キータイプリファレンス - AWS Key Management Service

キータイプリファレンス

AWS KMS は、さまざまなタイプの KMS キーに対して異なる機能をサポートします。例えば、対称データキー非対称データキーペアの生成には、対称暗号化 KMS キーのみを使用できます。また、キーマテリアルのインポート自動キーローテーションは対称暗号化 KMS キーのみでサポートされ、カスタムキーストアでは対称暗号化 KMS キーのみを作成できます。

この表の情報に加えて、KMS キーは次の特別な AWS KMS 機能で使用できます。

  • マルチリージョンキー:

    • 対称 KMS キーをサポートするすべての API オペレーションでは、マルチリージョンの対称 KMS キーもサポートされています。非対称 KMS キーをサポートするすべての API オペレーションでは、マルチリージョンの非対称 KMS キーもサポートされています。

    • カスタムキーストアでマルチリージョンキーを作成することはできません。

  • インポートされたキーマテリアル

    • インポートされたキーマテリアルを持つことができるのは、対称暗号化 KMS キーのみです。

    • 非対称 KMS キー、HMAC KMS キー、およびカスタムキーストア内の KMS キーが、インンポートされたキーマテリアルを持つことはできません。

    • マルチリージョンの対称暗号化キーは、インポートされたキーマテリアルを持つことができます。

    • 自動キーローテーション (EnableKeyRotation、DisableKeyRotation) では、インポートしたキーマテリアルを含むキーがサポートされません。

  • カスタムキーストア

    • カスタムキーストアは、対称 KMS キーのみをサポートします。

    • 自動キーローテーション (EnableKeyRotation、DisableKeyRotation) では、カスタムキーストアのキーがサポートされません。

    • カスタムキーストアでマルチリージョンキーを作成することはできません。

次の表に、各タイプの KMS キーを作成および管理するために使用できる AWS KMS オペレーションを一覧表示します。オペレーションをサポートしていない KMS キーでオペレーションを使用すると、オペレーションは失敗します。

この表のすべてのデータを表示するには、水平または垂直にスクロールする必要があります。

AWS KMS API オペレーション 対称暗号化 KMS キー HMAC KMS キー 非対称 KMS キー (ENCRYPT_DECRYPT) 非対称 KMS キー (SIGN_VERIFY)

CancelKeyDeletion

CreateAlias

CreateGrant

CreateKey

– インポートしたキーマテリアルを含む (Origin = EXTERNAL)

 

- カスタムキーストア (Origin = AWS_CLOUDHSM)

 

– マルチリージョンプライマリキーを作成する

Decrypt

DeleteAlias

DeleteImportedKeyMaterial

– マルチリージョンキーでサポートされています

– 非対称 KMS キー、HMAC KMS キー、またはカスタムキーストア内の KMS キーではサポートされません。

DescribeKey

DisableKey

DisableKeyRotation

– 非対称 KMS キー、HMAC KMS キー、カスタムキーストア内の KMS キー、およびインポートされたキーマテリアルを持つ KMS キーではサポートされません。

EnableKey

EnableKeyRotation

– 非対称 KMS キー、HMAC KMS キー、カスタムキーストア内の KMS キー、およびインポートされたキーマテリアルを持つ KMS キーではサポートされません。

Encrypt

GenerateDataKey

GenerateDataKeyPair

[1]

GenerateDataKeyPairWithoutPlaintext

[1]

GenerateDataKeyWithoutPlaintext

GenerateMac

GetKeyPolicy

GetKeyRotationStatus

(KeyRotationEnabled は常に になります。false)

(KeyRotationEnabled は常に になります。false)

(KeyRotationEnabled は常に になります。false)

GetParametersForImport

– マルチリージョンキーでサポートされています

– 非対称 KMS キー、HMAC KMS キー、カスタムキーストア内の KMS キー、およびインポートされたキーマテリアルを持つ KMS キーではサポートされません。

GetPublicKey

ImportKeyMaterial

– マルチリージョンキーでサポートされています

– 非対称 KMS キー、HMAC KMS キー、カスタムキーストア内の KMS キー、およびインポートされたキーマテリアルを持つ KMS キーではサポートされません。

ListAliases

ListGrants

ListKeyPolicies

ListResourceTags

ListRetirableGrants

PutKeyPolicy

ReEncrypt

ReplicateKey

– マルチリージョンキーでのみ有効

RetireGrant

RevokeGrant

ScheduleKeyDeletion

Sign

TagResource

UntagResource

UpdateAlias

現在の KMS キーと新しい KMS キーは、同じタイプであり (両方とも対称または両方とも非対称)、キーの用途が同じである必要があります。

UpdateKeyDescription

UpdateReplicaRegion

– マルチリージョンキーでのみ有効

Verify

VerifyMac

[1] GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext は、対称暗号化 KMS キーによって保護される非対称データキーペアを生成します。