翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
さまざまなキータイプの特定
以下のトピックでは、AWS KMS コンソールと DescribeKey レスポンス内でさまざまなキータイプを特定する方法について説明します。
KMS キーの詳細ページにある [暗号化設定] タブに移動する方法については、「KMS キーの詳細にアクセスして一覧表示する」を参照してください。
トピック
非対称 KMS キーを特定する
- AWS KMS コンソールで:
-
[カスタマーマネージドキー] テーブルの [キータイプ] 列は、各 KMS キーが対称であるか非対称であるかを示します。[キータイプ] 値でテーブルをフィルタリングして、非対称 KMS キーのみを表示させることができます。詳細については、「KMS キーのソートおよびフィルタリング」を参照してください。
KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。また、[キーの用途] も表示されます。これは、その非対称 KMS キーが暗号化と復号化、署名と検証、および共有シークレットの取得のうちどの用途に使用されるのかを示します。
- DescribeKey レスポンス内で
-
非対称 KMS キーで
DescribeKey
オペレーションを呼び出すと、レスポンスにはKeySpec
とKeyUsage
の値が含まれます。これらの値を使用して、KMS キーが対称か非対称かを確認できます。KeySpec
値がSYMMETRIC_DEFAULT
の場合、そのキーは対称暗号化 KMS キーです。非対称キー仕様の詳細については、「キー仕様のリファレンス」を参照してください。KeyUsage
値がSIGN_VERIFY
またはKEY_AGREEMENT
の場合、そのキーは非対称 KMS キーです。DescribeKey
オペレーションは、非対称 KMS キーに関する以下の詳細も返します。-
KeyUsage
値がENCRYPT_DECRYPT
である非対称 KMS キーの場合、オペレーションはそのキーの有効な暗号化アルゴリズムを一覧表示するEncryptionAlgorithms
を返します。 -
KeyUsage
値がSIGN_VERIFY
である非対称 KMS キーの場合、オペレーションはそのキーの有効な署名アルゴリズムを一覧表示するSigningAlgorithms
を返します。 -
KeyUsage
値がKEY_AGREEMENT
である非対称 KMS キーの場合、オペレーションはそのキーの有効なキーアグリーメントアルゴリズムを一覧表示するKeyAgreementAlgorithms
を返します。
-
非対称 KMS キーの詳細については、「AWS KMS の非対称キー」を参照してください。
HMAC KMS キーの特定
- AWS KMS コンソールで:
-
HMAC KMS キーは [カスタマーマネージドキー] テーブルに含まれていますが、HMAC キーを識別するキー仕様値またはキー用途値でこのテーブルをソートまたはフィルタリングすることはできません。HMAC キーを見つけやすくするには、それらに固有のエイリアスまたはタグを割り当てます。そうすることで、エイリアスまたはタグによるソートまたはフィルタリングが可能になります。
KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。HMAC KMS キーは対称です。[暗号化設定] タブには、[キーの用途] も表示されます。HMAC KMS キーにおいて、有効なキー用途値は常に [MAC の生成と検証] となります。
- DescribeKey レスポンス内で
-
HMAC KMS キーで
DescribeKey
オペレーションを呼び出すと、レスポンスにはKeySpec
とKeyUsage
の値が含まれます。HMAC KMS キーの場合、キー用途値は常にGENERATE_VERIFY_MAC
であり、キー仕様値は常にHMAC_
で始まります。
HMAC KMS キーの詳細については、「AWS KMS での HMAC キー」を参照してください。
マルチリージョン KMS キーの特定
- AWS KMS コンソールで:
-
[カスタマーマネージドキー] テーブルには、選択されているリージョンの KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。AWS リージョンを変更するには、ページの右上にあるリージョンセレクターを使用します。
[カスタマーマネージドキー] テーブルでマルチリージョンキーを識別しやすくするには、テーブルに [リージョナリティ] を追加します。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。
マルチリージョン KMS キーの詳細ページには、[リージョナリティ] タブがあります。プライマリキーの [リージョナリティー] タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。関連するマルチリージョンキーセクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。
関連するマルチリージョンキーを関連するマルチリージョンキーテーブルから選択すると、AWS KMS コンソールが選択したキーのリージョンに変わり、キーの詳細ページが開きます。例えば、以下の [Related multi-Region keys] (関連するマルチリージョンキー) セクション例の
sa-east-1
リージョンでレプリカキーを選択した場合、AWS KMS コンソールがsa-east-1
リージョンに変わり、そのレプリカキーの詳細ページが表示されます。レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。 - DescribeKey レスポンス内で
-
デフォルトでは、AWS KMS API オペレーションは特定のリージョンに特化されており、現在選択中のリージョンまたは指定されたリージョンのリソースのみを返します。ただし、マルチリージョン KMS キーで
DescribeKey
オペレーションを呼び出すと、レスポンスにはMultiRegionConfiguration
要素内の他の AWS リージョンのすべての関連するマルチリージョンキーも含まれます。
マルチリージョン KMS キーの詳細については、「AWS KMS のマルチリージョンキー」を参照してください。
