには、既存のタグキーと新しいタグ値を指定します。

CMKのタグを表示するには、 リストリソースタグ 操作。

得意先管理CMKからタグを削除するには、 リソースのタグを解除 操作。

AWS KMS におけるタグの使用の詳細については、「キーのタグ付け」を参照してください。