KMS キーの暗号化設定の表示

KMS キーの作成後、その暗号化設定を表示できます。KMS キーの作成後にその設定を変更することはできません。別の設定を使用したい場合は、KMS キーを削除して再度作成します。

AWS KMS コンソールで、または AWS KMS API を使用して、KMS キーの、キー仕様、キーの使用方法、サポートされている暗号化アルゴリズムまたは署名アルゴリズムを含む暗号化設定を確認することができます。詳細については、「非対称 KMS キーの識別」を参照してください。

AWS KMS コンソールでは、各 KMS キーの詳細ページに、KMS キーに関する暗号化の詳細を表示する暗号化設定タブが含まれます。例えば次のイメージは、署名と検証に使用される RSA KMS キーの暗号化設定タブを示しています。

特別な目的をもつ一部の KMS キーの [Cryptographic configuration] (暗号化設定) タブには、他にも専用のセクションがあります。例えば、カスタムキーストアの KMS キーの [Cryptographic configuration] (暗号化設定) タブには、[Custom key stores] (カスタムキーストア) セクションがあります。外部キーストア の KMS キーの [Cryptographic configuration] (暗号化設定) タブには、[External key] (外部キー) セクションがあります。

AWS KMS API では、 DescribeKeyオペレーションを使用します。レスポンスの KeyMetadata 構造には、KMS キーの暗号化設定が含まれます。例えば、DescribeKey は、署名と検証に使用される RSA KMS キーに対して次のレスポンスを返します。

{
  "KeyMetadata": {

    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": 1571767572.317,
    "CustomerMasterKeySpec": "RSA_2048",
    "Description": "",
    "Enabled": true,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "MultiRegion": false, 
    "Origin": "AWS_KMS",
    "KeySpec": "RSA_2048",
    "KeyUsage": "SIGN_VERIFY",
    "SigningAlgorithms": [
        "RSASSA_PKCS1_V1_5_SHA_256",
        "RSASSA_PKCS1_V1_5_SHA_384",
        "RSASSA_PKCS1_V1_5_SHA_512",
        "RSASSA_PSS_SHA_256",
        "RSASSA_PSS_SHA_384",
        "RSASSA_PSS_SHA_512"
    ]
  }
}