マルチリージョンキーを表示する

単一リージョンキーおよびマルチリージョンキーは AWS KMS コンソールで、および AWS KMS API オペレーションを使用して表示できます。

コンソールでマルチリージョンを表示する

AWS KMS コンソールでは、選択したリージョンで KMS キーを表示できます。マルチリージョンキーを持っている場合、他の AWS リージョン で関連するマルチリージョンキーを表示することもできます。

AWS KMS コンソールのカスタマーマネージドキーテーブルでは、選択したリージョンで KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

AWS マネージドキー は常に単一リージョンキーのため、AWS マネージドキー テーブルにリージョナリティ機能はありません。

• マルチリージョンキーを簡単に識別するには、キーテーブルにリージョナリティー列を追加します。ヘルプについては、「KMS キーテーブルをカスタマイズする」を参照してください。

  

• キーテーブルに単一リージョンキーのみ、またはマルチリージョンキーのみを表示するには、各キーのリージョナリティープロパティでキーをフィルタリングします。ヘルプについては、「KMS キーをソートおよびフィルタリングする」を参照してください。

  

• 固有の mrk- キー ID プレフィックスのカスタマーマネージドキーテーブルをソートおよびフィルタリングすることもできます。

  

• マルチリージョンのプライマリキーまたはレプリカキーの詳細については、キーの詳細ページに移動して、[Regionality (リージョナリティー)] タブを選択します。

  プライマリキーの [Regionality (リージョナリティー)] タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。関連するマルチリージョンキーセクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。

  関連するマルチリージョンキーを関連するマルチリージョンキーテーブルから選択すると、AWS KMS コンソールが選択したキーのリージョンに変わり、キーの詳細ページが開きます。例えば、以下の [Related multi-Region keys] (関連するマルチリージョンキー) セクション例の sa-east-1 リージョンでレプリカキーを選択した場合、AWS KMS コンソールが sa-east-1 リージョンに変わり、そのレプリカキーの詳細ページが表示されます。レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  

API でマルチリージョンキーを表示する

AWS KMS API でマルチリージョンキーを表示するには、 DescribeKeyオペレーションを使用します。指定したキーとそれに関連するすべてのマルチリージョンキーが表示されます。

AWS KMS コンソール同様、AWS KMS API オペレーションはリージョナルです。例えば、 ListKeysまたは ListAliasesオペレーションを呼び出すと、現在または指定されたリージョンのリソースのみが返されます。ただし、マルチリージョンキーで DescribeKey オペレーションを呼び出すと、レスポンスには他の AWS リージョン のすべての関連するマルチリージョンキーが含まれます。

例えば、次の例の DescribeKey リクエストでは、アジアパシフィック (東京) (ap-northeast-1) リージョンのマルチリージョンのサンプルレプリカキーの詳細を取得します。

$ aws kms describe-key \
        --key-id arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
        --region ap-northeast-1

レスポンスのほとんどの KeyMetadata は、リクエストの対象となるアジアパシフィック (東京) リージョンのレプリカキーを記述します。ただし、MultiRegionConfiguration 要素は、米国西部 (オレゴン) (us-west-2) リージョンのプライマリキー、およびアジアパシフィック (東京) リージョンのレプリカを含む、他の AWS リージョン のレプリカキーを記述します。DescribeKey はすべての関連するマルチリージョンキーの同じ MultiRegionConfiguration 値を返します

{
    "KeyMetadata": {
        "MultiRegion": true,        
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1586329200.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-west-2"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                },
                {
                    "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-northeast-1"
                },
                {
                    "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "sa-east-1"
                }
            ]
        }
    }
}