インポートされたキーマテリアルを持つ KMS キーを特定する
- AWS KMS コンソールで:
-
インポートされたキーマテリアルを持つ KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするため、テーブルに [オリジン] 列を追加します。[オリジン] 列によって、EXTERNAL (キーマテリアルのインポート) のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。
KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に [外部] (インポートキーマテリアル) となります。詳細ページには、インポートされたキーマテリアルに関する詳細情報を提供する [キーマテリアル] タブも含まれます。[キーマテリアル] タブは、インポートされたキーマテリアルを持つ KMS キーの詳細ページにのみ表示されます。
- DescribeKey レスポンス内で
-
インポートされたキーマテリアルを持つ KMS キーで
DescribeKey
オペレーションを呼び出すと、レスポンスにはOrigin
、ExpirationModel
、ValidTo
の各値が含まれます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常にEXTERNAL
となります。ExpirationModel
値は、そのキーマテリアルに有効期限が設定されているかどうかを示し、ValidTo
値はキーマテリアルの有効期限を示します。詳細については、「有効期限の設定 (オプション)」を参照してください。
インポートされたキーマテリアルを持つ KMS キーの詳細については、「キーの AWS KMS キーマテリアルのインポート」を参照してください。
AWS CloudHSM キーストアの KMS キーを識別する
- AWS KMS コンソールで:
-
AWS CloudHSM キーストアの KMS キーを [カスタマーマネージドキー] テーブル上で識別しやすくするには、[オリジン] 列をテーブルに追加します。オリジン列では、AWS CloudHSM のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。
KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常に [AWS CloudHSM] となります。
AWS CloudHSM キーストアの KMS キーの場合、[暗号化設定] タブには、その KMS キーに関連付けられた AWS CloudHSM キーストアと AWS CloudHSM クラスターに関する情報を提供する追加のセクションである [カスタムキーストア] が含まれます。
- DescribeKey レスポンス内で
-
AWS CloudHSM キーストアの KMS キーで
DescribeKey
オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示すOrigin
が含まれます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常にAWS_CLOUDHSM
となります。オペレーションは、AWS CloudHSM キーストアの KMS キーに関する以下の特殊フィールドも返します。-
CloudHsmClusterId
-
CustomKeyStoreId
-
AWS CloudHSM キーストアの詳細については、「AWS CloudHSM キーストア」を参照してください。
外部キーストアの KMS キーを特定する
- AWS KMS コンソールで:
-
外部キーストアの KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするには、[オリジン] 列をテーブルに追加します。[オリジン] 列により、[外部キーストア] のオリジンプロパティ値を持つ KMS キーを一目で識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。
KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。外部キーストアの KMS キー場合、オリジン値は常に [外部キーストア] となります。
外部キーストアの KMS キーの場合、[暗号化設定] タブには [カスタムキーストア] と [外部キー] の 2 つの追加セクションが含まれます。[カスタムキーストア] テーブルは、その KMS キーに関連付けられた外部キーストアに関する情報を提供します。[外部キーストア] テーブルは、外部キーストアの KMS キーの AWS KMS コンソールにのみ表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。外部キーは、外部キーストア内の KMS キーのキーマテリアルとして機能する、AWS の外部にある暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、外部キーマネージャーによって実行されます。
[External key] (外部キー) セクションには、次の値が表示されます。
- 外部キー ID
-
外部キーマネージャーの外部キーの識別子です。これは、外部キーストアプロキシが外部キーを識別するために使用する値です。外部キー ID は KMS キーの作成時に指定します。この ID を変更することはできません。KMS キーの作成に使用した外部キー ID の値が変更または無効になった場合は、KMS キーを削除するようにスケジュールして、正しい外部キー ID 値を使用し、新しい KMS キーを作成する必要があります。
- DescribeKey レスポンス内で
-
外部キーストアの KMS キーで
DescribeKey
オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示すOrigin
が含まれます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常にEXTERNAL_KEY_STORE
となります。オペレーションは、その KMS キーに関連付けられた外部キーストアを特定するCustomKeyStoreId
要素も返します。
外部キーストアの使用の詳細については、「外部キーストア」を参照してください。