キーの有効化と無効化 - AWS Key Management Service

キーの有効化と無効化

カスタマーマネージドキーの有効化と無効化を行うことができます。KMS キー を作成すると、そのキーはデフォルトで有効になります。KMSキーを無効にすると、再度有効にするまで暗号化オペレーションで使用できなくなります。

一時的で簡単に元に戻せるため、KMS キーを無効にすることは、破壊的で元に戻せないアクションである KMS キーを削除することの安全な代替手段です。KMS キーを削除することを検討している場合は、まずそれを無効にして、CloudWatch アラームまたは、暗号化されたデータを復号するためにキーを使用する必要がないことを確実にするための同様のメカニズムを設定します。

AWS マネージドキー または AWS 所有のキー を有効化および無効化することはできません。AWS マネージドキー は、AWS KMS を使用するサービスでの使用が永続的に有効になっています。AWS 所有のキー は、それらを所有するサービスによってのみ管理されます。

注記

AWS KMS は無効になっているカスタマーマネージドキーのキーマテリアルをローテーションしません。詳細については、「キーの自動ローテーションの仕組み」を参照してください。

KMS キーの有効化と無効化 (コンソール)

AWS KMS コンソールを使用して、カスタマーマネージドキーの有効化と無効化を行うことができます。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys] (カスタマーマネージドキー) を選択します。

  4. 有効または無効にする KMS キーのチェックボックスをオンにします。

  5. KMS キーを有効にするには、[Key actions (キーアクション)]、[Enable (有効)] の順に選択します。KMS キーを無効にするには、[Key actions (キーアクション)]、[Disable (無効)] の順に選択します。

KMS キーの有効化と無効化 (AWS KMS API)

EnableKey オペレーションは、無効な AWS KMS key を有効にします。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。key-id パラメータは必須です。

このオペレーションはどのような出力も返しません。キーのステータスを確認するには、DescribeKey オペレーションを使用します。

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey オペレーションは有効な KMS キーを無効にします。key-id パラメータは必須です。

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

このオペレーションはどのような出力も返しません。キーのステータスを確認するには、DescribeKey オペレーションを使用し、Enabled フィールドを参照してください。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }