キーの有効化と無効化

管理するの カスタマーマスターキー (CMK) を無効化し、再度有効化できます。AWS 管理 の CMK を有効化および無効化することはできません。

CMK を作成すると、そのキーはデフォルトで有効になります。CMK を無効にした場合、再度有効化するまではデータの暗号化または復号化に使用することはできません。AWS が管理する CMK は、AWS KMS を使用するサービスが使用できるように永続的に有効になっています。これを無効にすることはできません。

CMK を削除することもできます。詳細については、「カスタマーマスターキーを削除する」を参照してください。

注記

AWS KMS は無効になっているカスタマー管理の CMK のバッキングキーをローテーションしません。詳細については、「キーの自動ローテーションの仕組み」を参照してください。

CMK の有効化と無効化 (コンソール)

AWS マネジメントコンソール の IAM セクションからカスタマー管理の CMK を有効化または無効化できます。

1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

4. 有効化または無効化する CMK のチェックボックスをオンにします。

5. CMK を有効にするには、[Key actions]、[Enable] の順に選択します。CMK を無効にするには、[Key actions]、[Disable] の順に選択します。

CMK の有効化と無効化 (AWS KMS API)

EnableKey オペレーションは、AWS KMS カスタマー管理キー (CMK) を有効化します。以下の例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。key-id パラメーターが必要です。

このオペレーションはどのような出力も返しません。キーステータスを表示するには、DescribeKey オペレーションを使用します。

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey オペレーションは有効化された CMK を無効化します。key-id パラメーターが必要です。

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

このオペレーションはどのような出力も返しません。キーステータスを表示するには、DescribeKey オペレーションを使用し、Enabled フィールドを参照してください。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}