非対称 KMS キーの識別

特定の KMS キーが非対称 KMS キーであるかどうかを判断するには、キーのタイプ、またはキーの仕様を見つけます。AWS KMS コンソールまたは AWS KMS API を使用できます。

これらの方法の一部では、キー使用法、および KMS キーがサポートする暗号化アルゴリズムまたは署名アルゴリズムなど、KMS キーの暗号化設定のその他の状況も表示されます。既存の KMS キーの暗号化設定を表示できますが、変更することはできません。

コンソール表示のソート、フィルタリング、列の選択など、KMS キーの表示に関する一般情報については、コンソールで KMS キーを表示する を参照してください。

KMS キーテーブルでキータイプを検索する

AWS KMS コンソールのキータイプ列には、各 KMS キーが対称であるか非対称であるかが表示されます。コンソールの [Customer managed keys] (カスタマーマネージドキー) または [AWS マネージドキー] ページで、キータイプ列を KMS キーテーブルに追加できます。

KMS キーテーブルで対称および非対称 KMS キーを識別するには、以下の手順に従います。

1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS マネージドキー] を選択します。

4. キータイプ列には、各 KMS キーが対称であるか非対称であるかが表示されます。キータイプにより、ソートおよびフィルタリングも実行できます。

   KMS キーテーブルにキータイプ列が表示されない場合は、ページの右上隅にある歯車アイコン、[Key type (キータイプ)]、[Confirm (確認)] の順に選択します。[Key spec (キー仕様)] 列と [Key usage (キー使用法)] 列を追加することもできます。

   

[詳細] ページでのキータイプの検索

AWS KMS コンソールでは、各 KMS キーの詳細ページに Cryptographic Configuration タブがあります。このタブには、キータイプ (対称または非対称) と、KMS キーに関するその他の暗号化の詳細が表示されます。

KMS キーの詳細ページで対称および非対称 KMS キーを識別するには、以下の手順に従います。

1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS マネージドキー] を選択します。

4. KMS キーのエイリアスまたは キー ID を選択します。

5. [Cryptographic configuration] (暗号化の設定) タブを選択します。これらのタブは、[General configuration] (一般設定) セクションの下にあります。

   [ 暗号化設定 ] タブに [ Key Type, ] が表示され、対称か非対称かを示します。KMS キーが暗号化と復号、または署名と検証に使用できるかどうかを示すキー使用法など、KMS キーに関するその他の詳細も表示されます。非対称 KMS キーの場合は、KMS キーがサポートする暗号化アルゴリズムまたは署名アルゴリズムが表示されます。

   例えば、以下は対称暗号化 KMS キーの [Cryptographic configuration] (暗号化設定) タブの例です。

   

   次の例は、署名と検証に使用される非対称 RSA KMS キーの暗号化設定タブです。

   

AWS KMS API を使用したキー仕様の検索

KMS キーが対称か非対称かを判断するには、 DescribeKeyオペレーションを使用します。レスポンスの KeySpec フィールドには、KMS キーのキー仕様が含まれます。対称暗号化 KMS キーの場合、KeySpec の値は SYMMETRIC_DEFAULT です。これ以外の値は、非対称 KMS キーまたは HMAC KMS キーを示しています。

注記

CustomerMasterKeySpec メンバーは非推奨です。代わりに KeySpec を使用してください。互換性を破る変更を防ぐために、DescribeKey レスポンスは同じ値を持つ KeySpec および CustomerMasterKeySpec メンバーを含みます。

例えば、DescribeKey は、対称暗号化 KMS キーについて以下のレスポンスを返します。KeySpec 値は SYMMETRIC_DEFAULT です。

{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
    "CreationDate": 1496966810.831,
    "Enabled": true,
    "Description": "",
    "KeyState": "Enabled",
    "Origin": "AWS_KMS",
    "KeyManager": "CUSTOMER",
    "MultiRegion": false,
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}

署名および検証に使用される非対称 RSA KMS キーに対する DescribeKey のレスポンスは、この例のようになります。KeySpec 値は RSA_2048、KeyUsage は SIGN_VERIFY です。SigningAlgorithms 要素は KMS キーの有効な署名アルゴリズムを一覧表示します。

{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1571767572.317,
    "CustomerMasterKeySpec": "RSA_2048",
    "Enabled": false,
    "Description": "",
    "KeyState": "Disabled",
    "Origin": "AWS_KMS",
    "MultiRegion": false,
    "KeyManager": "CUSTOMER",
    "KeySpec": "RSA_2048",
    "KeyUsage": "SIGN_VERIFY",
    "SigningAlgorithms": [
        "RSASSA_PKCS1_V1_5_SHA_256",
        "RSASSA_PKCS1_V1_5_SHA_384",
        "RSASSA_PKCS1_V1_5_SHA_512",
        "RSASSA_PSS_SHA_256",
        "RSASSA_PSS_SHA_384",
        "RSASSA_PSS_SHA_512"
    ]
  }
}