KMS キーの詳細にアクセスして一覧表示する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

KMS キーの詳細にアクセスして一覧表示する

AWS KMS コンソールまたは DescribeKey オペレーションを使用して、アカウントとリージョン内の KMS キーに関する詳細情報にアクセスして一覧表示できます。

以下の手順は、キー ID、キー仕様、キー用途などの KMS キーの詳細にアクセスする方法を示します。

各 KMS キーの詳細ページには、KMS キーのプロパティが表示されます。KMS キーの種類によって若干異なります。

KMS キーに関する詳細情報を表示するには、AWS マネージドキー または [Customer managed keys] (カスタマーマネージドキー) ページで、KMS キーのエイリアスまたはキー ID を選択します。

KMS キーの詳細ページには、KMS キーのベーシックプロパティを表示する [General configuration] (一般設定) セクションがあります。これには、[Key policy] (キーポリシー)、[Cryptographic configuration] (暗号化設定)、[Tags] (タグ)、[Key material] (キーマテリアル) (インポートされたキーマテリアルを持つ KMS キーの場合)、[Key rotation] (キーローテーション) (対称暗号化 KMS キーの場合)、[Regionality] (リージョナリティ) (マルチリージョンキーの場合)、および [Public key] (パブリックキー) (非対称 KMS キーの場合) などの、KMS キーのプロパティを表示して編集できるタブもあります。

注記

AWS KMS コンソールには、アカウントとリージョンで表示する許可 がある KMS キーが表示されます。他の AWS アカウント の KMS キーは、表示、管理、および使用する許可がある場合でも、コンソールには表示されません。他のアカウントの KMS キーを表示するには、DescribeKey オペレーションを使用します。

KMS キーのキーの詳細ページに移動するには

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS マネージドキー] を選択します。

  4. キーの詳細ページを開くには、キーテーブルで KMS キーのキー ID またはエイリアスを選択します。

    KMS キーに複数のエイリアスがある場合、エイリアスの概要 (+n 個追加) が、エイリアスの 1 つの名前の横に表示されます。エイリアスのサマリーを選択すると、キーの詳細ページの Aliases (エイリアス) タブを直接表示します。

カスタマー管理キー details showing general configuration and cryptographic settings.

次のリストでは、タブ内のフィールドを含め、詳細表示のフィールドについて説明します。これらのフィールドの一部は、テーブル表示の列としても使用できます。

エイリアス

場所: [Aliases] (エイリアス) タブ

KMS キーのわかりやすい名前。エイリアスを使用して、コンソールおよび一部の AWS KMS API で KMS キーを識別できます。詳細については、「のエイリアス AWS KMS」を参照してください。

エイリアスタブは、AWS アカウント およびリージョンで KMS キーに関連付けられたすべてのエイリアスを表示します。

ARN

場所: [General configuration] (一般設定) セクション

KMS キーの Amazon リソースネーム (ARN)。この値は KMS キーを一意に識別します。この値を使用して、AWS KMS API オペレーションで KMS キーを識別できます。

接続状態

カスタムキーストアがバッキングキーストアに接続しているかどうかを示します。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

このフィールドの値の詳細については、「AWS KMS API リファレンスの「ConnectionState」を参照してください。

作成日

場所: [General configuration] (一般設定) セクション

KMS キーが作成された日時。この値は、デバイスの現地時間で表示されます。タイムゾーンはリージョンに依存しません。

有効期限切れとは異なり、作成時は KMS キーのみを参照し、キーマテリアルは参照しません。

CloudHSM クラスター ID

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルを含む AWS CloudHSM クラスターのクラスター ID。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

CloudHSM クラスター ID を選択すると、AWS CloudHSM コンソールでクラスターページが開きます。

カスタムキーストア ID

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを含むカスタムキーストアの ID。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

カスタムキーストア ID を選択すると、AWS KMS コンソールでカスタムキーストアページが開きます。

カスタムキーストア名

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを含むカスタムキーストアの名前。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

