外部キーストアで KMS キーを表示する - AWS Key Management Service
外部キーストアの KMS キーのプロパティ外部キーストアで KMS キーを表示する (コンソール)外部キーストア (AWS KMS API) で KMS キーを表示する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアで KMS キーを表示する

外部キーストアで KMS キーを表示するには、 AWS KMSコンソールまたは DescribeKeyオペレーションを使用します。AWS KMS カスタマーマネージドキーを表示するのと同じ方法を使用できます。基本については、「キーの表示」を参照してください。

AWS KMS コンソールでは、外部キーストア内の KMS キーが、AWS アカウント とリージョンの他のすべてのカスタマーマネージドキーとともに、[Customer managed keys] (カスタマーマネージドキー) ページに表示されます。外部キーストアの KMS キーを識別するには、固有のオリジン値、[External key store] (外部キーストア)、カスタムキーストア ID でフィルタリングします。

詳細については、「外部キーストアを表示する」、「外部キーストアのモニタリング」、および「AWS KMS による AWS CloudTrail API コールのログ記録」を参照してください。

外部キーストアの KMS キーのプロパティ

すべての KMS キーと同様に、外部キーストアの KMS キーには、キー ARNキースペックキー用途値があり、加えて、外部キーストアの KMS キー固有のプロパティとプロパティ値もあります。例えば、外部キーストアにあるすべての KMS キーの [Origin] (オリジン) 値は、[External key store] (外部キーストア) です。

外部キーストアの KMS キーの場合、AWS KMS コンソールの [Cryptographic configuration] (暗号化設定) タブには、[Custom key store] (カスタムキーストア) と [External key] (外部キー) の 2 つのセクションが含まれています。

カスタムキーストアのプロパティ

次の値は、暗号化設定タブのカスタムキーストアセクションとDescribeKeyレスポンスに表示されます。これらのプロパティは、AWS CloudHSM キーストアや外部キーストアを含むすべてのカスタムキーストアに適用されます。

カスタムキーストア ID

AWS KMS がカスタムキーストアに割り当てる一意の ID です。

カスタムキーストア名

カスタムキーストア作成時にカスタムキーストアに割り当てるフレンドリ名です。この値はいつでも変更できます。

カスタムキーストアのタイプ

カスタムキーストアのタイプです。有効な値は AWS CloudHSM (AWS_CLOUDHSM) または外部キーストア (EXTERNAL_KEY_STORE) です。カスタムキーストア作成後、タイプを変更することはできません。

作成日

カスタムキーストアが作成された日付です。この日付は、AWS リージョン の現地時間で表示されます。

接続状態

カスタムキーストアがバッキングキーストアに接続されているかどうかを示します。カスタムキーストアがバッキングキーストアに一度も接続されていないか、意図的に切断されていない限り、接続状態は DISCONNECTED です。詳細については、「接続状態」を参照してください。

外部キープロパティ

外部キープロパティは、暗号化設定タブの外部キーセクションとDescribeKeyレスポンスの XksKeyConfiguration要素に表示されます。

[External key] (外部キーセクション) は、外部キーストアの KMS キー専用の AWS KMS コンソールに表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。外部キーは、外部キーストア内の KMS キーのキーマテリアルとして機能する、AWS の外部にある暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、外部キーマネージャーによって実行されます。

[External key] (外部キー) セクションには、次の値が表示されます。

外部キー ID

外部キーマネージャーの外部キーの識別子です。これは、外部キーストアプロキシが外部キーを識別するために使用する値です。外部キー ID は KMS キーの作成時に指定します。この ID を変更することはできません。KMS キーの作成に使用した外部キー ID の値が変更または無効になった場合は、KMS キーを削除するようにスケジュールして、正しい外部キー ID 値を使用し、新しい KMS キーを作成する必要があります。

外部キーストアで KMS キーを表示する (コンソール)

カスタムキーストアで KMS キーを表示するには (コンソール)

  1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. 外部キーストアの KMS キーを識別するには、キーテーブルに [Origin] (オリジン) フィールドと [Custom key store ID] (カスタムキーストア ID) フィールドを追加します。外部キーストアの KMS キーの [Origin] (オリジン) 値は、[External key store] (外部キーストア) です。

    右上隅で歯車アイコンを選択し、[Origin] (オリジン)、[Custom key store ID] (カスタムキーストア ID)、[Confirm] (確認) の順に選択します。

  5. 外部カスタムキーストアで、KMS キーのエイリアスまたはキー ID を選択します。

  6. 外部キーストアの KMS キー固有のプロパティを表示するには、[Cryptographic configuration] (暗号化設定) タブを選択します。外部キーストアの KMS キーの特殊な値は、[Custom key store] (カスタムキーストア) セクションと [External key] (外部キー) セクションに表示されます。

外部キーストア (AWS KMS API) で KMS キーを表示する

外部キーストア (API) で KMS キーを表示するには

ListKeys、 など、KMS キーに使用する外部キーストアの KMS キーを表示するには、同じ AWS KMS API オペレーションを使用しますDescribeKeyGetKeyPolicy。例えば、次の AWS CLI の describe-key オペレーションでは、外部キーストアの KMS キーの特別なフィールドが表示されます。このようなコマンドを実行する前に、サンプル KMS キー ID を有効な値に置き換えます。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {      
      "Id": "bb8562717f809024"           
    }
  }
}