マルチリージョンキーを表示する - AWS Key Management Service

マルチリージョンキーを表示する

単一リージョンキーおよびマルチリージョンキーは AWS KMS コンソールで、および AWS KMS API オペレーションを使用して表示できます。

コンソールでマルチリージョンを表示する

AWS KMS コンソールでは、選択したリージョンで KMS キーを表示できます。マルチリージョンキーを持っている場合、他の AWS リージョン で関連するマルチリージョンキーを表示することもできます。

AWS KMS コンソールのカスタマーマネージドキーテーブルでは、選択したリージョンで KMS キーのみが表示されます。選択したリージョンでマルチリージョンのプライマリキーおよびレプリカキーを表示できます。AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

AWS マネージドキー は常に単一リージョンキーのため、AWS マネージドキー テーブルにリージョナリティ機能はありません。

  • マルチリージョンキーを簡単に識別するには、キーテーブルにリージョナリティー列を追加します。ヘルプについては、「KMS キーテーブルをカスタマイズする」を参照してください。

  • キーテーブルに単一リージョンキーのみ、またはマルチリージョンキーのみを表示するには、各キーのリージョナリティープロパティでキーをフィルタリングします。ヘルプについては、「KMS キーをソートおよびフィルタリングする」を参照してください。

  • 固有の mrk- キー ID プレフィックスのカスタマーマネージドキーテーブルをソートおよびフィルタリングすることもできます。

  • マルチリージョンのプライマリキーまたはレプリカキーの詳細については、キーの詳細ページに移動して、[Regionality (リージョナリティー)] タブを選択します。

    プライマリキーの [Regionality (リージョナリティー)] タブには、プライマリリージョンの変更ボタンと新しいレプリカキーの作成ボタンがあります。(レプリカキーのリージョナリティータブには、どちらのボタンもありません)。関連するマルチリージョンキーセクションには、現在のキーに関連するすべてのマルチリージョンキーが一覧表示されます。現在のキーがレプリカキーの場合、このリストにはプライマリキーが含まれます。

    関連するマルチリージョンキーを関連するマルチリージョンキーテーブルから選択すると、AWS KMS コンソールが選択したキーのリージョンに変わり、キーの詳細ページが開きます。例えば、以下の [Related multi-Region keys] (関連するマルチリージョンキー) セクション例の sa-east-1 リージョンでレプリカキーを選択した場合、AWS KMS コンソールが sa-east-1 リージョンに変わり、そのレプリカキーの詳細ページが表示されます。レプリカキーのエイリアスまたはキーポリシーを表示するにはこのオペレーションを行います。リージョンを再度変更するには、ページの右上隅にあるリージョンセレクターを使用します。

API でマルチリージョンキーを表示する

AWS KMS API でマルチリージョンキーを表示するには、DescribeKey オペレーションを使用します。指定したキーとそれに関連するすべてのマルチリージョンキーが表示されます。

AWS KMS コンソール同様、AWS KMS API オペレーションはリージョナルです。例えば、ListKeys または ListAliases オペレーションを呼び出すと、現在のリージョンまたは指定されたリージョンのリソースのみが返されます。ただし、マルチリージョンキーで DescribeKey オペレーションを呼び出すと、レスポンスには他の AWS リージョン のすべての関連するマルチリージョンキーが含まれます。

例えば、次の例の DescribeKey リクエストでは、アジアパシフィック (東京) (ap-northeast-1) リージョンのマルチリージョンのサンプルレプリカキーの詳細を取得します。

$ aws kms describe-key \ --key-id arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --region ap-northeast-1

レスポンスのほとんどの KeyMetadata は、リクエストの対象となるアジアパシフィック (東京) リージョンのレプリカキーを記述します。ただし、MultiRegionConfiguration 要素は、米国西部 (オレゴン) (us-west-2) リージョンのプライマリキー、およびアジアパシフィック (東京) リージョンのレプリカを含む、他の AWS リージョン のレプリカキーを記述します。DescribeKey はすべての関連するマルチリージョンキーの同じ MultiRegionConfiguration 値を返します

{ "KeyMetadata": { "MultiRegion": true, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1586329200.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, { "Arn": "arn:aws:kms:ap-northeast-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-northeast-1" }, { "Arn": "arn:aws:kms:sa-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "sa-east-1" } ] } } }