キーの有効化と無効化

管理する カスタマーマスターキー (CMKs) を無効化し、再度有効化できます。AWS 管理 の CMKs を有効化および無効化することはできません。

CMK を作成すると、そのキーはデフォルトで有効になります。CMK を無効にした場合、再度有効化するまではデータの暗号化または復号に使用することはできません。AWS が管理する CMKs は、AWS KMS を使用するサービスが使用できるように永続的に有効になっています。これを無効にすることはできません。

CMKs を削除することもできます。詳細については、「カスタマーマスターキー を削除する」を参照してください。

注記

AWS KMS は無効になっているカスタマー管理の CMKs のバッキングキーをローテーションしません。詳細については、「キーの自動ローテーションの仕組み」を参照してください。

CMKs の有効化と無効化 (コンソール)

AWS KMS コンソールを使用すると、カスタマー管理の CMKs の有効化と無効化を行うことができます。

1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

4. 有効化または無効化する CMKs のチェックボックスをオンにします。

5. CMK を有効にするには、[キーのアクション]、[有効] の順に選択します。CMK を無効にするには、[キーのアクション]、[無効] の順に選択します。

CMKs の有効化と無効化 (AWS KMS API)

EnableKey オペレーションは、無効な AWS KMS カスタマーマスターキー (CMK) を有効化します。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。key-id パラメーターが必要です。

このオペレーションはどのような出力も返しません。キーステータスを表示するには、DescribeKey オペレーションを使用します。

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey オペレーションは有効化された CMK を無効化します。key-id パラメーターが必要です。

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

このオペレーションはどのような出力も返しません。キーステータスを表示するには、DescribeKey オペレーションを使用し、Enabled フィールドを参照してください。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}