対称 CMK と非対称 CMK の識別 - AWS Key Management Service

対称 CMK と非対称 CMK の識別

特定の CMK が対称か非対称かを判断するには、そのキータイプキー仕様を見つけます。AWS KMS コンソールまたは AWS KMS API を使用できます。

これらの方法の中には、キー使用法、CMK がサポートする暗号化アルゴリズムまたは署名アルゴリズムなど、CMK の暗号化設定のその他の側面も表示されます。既存の CMK の暗号化設定を表示できますが、変更することはできません。

コンソールディスプレイの並べ替え、フィルタリング、コラムの選択など、CMK の表示に関する一般的な情報については、「コンソールでの CMK の表示」を参照してください。

CMK テーブルでのキータイプの検索

AWS KMS コンソールの [Key Type (キータイプ)] 列には、各 CMK が対称か非対称かが表示されます。コンソールの [Customer managed keys (カスタマー管理キー)] ページまたは [AWS managed keys (AWS 管理キー)] ページの CMK テーブルに [Key type (キータイプ)] 列を追加できます。

CMK テーブルで対称 CMK と非対称 CMK を識別するには、以下の手順に従います。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、暗号化キーを選択します。

  3. フィルタ で、AWS の該当するリージョンを選択します。

  4. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。 AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。

  5. [Key type (キータイプ)] 列には、各 CMK が対称か非対称かが表示されます。また、[Key type (キータイプ)] の値で、ソートおよびフィルタリングすることもできます。

    CMK テーブルに [Key type (キータイプ)] 列が表示されない場合は、ページの右上隅にある歯車アイコンを選択し、[Key type (キータイプ)] を選択して、[Confirm (確認)] を選択します。[Key spec (キー仕様)] 列と [Key usage (キー使用法)] 列を追加することもできます。

    
                        CMK テーブルの Key type (キータイプ) 列

[詳細] ページでのキータイプの検索

AWS KMS コンソールでは、各 CMK の詳細ページには、キータイプ(対称または非対称)と CMK に関するその他の暗号化の詳細を表示する [暗号化設定] セクションがあります。

CMK の詳細ページで対称 CMK と非対称 CMK を識別するには、以下の手順に従います。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、暗号化キーを選択します。

  3. フィルタ で、AWS の該当するリージョンを選択します。

  4. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。 AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。

  5. CMK のエイリアスまたは キー ID を選択します。

  6. [Cryptographic configuration (暗号化設定)] を選択します。

    [Cryptographic configuration (暗号化設定)] セクションには、対称か非対称かを示す [Key Type (キーの種類)] が含まれています。また、CMK の暗号化と復号化、または署名と検証に使用できるかどうかを示す、[Key Usage (キー使用法)] など、CMK に関するその他の詳細も表示されます。非対称 CMK の場合は、CMK がサポートする暗号化アルゴリズムまたは署名アルゴリズムが表示されます。

    たとえば、以下は対称 CMK の [Cryptographic configuration (暗号化設定)] セクションの例です。

    
                        対称 CMK の [Cryptographic configuration (暗号化設定)] セクション

    次に、署名と検証に使用される非対称の RSA CMK の [Cryptographic configuration (暗号化設定)] セクションの例を示します。

    
                        非対称 CMK の [Cryptographic configuration (暗号化設定)] セクション

AWS KMS API を使用したキー仕様の検索

CMK が対称か非対称かを判断するには、DescribeKey オペレーションを使用します。レスポンスの CustomerMasterKeySpec フィールドには、CMK のキー仕様が含まれています。対称 CMK の場合、CustomerMasterKeySpec の値は SYMMETRIC_DEFAULT です。他のすべての値は、非対称の CMK を示します。

たとえば、DescribeKey は、対称 CMK に対して次のレスポンスを返します。CustomerMasterKeySpec 値は SYMMETRIC_DEFAULT です。

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

署名および検証に使用される非対称の RSA CMK に対する DescribeKey 応答は、この例のようになります。CustomerMasterKeySpec 値に示すように、キー仕様は RSA_2048です。KeyUsageSIGN_VERIFY で、SigningAlgorithms エレメントは CMK の有効な署名アルゴリズムをリストします。

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }