翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 自動キーローテーションを有効にする
<a name="rotating-keys-enable"></a>

デフォルトでは、KMS *キーの自動キーローテーション*を有効にすると、 は KMS キーの新しい暗号化マテリアルを毎年 AWS KMS 生成します。カスタムを指定[rotation-period](rotate-keys.md#rotation-period)して、キーマテリアルを AWS KMS ローテーションする自動キーローテーションを有効にしてからの日数と、それ以降の各自動ローテーション間の日数を定義することもできます。

自動キーローテーションには次の利点があります。
+ [キー ID](concepts.md#key-id-key-id)、[キー ARN](concepts.md#key-id-key-ARN)、リージョン、ポリシー、アクセス許可などの KMS キーのプロパティは、キーがローテーションされても変更されません。
+ KMS キーのキー ID またはキー ARN を参照するアプリケーションまたはエイリアスを変更する必要はありません。
+ キーマテリアルのローテーションは、どの AWS のサービスでの KMS キーの使用にも影響しません。
+ キーローテーションを有効にすると、 は AWS KMS ローテーション期間で定義された次のローテーション日に KMS キーを自動的にローテーションします。更新を覚えている、またはスケジュールする必要はありません。

自動キーローテーションは、 AWS KMS コンソールで有効にすることも、[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) オペレーションを使用して有効にすることもできます。自動キーローテーションを有効にするには、`kms:EnableKeyRotation` アクセス許可が必要です。アクセス AWS KMS 許可の詳細については、「」を参照してください[アクセス許可に関するリファレンス](kms-api-permissions-reference.md)。

## AWS KMS コンソールの使用
<a name="rotate-keys-console"></a>

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[Customer managed keys]** (カスタマーマネージドキー) を選択します。( AWS マネージドキーのローテーションを有効化または無効化することはできません。これらのローテーションは毎年自動的に行われます。)

1. KMS キーのエイリアスまたは キー ID を選択します。

1. [**キーローテーション**] タブを選択します。

   **[キーのローテーション]** タブは、[マルチリージョン](rotate-keys.md#multi-region-rotate)の対称暗号化 KMS キーなど、 AWS KMS が生成したキーマテリアルを持つ対称暗号化 KMS キー (**[オリジン]** は **[AWS\$1KMS]**) の詳細ページにのみ表示されます。

   非対称 KMS キー、HMAC KMS キー、[インポートされたキーマテリアル](importing-keys.md)を持つ KMS キー、または[カスタムキーストア](key-store-overview.md#custom-key-store-overview)内の KMS キーを自動的にローテーションすることはできません。ただし、[手動でローテーション](rotate-keys-manually.md)することはできます。

1. **[自動キーローテーション]** セクションで、**[編集]** を選択します。

1. **[キーローテーション]** で、**[有効化]** を選択します。
**注記**  
KMS キーが無効になっているか、削除が保留中の場合、 AWS KMS はキーマテリアルをローテーションせず、自動キーローテーションステータスまたはローテーション期間を更新することはできません。KMS キーを有効にするか、削除をキャンセルして自動キーローテーション設定を更新します。詳細については、「[キーローテーションの仕組み](rotate-keys.md#rotate-keys-how-it-works)」および「[キーの AWS KMS キーステータス](key-state.md)」を参照してください。

1. (オプション) 90 日から 2560 日の範囲でローテーション期間を入力します。デフォルト値は 365 日です。カスタムローテーション期間を指定しない場合、 AWS KMS はキーマテリアルを毎年ローテーションします。

   [kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) 条件キーを使用して、プリンシパルがローテーション期間に指定できる値を制限することができます。

1. **[保存]** を選択します。

## AWS KMS API の使用
<a name="rotate-keys-api"></a>

任意のカスタマーマネージドキーについて、[AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/) を使用して自動キーローテーションを有効化し、現在のローテーションステータスを確認することができます。以下の例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) オペレーションでは、指定された KMS キーの自動キーローテーションが有効になります。このオペレーションで KMS キーを特定するには、[キー ID](concepts.md#key-id-key-id) または[キー ARN](concepts.md#key-id-key-ARN) を使用します。デフォルトでは、カスタマーマネージドキーのキーローテーションは無効になっています。

[kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) 条件キーを使用して、プリンシパルが `EnableKeyRotation` リクエストの `RotationPeriodInDays` パラメータに指定できる値を制限することができます。

以下の例では、指定された対称暗号化 KMS キーについてローテーション期間を 180 日に設定してキーローテーションを有効にし、[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) オペレーションを使用して結果を確認しています。

```
$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```