コンソールにサインインする
AWS Key Management Service
開発者ガイド

AWS ドキュメント » AWS KMS » 開発者ガイド » ご利用開始にあたって » キーの有効化と無効化

キーの有効化と無効化

管理する AWS Key Management Service (AWS KMS) のカスタマーマスターキー (CMK) を無効化し、再度有効化できます。AWS 管理 の CMK を有効化および無効化することはできません。

CMK を作成すると、そのキーはデフォルトで有効になります。CMK を無効にした場合、再度有効化するまではデータの暗号化または復号化に使用することはできません。AWS が管理する CMK は、AWS KMS を使用するサービスが使用できるように永続的に有効になっています。これを無効にすることはできません。

CMK を削除することもできます。詳細については、「カスタマーマスターキーを削除する」を参照してください。

注記

AWS KMS は無効になっているカスタマー管理の CMK のバッキングキーをローテーションしません。詳細については、「自動キーローテーションの仕組み」を参照してください。

CMK の有効化と無効化 (コンソール)

AWS マネジメントコンソール の IAM セクションからカスタマー管理の CMK を有効化または無効化できます。

注記

AWS KMS は最近、KMS リソースを整理や管理が簡単にできる、新しいコンソールを導入しました。https://console.aws.amazon.com/kms でお試しいただくことをお勧めします。コンソールまたはこのページの右下隅にある、[Feedback (フィードバック)] を選択して、フィードバックをお知らせください。

新しいコンソールに精通できるように、元のコンソールは短期間ながら引き続き参照できます。元のコンソールを使用するには、https://console.aws.amazon.com/iam/home#encryptionKeys に移動します。

CMK を有効化または無効化するには (新しいコンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左のナビゲーションペインで、暗号化キーを選択します。

  3. フィルタ で、AWS の該当するリージョンを選択します。

  4. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

  5. 有効化または無効化する CMK のチェックボックスをオンにします。

  6. CMK を有効にするには、[Key actions]、[Enable] の順に選択します。CMK を無効にするには、[Key actions]、[Disable] の順に選択します。

CMK を有効化するには (元のコンソール)

CMK (コンソール) を有効化するには

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/iam/home#encryptionKeys に移動します。

  2. [リージョン] で、AWS の該当するリージョンを選択します。ナビゲーションバー (右上) にあるリージョンセレクタを使用しないでください。

  3. 有効化または無効化する CMK のエイリアスの横のチェックボックスをオンにします。

    注記

    オレンジ色の AWS アイコンにより示されている AWS 管理の CMK を無効化することはできません。

  4. CMK を有効にするには、[Key actions]、[Enable] の順に選択します。CMK を無効にするには、[Key actions]、[Disable] の順に選択します。

CMK の有効化と無効化 (KMS API)

EnableKey オペレーションは、AWS KMS カスタマー管理キー (CMK) を有効化します。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。key-id パラメーターが必要です。

このオペレーションはどのような出力も返しません。キーステータスを表示するには、DescribeKey オペレーションを使用します。 

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey オペレーションは有効化された CMK を無効化します。key-id パラメーターが必要です。 

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

このオペレーションはどのような出力も返しません。キーステータスを表示するには、DescribeKey オペレーションを使用し、Enabled フィールドを参照してください。 

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Disabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
    }
}