キーの有効化と無効化
管理する AWS KMS keys を無効化して、再度有効化できます。 AWS マネージドキー を有効および無効にすることはできません。
KMS キー を作成すると、そのキーはデフォルトで有効になります。KMS キーを無効にした場合、再度有効にするまではデータの暗号化または復号に使用することはできません。 AWS マネージドキー は、AWS KMS を使用するサービスが使用できるように、永続的に有効になっています。これを無効にすることはできません。
KMS キーを削除することもできます。詳細については、「AWS KMS keys を削除する」を参照してください。
AWS KMS は無効になっているカスタマーマネージドキーのキーマテリアルをローテーションしません。詳細については、「キーの自動ローテーションの仕組み」を参照してください。
KMS キーの有効化と無効化 (コンソール)
AWS KMS コンソールを使用して、カスタマーマネージドキーの有効化と無効化を行うことができます。
-
AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms
) を開きます。 -
AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。
-
有効または無効にする KMS キーのチェックボックスをオンにします。
-
KMS キーを有効にするには、[Key actions (キーアクション)]、[Enable (有効)] の順に選択します。KMS キーを無効にするには、[Key actions (キーアクション)]、[Disable (無効)] の順に選択します。
KMS キーの有効化と無効化 (AWS KMS API)
EnableKey オペレーションは、無効な AWS KMS key を有効にします。以下の例では AWS Command Line Interface (AWS CLI)key-id パラメータは必須です。
このオペレーションはどのような出力も返しません。キーのステータスを確認するには、 DescribeKey 操作を使用します。
$aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
DisableKey オペレーションは有効な KMS キーを無効にします。key-id パラメータは必須です。
$aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
このオペレーションはどのような出力も返しません。キーのステータスを確認するには、 DescribeKey 操作を使用し、 Enabled フィールドを参照してください。
$aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "MultiRegion": false, "Enabled": false, "KeyState": "Disabled", "KeyUsage": "ENCRYPT_DECRYPT", "CreationDate": 1502910355.475, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