カスタムキーストアのタイプ

場所: [Cryptographic configuration] (暗号化設定) タブ

カスタムキーストアが AWS CloudHSM キーストア外部キーストアのいずれであるのかを示します。このフィールドは、KMS キーがカスタムキーストアで作成された場合にのみ表示されます。

説明

場所: [General configuration] (一般設定) セクション

書き込みおよび編集できる KMS キーの簡単な説明 (オプション)。カスタマーマネージドキーの説明を追加または更新するには、上記の一般設定編集を選択します。

暗号化アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMS で KMS キーとともに使用できる暗号化アルゴリズムを一覧表示します。このフィールドは、[Key type] (キーのタイプ) が [Asymmetric] (非対称) で、[Key usage] (キーの用途) が [Encrypt and decrypt] (暗号化と復号) の場合にのみ表示されます。AWS KMS がサポートする暗号化アルゴリズムについては、「SYMMETRIC_DEFAULT キー仕様」および「暗号化および復号の RSA キー仕様」を参照してください。

有効期限日

場所:[キーマテリアル] タブ

KMS キーのキーマテリアルの有効期限が切れる日時。このフィールドは、インポートされたキーマテリアルを持つ KMS キーに対してのみ表示されます。つまり、[Origin] (オリジン) が [External] (外部) で、KMS キーに有効期限付きキーマテリアルがある場合です。

外部キー ID

場所: [Cryptographic configuration] (暗号化設定) タブ

外部キーストアの KMS キーに関連付けられている外部キーのID。このフィールドは、外部キーストアの KMS キーにのみ表示されます。

外部キーのステータス

場所: [Cryptographic configuration] (暗号化設定) タブ

外部キーストアプロキシが KMS キーに関連付けられた外部キーについて報告した最新のステータス。このフィールドは、外部キーストアの KMS キーにのみ表示されます。

外部キーの使用

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーに関連付けられた外部キーで有効になっている、暗号化のオペレーション。このフィールドは、外部キーストアの KMS キーにのみ表示されます。

キーポリシー

場所: [Key policy] (キーポリシー) タブ

IAM ポリシーおよびグラントとともに KMS キーへのアクセスを制御します。KMS キーそれぞれに 1 つのキーポリシーがあります。これは、唯一の必須認可要素です。カスタマーマネージドキーのキーポリシーを変更するには、キーポリシータブで編集を選択します。詳細については、「のキーポリシー AWS KMS」を参照してください。

キーローテーション

場所: [Key rotation] (キーローテーション) タブ

カスタマーマネージド KMS キーのキーマテリアルの自動ローテーションを有効化または無効化します。カスタマーマネージドキーのキーローテーションステータスを変更するには、[Key rotation] (キーローテーション) タブのチェックボックスを使用します。

AWS マネージドキーのキーマテリアルのローテーションを有効または無効にすることはできません。AWS マネージドキーは毎年自動的にローテーションされます。

キー仕様

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルのタイプ。AWS KMS は、対称暗号化 KMS キー (SYMMETRIC_DEFAULT)、異なる長さの HMAC KMS キー、異なる長さの RSA KMS キー、異なる曲線を持つ楕円曲線キーをサポートします。詳細については、「Key spec」を参照してください。

キーのタイプ

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーが対称非対称かを示します。

キーの用途

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを [Encrypt and decrypt] (暗号化および復号)、[Sign and verify] (署名および検証)、または [Generate and verify MAC] (MAC の生成と検証) のどれに使用できるかを示します。詳細については、「Key usage」を参照してください。

オリジン

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルのソース。有効な値は次のとおりです。

MAC アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMS で HMAC KMS キーと使用できる MAC アルゴリズムのリストです。このフィールドは、[Key spec] (キーの仕様) が HMAC キー仕様 (HMAC_*) である場合にのみ表示されます。AWS KMS がサポートする MAC アルゴリズムについては、「HMAC KMS キーの主な仕様」を参照してください。

プライマリキー

場所: [リージョナリティ] タブ

この KMS キーがマルチリージョンのプライマリキーであることを示します。認可されたユーザーはこのセクションを使用して、別の関連するマルチリージョンキーにプライマリキーを変更できます。このフィールドは、KMS キーがマルチリージョンのプライマリキーである場合にのみ表示されます。

