AWS KMS キーのキーステータス - AWS Key Management Service

AWS KMS キーのキーステータス

AWS KMS key は必ずキーステータスを持っています。KMS キーとその環境に対するオペレーションは、一時的に、または別のオペレーションによって変更されるまで、そのキーステータスを変更できます。

このセクションの表は、キーステータスが AWS KMS API オペレーションへの呼び出しにどのように影響するかを示しています。キーステータスの結果として、KMS キーでのオペレーションは成功 ()、失敗 (X)、または特定の条件でのみ成功する (?) と予想されます。多くの場合、この結果は KMS キーのインポートされたキーマテリアルによって異なります。

この表には、既存の KMS キーを使用する API オペレーションのみが含まれています。その他のオペレーション (CreateKey および ListKeys など) は省略されています。

キーステータスと KMS キーの種類

KMS キーの種類によって、それが持つキーステータスが決まります。

  • すべての KMS キーは、EnabledDisabled、および PendingDeletion 状態になり得ます。

  • ほとんどの KMS キーは Enabled ステータスで作成されます。インポートされたキーマテリアルを持つキーは PendingImport ステータスで作成されます。

  • PendingImport ステータスは、インポートされたキーマテリアルを持つ KMS キーにのみ適用されます。

  • Unavailable ステータスは、カスタムキーストア内の KMS キーにのみ適用されます。カスタムキーストアがその AWS CloudHSM クラスターから意図的に切断された場合、カスタムキーストアの KMS キーは Unavailable です。使用できない KMS キーを表示および管理することはできますが、暗号化オペレーションで使用することはできません。

  • CreatingUpdatingPendingReplicaDeletion のキーステータスは、マルチリージョンキーにのみ適用されます。

    • マルチリージョンのレプリカキーは、作成中の一時的な Creating キーステータスです。ReplicateKey オペレーションの完了時、このプロセスはまだ進行中の可能性があります。レプリケートプロセスが完了すると、レプリカキーは Enabled または PendingImport ステータスになります。

    • プライマリリージョンの更新中、マルチリージョンキーは一時的に Updating キーステータスになります。UpdatePrimaryRegion オペレーションの完了時、このプロセスはまだ進行中の可能性があります。更新プロセスが完了すると、プライマリキーとレプリカキーは、Enabled キーステータスを再開します。

    • レプリカキーを持つマルチリージョンのプライマリキーの削除をスケジュールすると、プライマリキーはそのレプリカキーがすべて削除されるまで、PendingReplicaDeletion ステータスを保持します。その後、キーステータスが PendingDeletion に変わります。詳細については、「マルチリージョンキーを削除する」を参照してください。

キーステータスの表

次の表に、KMS キーのキーステータスが、AWS KMS オペレーションにどのような影響を与えるかを示します。

番号付きの脚注の説明 ([n]) は、このトピックの最後にあります。

注記

この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

API 有効 無効

削除保留中

レプリカの削除保留中

インポートの保留中 使用不可 [Creating] (作成中) 更新中
CancelKeyDeletion

[4]

[4]

[4]

[4], [13]

[4]

[4]

CreateAlias

[3]

CreateGrant

[1]

[2] または [3]

[5]

[14]

Decrypt

[1]

[2] または [3]

[5]

[11]

[14]

DeleteAlias
DeleteImportedKeyMaterial

[9]

[9]

[9]

(影響なし)

該当なし

[14]

[15]

DescribeKey
DisableKey

[3]

[5]

[12]

[14]

[15]

DisableKeyRotation

[7]

[1] または [7]

[3] または [7]

[6]

[7]

[14]

[7]

EnableKey

[3]

[5]

[12]

[14]

[15]

EnableKeyRotation

[7]

[1] または [7]

[3] または [7]

[6]

[7]

[14]

[7]

暗号化

[1]

[2] または [3]

[5]

[11]

[14]

GenerateDataKey

[1]

[2] または [3]

[5]

[11]

[14]

GenerateDataKeyPair

[1]

[2] または [3]

[5]

[11]

[14]

GenerateDataKeyPairWithoutPlaintext

[1]

[2] または [3]

[5]

[11]

[14]

GenerateDataKeyWithoutPlaintext

[1]

[2] または [3]

[5]

[11]

[14]

GenerateMac

[1]

[2] または [3]

該当なし 該当なし

[14]

GetKeyPolicy
GetKeyRotationStatus

[7]

[7]

[7]

[6]

[7]

[7]

[7]

GetParametersForImport

[9]

[9]

[8] または [9]

[9]

[14]

[15]

GetPublicKey

[1]

[2] または [3]

該当なし 該当なし

[14]

ImportKeyMaterial

[9]

[9]

[8] または [9]

[9]

[14]

ListAliases
ListGrants
ListKeyPolicies
ListResourceTags
PutKeyPolicy
ReEncrypt

[1]

[2] または [3]

[5]

[11]

[14]

ReplicateKey

[1]

[2] または [3]

[5]

該当なし

[14]

[15]

RetireGrant
RevokeGrant
ScheduleKeyDeletion

[3]

[15]

Sign

[1]

[2] または [3]

該当なし 該当なし

[14]

TagResource

[3]

UntagResource

[3]

UpdateAlias

[10]

UpdateKeyDescription

[3]

UpdatePrimaryRegion

[1]

[2] または [3]

[5]

該当なし

[14]

Verify

[1]

[2] または [3]

該当なし 該当なし

[14]

VerifyMac

[1]

[2] または [3]

該当なし 該当なし

[14]

テーブルの詳細

  • [1] DisabledException: <key ARN> is disabled.

  • [2] DisabledException: <key ARN> is pending deletion (or pending replica deletion).

  • [3] KMSInvalidStateException: <key ARN> is pending deletion (or pending replica deletion).

  • [4] KMSInvalidStateException: <key ARN> is not pending deletion (or pending replica deletion).

  • [5] KMSInvalidStateException: <key ARN> is pending import.

  • [6] UnsupportedOperationException: <key ARN> origin is EXTERNAL which is not valid for this operation.

  • [7] KMS キーがインポートされたキーマテリアルを持つ場合、または KMS キーがカスタムキーストアにある場合: UnsupportedOperationException

  • [8] KMS キーがインポートされたキーマテリアルを持つ場合: KMSInvalidStateException

  • [9] KMS キーがインポートされたキーマテリアルを持たない場合、または持てない場合: UnsupportedOperationException

  • [10] ソース KMS キーが削除保留中の場合、コマンドは成功します。送信先の KMS キーが削除保留中の場合、コマンドは次のエラーで失敗します: KMSInvalidStateException : <key ARN> is pending deletion.

  • [11] KMSInvalidStateException: <key ARN> is unavailable. 使用不可能な KMS キーでこのオペレーションを実行することはできません。

  • [12] オペレーションは成功しますが、KMS キーのキーステータスは、使用可能になるまで変更されません。

  • [13] カスタムキーストアの KMS キーが削除保留中の場合、KMS キーが使用不可能になっても、そのキーステータスは PendingDeletion のままになります。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。

  • [14] KMSInvalidStateException: <key ARN> is creating. AWS KMS は、マルチリージョンキー (ReplicateKey) のレプリケーション中にこの例外をスローします。

  • [15] KMSInvalidStateException: <key ARN> is updating. AWS KMS は、マルチリージョンキー (UpdatePrimaryRegion) のプライマリリージョンの更新中にこの例外をスローします。