さまざまなキータイプの特定 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

さまざまなキータイプの特定

以下のトピックでは、AWS KMS コンソールと DescribeKey レスポンス内でさまざまなキータイプを特定する方法について説明します。

KMS キーの詳細ページにある [暗号化設定] タブに移動する方法については、「KMS キーの詳細にアクセスして一覧表示する」を参照してください。

非対称 KMS キーを特定する

AWS KMS コンソールで:

[カスタマーマネージドキー] テーブルの [キータイプ] 列は、各 KMS キーが対称であるか非対称であるかを示します。[キータイプ] 値でテーブルをフィルタリングして、非対称 KMS キーのみを表示させることができます。詳細については、「KMS キーのソートおよびフィルタリング」を参照してください。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。また、[キーの用途] も表示されます。これは、その非対称 KMS キーが暗号化と復号化、署名と検証、および共有シークレットの取得のうちどの用途に使用されるのかを示します。

DescribeKey レスポンス内で

非対称 KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpecKeyUsage の値が含まれます。これらの値を使用して、KMS キーが対称か非対称かを確認できます。

KeySpec 値が SYMMETRIC_DEFAULT の場合、そのキーは対称暗号化 KMS キーです。非対称キー仕様の詳細については、「キー仕様のリファレンス」を参照してください。

KeyUsage 値が SIGN_VERIFY または KEY_AGREEMENT の場合、そのキーは非対称 KMS キーです。

DescribeKey オペレーションは、非対称 KMS キーに関する以下の詳細も返します。

  • KeyUsage 値が ENCRYPT_DECRYPT である非対称 KMS キーの場合、オペレーションはそのキーの有効な暗号化アルゴリズムを一覧表示する EncryptionAlgorithms を返します。

  • KeyUsage 値が SIGN_VERIFY である非対称 KMS キーの場合、オペレーションはそのキーの有効な署名アルゴリズムを一覧表示する SigningAlgorithms を返します。

  • KeyUsage 値が KEY_AGREEMENT である非対称 KMS キーの場合、オペレーションはそのキーの有効なキーアグリーメントアルゴリズムを一覧表示する KeyAgreementAlgorithms を返します。

非対称 KMS キーの詳細については、「AWS KMS の非対称キー」を参照してください。

HMAC KMS キーの特定

AWS KMS コンソールで:

HMAC KMS キーは [カスタマーマネージドキー] テーブルに含まれていますが、HMAC キーを識別するキー仕様値またはキー用途値でこのテーブルをソートまたはフィルタリングすることはできません。HMAC キーを見つけやすくするには、それらに固有のエイリアスまたはタグを割り当てます。そうすることで、エイリアスまたはタグによるソートまたはフィルタリングが可能になります。

KMS キーの詳細ページの [暗号化設定] タブに [キータイプ] が表示され、そのキーが対称か非対称かを示します。HMAC KMS キーは対称です。[暗号化設定] タブには、[キーの用途] も表示されます。HMAC KMS キーにおいて、有効なキー用途値は常に [MAC の生成と検証] となります。

DescribeKey レスポンス内で

HMAC KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには KeySpecKeyUsage の値が含まれます。HMAC KMS キーの場合、キー用途値は常に GENERATE_VERIFY_MACであり、キー仕様値は常に HMAC_ で始まります。

HMAC KMS キーの詳細については、「AWS KMS での HMAC キー」を参照してください。

マルチリージョン KMS キーの特定

AWS KMS コンソールで:

[カスタマーマネージドキー] テーブルには、選択されているリージョンの KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。AWS リージョンを変更するには、ページの右上にあるリージョンセレクターを使用します。

[カスタマーマネージドキー] テーブルでマルチリージョンキーを識別しやすくするには、テーブルに [リージョナリティ] を追加します。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

マルチリージョン KMS キーの詳細ページには、[リージョナリティ] タブがあります。プライマリキーの [リージョナリティー] タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。関連するマルチリージョンキーセクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。

関連するマルチリージョンキーを関連するマルチリージョンキーテーブルから選択すると、AWS KMS コンソールが選択したキーのリージョンに変わり、キーの詳細ページが開きます。例えば、以下の [Related multi-Region keys] (関連するマルチリージョンキー) セクション例の sa-east-1 リージョンでレプリカキーを選択した場合、AWS KMS コンソールが sa-east-1 リージョンに変わり、そのレプリカキーの詳細ページが表示されます。レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。

DescribeKey レスポンス内で

デフォルトでは、AWS KMS API オペレーションは特定のリージョンに特化されており、現在選択中のリージョンまたは指定されたリージョンのリソースのみを返します。ただし、マルチリージョン KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには MultiRegionConfiguration 要素内の他の AWS リージョンのすべての関連するマルチリージョンキーも含まれます。

