キーの有効化と無効化 - AWS Key Management Service

キーの有効化と無効化

管理する AWS KMS keys を無効化して、再度有効化できます。 AWS マネージドキー を有効および無効にすることはできません。

KMS キー を作成すると、そのキーはデフォルトで有効になります。KMS キーを無効にした場合、再度有効にするまではデータの暗号化または復号に使用することはできません。 AWS マネージドキー は、AWS KMS を使用するサービスが使用できるように、永続的に有効になっています。これを無効にすることはできません。

KMS キーを削除することもできます。詳細については、「AWS KMS keys を削除する」を参照してください。

注記

AWS KMS は無効になっているカスタマーマネージドキーのキーマテリアルをローテーションしません。詳細については、「キーの自動ローテーションの仕組み」を参照してください。

KMS キーの有効化と無効化 (コンソール)

AWS KMS コンソールを使用して、カスタマーマネージドキーの有効化と無効化を行うことができます。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

  4. 有効または無効にする KMS キーのチェックボックスをオンにします。

  5. KMS キーを有効にするには、[Key actions (キーアクション)]、[Enable (有効)] の順に選択します。KMS キーを無効にするには、[Key actions (キーアクション)]、[Disable (無効)] の順に選択します。

KMS キーの有効化と無効化 (AWS KMS API)

EnableKey オペレーションは、無効な AWS KMS key を有効にします。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。key-id パラメータは必須です。

このオペレーションはどのような出力も返しません。キーのステータスを確認するには、 DescribeKey 操作を使用します。

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey オペレーションは有効な KMS キーを無効にします。key-id パラメータは必須です。

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

このオペレーションはどのような出力も返しません。キーのステータスを確認するには、 DescribeKey 操作を使用し、 Enabled フィールドを参照してください。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }