翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
外部キーストアで KMS キーを表示する
外部キーストアで KMS キーを表示するには、 AWS KMSコンソールまたは DescribeKeyオペレーションを使用します。AWS KMS カスタマーマネージドキーを表示するのと同じ方法を使用できます。基本については、「キーの表示」を参照してください。
AWS KMS コンソールでは、外部キーストア内の KMS キーが、AWS アカウント とリージョンの他のすべてのカスタマーマネージドキーとともに、[Customer managed keys] (カスタマーマネージドキー) ページに表示されます。外部キーストアの KMS キーを識別するには、固有のオリジン値、[External key store] (外部キーストア)、カスタムキーストア ID でフィルタリングします。
詳細については、「外部キーストアを表示する」、「外部キーストアのモニタリング」、および「AWS KMS による AWS CloudTrail API コールのログ記録」を参照してください。
外部キーストアの KMS キーのプロパティ
すべての KMS キーと同様に、外部キーストアの KMS キーには、キー ARN、キースペック、キー用途値があり、加えて、外部キーストアの KMS キー固有のプロパティとプロパティ値もあります。例えば、外部キーストアにあるすべての KMS キーの [Origin] (オリジン) 値は、[External key store] (外部キーストア) です。
外部キーストアの KMS キーの場合、AWS KMS コンソールの [Cryptographic configuration] (暗号化設定) タブには、[Custom key store] (カスタムキーストア) と [External key] (外部キー) の 2 つのセクションが含まれています。
カスタムキーストアのプロパティ
次の値は、暗号化設定タブのカスタムキーストアセクションとDescribeKeyレスポンスに表示されます。これらのプロパティは、AWS CloudHSM キーストアや外部キーストアを含むすべてのカスタムキーストアに適用されます。
- カスタムキーストア ID
-
AWS KMS がカスタムキーストアに割り当てる一意の ID です。
- カスタムキーストア名
-
カスタムキーストア作成時にカスタムキーストアに割り当てるフレンドリ名です。この値はいつでも変更できます。
- カスタムキーストアのタイプ
-
カスタムキーストアのタイプです。有効な値は AWS CloudHSM (
AWS_CLOUDHSM
) または外部キーストア (EXTERNAL_KEY_STORE
) です。カスタムキーストア作成後、タイプを変更することはできません。 - 作成日
-
カスタムキーストアが作成された日付です。この日付は、AWS リージョン の現地時間で表示されます。
- 接続状態
-
カスタムキーストアがバッキングキーストアに接続されているかどうかを示します。カスタムキーストアがバッキングキーストアに一度も接続されていないか、意図的に切断されていない限り、接続状態は
DISCONNECTED
です。詳細については、「接続状態」を参照してください。
外部キープロパティ
外部キープロパティは、暗号化設定タブの外部キーセクションとDescribeKeyレスポンスの XksKeyConfiguration
要素に表示されます。
[External key] (外部キーセクション) は、外部キーストアの KMS キー専用の AWS KMS コンソールに表示されます。このセクションは、KMS キーに関連付けられている外部キーの情報を表示します。外部キーは、外部キーストア内の KMS キーのキーマテリアルとして機能する、AWS の外部にある暗号化キーです。KMS キーを使用して暗号化または復号する際、オペレーションは、指定された外部キーを使用し、外部キーマネージャーによって実行されます。
[External key] (外部キー) セクションには、次の値が表示されます。
- 外部キー ID
-
外部キーマネージャーの外部キーの識別子です。これは、外部キーストアプロキシが外部キーを識別するために使用する値です。外部キー ID は KMS キーの作成時に指定します。この ID を変更することはできません。KMS キーの作成に使用した外部キー ID の値が変更または無効になった場合は、KMS キーを削除するようにスケジュールして、正しい外部キー ID 値を使用し、新しい KMS キーを作成する必要があります。
外部キーストアで KMS キーを表示する (コンソール)
カスタムキーストアで KMS キーを表示するには (コンソール)
-
AWS KMS コンソール (https://console.aws.amazon.com/kms
) を開きます。 -
AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
外部キーストアの KMS キーを識別するには、キーテーブルに [Origin] (オリジン) フィールドと [Custom key store ID] (カスタムキーストア ID) フィールドを追加します。外部キーストアの KMS キーの [Origin] (オリジン) 値は、[External key store] (外部キーストア) です。
右上隅で歯車アイコンを選択し、[Origin] (オリジン)、[Custom key store ID] (カスタムキーストア ID)、[Confirm] (確認) の順に選択します。
-
外部カスタムキーストアで、KMS キーのエイリアスまたはキー ID を選択します。
-
外部キーストアの KMS キー固有のプロパティを表示するには、[Cryptographic configuration] (暗号化設定) タブを選択します。外部キーストアの KMS キーの特殊な値は、[Custom key store] (カスタムキーストア) セクションと [External key] (外部キー) セクションに表示されます。
外部キーストア (AWS KMS API) で KMS キーを表示する
外部キーストア (API) で KMS キーを表示するには
、ListKeys、 など、KMS キーに使用する外部キーストアの KMS キーを表示するには、同じ AWS KMS API オペレーションを使用しますDescribeKeyGetKeyPolicy。例えば、次の AWS CLI の describe-key
オペレーションでは、外部キーストアの KMS キーの特別なフィールドが表示されます。このようなコマンドを実行する前に、サンプル KMS キー ID を有効な値に置き換えます。
$
aws kms describe-key --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": "2022-12-02T07:48:55-07:00", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "CustomKeyStoreId": "cks-1234567890abcdef0", "Description": "", "Enabled": true, "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "MultiRegion": false, "Origin": "EXTERNAL_KEY_STORE", "XksKeyConfiguration": { "Id": "bb8562717f809024" } } }