マルチリージョン KMS キーの詳細については、「AWS KMS のマルチリージョンキー」を参照してください。

インポートされたキーマテリアルを持つ KMS キーを特定する

AWS KMS コンソールで:

インポートされたキーマテリアルを持つ KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするため、テーブルに [オリジン] 列を追加します。[オリジン] 列によって、EXTERNAL (キーマテリアルのインポート) のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に [外部] (インポートキーマテリアル) となります。詳細ページには、インポートされたキーマテリアルに関する詳細情報を提供する [キーマテリアル] タブも含まれます。[キーマテリアル] タブは、インポートされたキーマテリアルを持つ KMS キーの詳細ページにのみ表示されます。

DescribeKey レスポンス内で

インポートされたキーマテリアルを持つ KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスには OriginExpirationModelValidTo の各値が含まれます。インポートされたキーマテリアルを持つ KMS キーの場合、オリジン値は常に EXTERNAL となります。ExpirationModel 値は、そのキーマテリアルに有効期限が設定されているかどうかを示し、ValidTo 値はキーマテリアルの有効期限を示します。詳細については、「有効期限の設定 (オプション)」を参照してください。

インポートされたキーマテリアルを持つ KMS キーの詳細については、「キーの AWS KMS キーマテリアルのインポート」を参照してください。

AWS CloudHSM キーストアの KMS キーを識別する

AWS KMS コンソールで:

AWS CloudHSM キーストアの KMS キーを [カスタマーマネージドキー] テーブル上で識別しやすくするには、[オリジン] 列をテーブルに追加します。オリジン列では、AWS CloudHSM のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常に [AWS CloudHSM] となります。

AWS CloudHSM キーストアの KMS キーの場合、[暗号化設定] タブには、その KMS キーに関連付けられた AWS CloudHSM キーストアと AWS CloudHSM クラスターに関する情報を提供する追加のセクションである [カスタムキーストア] が含まれます。

DescribeKey レスポンス内で

AWS CloudHSM キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常に AWS_CLOUDHSM となります。オペレーションは、AWS CloudHSM キーストアの KMS キーに関する以下の特殊フィールドも返します。

  • CloudHsmClusterId

  • CustomKeyStoreId

AWS CloudHSM キーストアの詳細については、「AWS CloudHSM キーストア」を参照してください。

外部キーストアの KMS キーを特定する

AWS KMS コンソールで:

外部キーストアの KMS キーを [カスタマーマネージドキー] テーブルで識別しやすくするには、[オリジン] 列をテーブルに追加します。[オリジン] 列により、[外部キーストア] のオリジンプロパティ値を持つ KMS キーを一目で識別できます。ヘルプについては、「KMS キーテーブルのカスタマイズ」を参照してください。

KMS キーの詳細ページにある [暗号化設定] タブには、その KMS キーのキーマテリアルのソースを示す [オリジン] が表示されます。外部キーストアの KMS キー場合、オリジン値は常に [外部キーストア] となります。

外部キーストアの KMS キーの場合、[暗号化設定] タブには [カスタムキーストア][外部キー] の 2 つの追加セクションが含まれます。[カスタムキーストア] テーブルは、その KMS キーに関連付けられた外部キーストアに関する情報を提供します。[外部キーストア] テーブルは、外部キーストアの KMS キーの AWS KMS コンソールにのみ表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。外部キーは、外部キーストア内の KMS キーのキーマテリアルとして機能する、AWS の外部にある暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、外部キーマネージャーによって実行されます。

[External key] (外部キー) セクションには、次の値が表示されます。

外部キー ID

外部キーマネージャーの外部キーの識別子です。これは、外部キーストアプロキシが外部キーを識別するために使用する値です。外部キー ID は KMS キーの作成時に指定します。この ID を変更することはできません。KMS キーの作成に使用した外部キー ID の値が変更または無効になった場合は、KMS キーを削除するようにスケジュールして、正しい外部キー ID 値を使用し、新しい KMS キーを作成する必要があります。

DescribeKey レスポンス内で

外部キーストアの KMS キーで DescribeKey オペレーションを呼び出すと、レスポンスにはキーマテリアルのソースを示す Origin が含まれます。AWS CloudHSM キーストアの KMS キーの場合、オリジン値は常に EXTERNAL_KEY_STORE となります。オペレーションは、その KMS キーに関連付けられた外部キーストアを特定する CustomKeyStoreId 要素も返します。

外部キーストアの使用の詳細については、「外部キーストア」を参照してください。