パブリックキー

場所: [Public key] (パブリックキー) タブ

非対称 KMS キーのパブリックキーを表示します。承認されたユーザーは、このタブを使用してパブリックキーをコピーおよびダウンロードできます。

リージョナリティー

場所: 一般設定セクションおよびリージョナリティータブ

KMS キーが単一リージョンキー、マルチリージョンのプライマリキー、またはマルチリージョンのレプリカキーのいずれであるかを示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。

関連するマルチリージョンキー

場所: [リージョナリティ] タブ

関連するすべてのマルチリージョンのプライマリキーとレプリカキー (現在の KMS キーを除く) を表示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。

プライマリキーの [Related multi-Region keys] (関連するマルチリージョンキー) セクションでは、承認されたユーザーが新しいレプリカキーを作成できます。

レプリカキー

場所: [リージョナリティ] タブ

この KMS キーがマルチリージョンのレプリカキーであることを示します。このフィールドは、KMS キーがマルチリージョンのレプリカキーである場合にのみ表示されます。

署名アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMS で KMS キーとともに使用できる署名アルゴリズムを一覧表示します。このフィールドは、[Key type] (キーのタイプ) が [Asymmetric] (非対称) で、[Key usage] (キーの用途) が [Sign and verify] (署名と検証) の場合にのみ表示されます。AWS KMS がサポートする署名アルゴリズムについては、「署名および検証用の RSA キー仕様」および「楕円曲線のキー仕様」を参照してください。

ステータス

場所: [General configuration] (一般設定) セクション

KMS キーのキーステータス。KMS キーはステータスが有効の場合にのみ、暗号化オペレーションで使用できます。各 KMS キーステータスと KMS キーで実行されるオペレーションへの影響の詳細については、AWS KMS キーのキーステータス を参照してください。

タグ

場所: [Tags] (タグ) タブ

KMS キーを記述するオプションのキーバリューペア。KMS キーのタグを追加または変更するには、[Tags] (タグ) タブで [Edit] (編集) を選択します。

AWS リソースにタグを追加すると、使用量とコストがタグごとに集計されたコスト配分レポートが AWS によって生成されます。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、AWS KMS のタグ および AWS KMS の ABAC を参照してください。

DescribeKey オペレーションは、指定された KMS キーの詳細を返します。KMS キーを識別するには、そのキー IDキー ARNエイリアス名エイリアス ARN を使用します。

発信者のアカウントとリージョンの KMS キーのみが表示される ListKeys オペレーションとは異なり、許可されたユーザーは、DescribeKey オペレーションを使用して、他のアカウントの KMS キーに関する詳細を取得できます。

注記

DescribeKey レスポンスは、同じ値を持つ KeySpec および CustomerMasterKeySpec メンバーの両方を含みます。CustomerMasterKeySpec メンバーは非推奨です。

例えば、DescribeKey に対するこの呼び出しは、対称暗号化 KMS キーに関する情報を返します。レスポンスのフィールドは、AWS KMS key の仕様キーの状態キーマテリアルのオリジンによって異なります。複数のプログラミング言語の例については、「または AWS SDK DescribeKeyで使用する CLI」を参照してください。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "MultiRegion": false, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

この例では、署名と検証に使用される非対称 KMS キーで DescribeKey オペレーションを呼び出します。レスポンスには、この KMS キーに対して AWS KMS がサポートする署名アルゴリズムが含まれます。

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "KeyMetadata": { "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Origin": "AWS_KMS", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyState": "Enabled", "KeyUsage": "SIGN_VERIFY", "CreationDate": 1569973196.214, "Description": "", "KeySpec": "ECC_NIST_P521", "CustomerMasterKeySpec": "ECC_NIST_P521", "AWSAccountId": "111122223333", "Enabled": true, "MultiRegion": false, "KeyManager": "CUSTOMER", "SigningAlgorithms": [ "ECDSA_SHA_512" ] } }