コンソールで KMS キーを表示する - AWS Key Management Service

コンソールで KMS キーを表示する

AWS Management Console では、アカウントとリージョンの KMS キーのリストと、各 KMS キーの詳細を表示できます。

注記

AWS KMS コンソールには、アカウントとリージョンで表示する許可 がある KMS キーが表示されます。他の AWS アカウント の KMS キーは、表示、管理、および使用する許可がある場合でも、コンソールには表示されません。他のアカウントの KMS キーを表示するには、DescribeKey オペレーションを使用します。

キーテーブルへの移動

各アカウントとリージョンの AWS KMS keys がテーブルに表示されます。作成する KMS キーと、AWS サービスによって作成される KMS キー には別々のテーブルがあります。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS マネージドキー] を選択します。KMS キーの各種タイプの詳細については、AWS KMS keys を参照してください。

    ヒント

    エイリアスのない AWS マネージドキー を表示するには、[Customer managed keys] (カスタマーマネージドキー) ページを使用します。

    AWS KMS コンソールには、アカウントとリージョンのカスタムキーストアも表示されます。カスタムキーストアで作成した KMS キーは、[Customer managed keys] (カスタマーマネージドキー) ページに表示されます。カスタムキーストアの詳細については、「カスタムキーストア」を参照してください。

キーの詳細へ移動する

アカウントおよびリージョンのすべての AWS KMS key には詳細ページがあります 詳細ページには KMS キーの [General configuration] (一般設定) セクションが表示され、ユーザーに [Cryptographic configuration] (暗号化の設定) およびキーの [Key policy] (キーポリシー) の表示と管理を認可するタブが含まれています。キーの種類によっては、詳細ページに [Aliases] (エイリアス)、[Key material] (キーマテリアル)、[Key rotation] (キーローテーション)、[Public key] (パブリックキー)、[Regionality] (リージョナリティー)、[Tags] (タグ) タブが含まれる場合もあります。

KMS キーのキーの詳細ページに移動するには

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。AWS によって作成および管理されるアカウントのキーを表示するには、ナビゲーションペインで [AWS managed keys] (AWS マネージドキー) を選択します。KMS キーの各種タイプの詳細については、AWS KMS key を参照してください。

  4. キーの詳細ページを開くには、キーテーブルで KMS キーのキー ID またはエイリアスを選択します。

    KMS キーに複数のエイリアスがある場合、エイリアスの概要 (+n 個追加) が、エイリアスの 1 つの名前の横に表示されます。エイリアスのサマリーを選択すると、キーの詳細ページの Aliases (エイリアス) タブを直接表示します。

KMS キーをソートおよびフィルタリングする

コンソールで KMS キーを検索しやすくするために、キーテーブルをソートしてフィルタリングできます。

Sort

KMS キーを列の値で昇順または降順にソートできます。この機能は、テーブル内の KMS キーが現在のテーブルページに表示されていない場合も、すべての KMS キーをソートします。

ソート可能な列は、列名の横の矢印で示されます。AWS マネージドキー ページでは、[Aliases] (エイリアス) または [Key ID] (キー ID) でソートできます。[Customer managed keys] (カスタマーマネージドキー) ページでは、[Aliases] (エイリアス)、[Key ID] (キー ID)、または [Key type] (キータイプ) でソートできます。

昇順で並べ替えるには、矢印が上を向くように列見出しを選択します。降順で並べ替えるには、矢印が下を向くように列見出しを選択します。一度に 1 つの列のみでソートすることができます。

例えば、デフォルトのエイリアスではなく、キー ID により昇順で KMS キーをソートできます。

[Customer managed keys] (カスタマーマネージドキー) ページの KMS キーを [Key type] (キータイプ) で昇順にソートすると、すべての非対称キーがすべての対称キーの前に表示されます。

フィルター

KMS キーは、プロパティ値またはタグでフィルタリングできます。フィルターは、現在のテーブルページに表示されていない場合でも、テーブル内のすべての KMS キーに適用されます。フィルターでは、大文字と小文字は区別されません。

フィルタリング可能なプロパティがフィルターボックスに一覧表示されます。AWS マネージドキー ページでは、エイリアスおよびキー IDでフィルタリングできます。[Customer managed keys] (カスタマーマネージドキー) ページでは、エイリアス、キー ID、キータイププロパティ、タグでフィルタリングできます。

  • AWS マネージドキー ページでは、エイリアスおよびキー IDでフィルタリングできます。

  • [Customer managed keys] (カスタマーマネージドキー) ページでは、タグ、エイリアス、キー ID、キータイプ、リージョナリティのプロパティでフィルタリングできます。

プロパティ値でフィルタリングするには、フィルター、プロパティ名の順に選択し、実際のプロパティ値のリストから選択します。タグでフィルタリングするには、タグキーを選択し、実際のタグ値のリストから選択します。プロパティまたはタグキーを選択した後、プロパティ値またはタグ値のすべてまたは一部を入力することもできます。選択を行う前に、結果のプレビューが表示されます。

例えば、aws/e を含むエイリアス名で KMS キーを表示するには、フィルターボックス、[Alias (エイリアス)]、タイプ aws/e の順に選択し、Enter または Return を押してフィルターを追加します。

[Customer managed keys] (カスタマーマネージドキー) ページに非対称 KMS キーのみを表示するには、フィルターボックスをクリックして、[Key type] (キータイプ)、[Key type: Asymmetric] (キータイプ: 非対称) の順に選択します。非対称オプションは、テーブルに非対称 KMS キーがある場合にのみ表示されます。非対称 KMS キーの識別の詳細については、非対称 KMS キーの識別 を参照してください。

マルチリージョンキーのみを表示するには、[Customer managed keys] (カスタマーマネージドキー) ページで、フィルターボックス、[Regionality] (リージョナリティー)、[Regionality: Multi-Region] (リージョナリティー: マルチリージョン) の順に選択します。マルチリージョンキーオプションは、テーブルにマルチリージョンキーがある場合にのみ表示されます。マルチリージョンキーの識別の詳細については、マルチリージョンキーを表示する を参照してください。

タグのフィルタリングは少し異なります。特定のタグを持つ KMS キーのみを表示するには、フィルターボックス、タグキーの順に選択し、実際のタグ値の中から選択します。タグ値のすべてまたは一部を入力することもできます。

結果のテーブルには、選択したタグを持つすべての KMS キーが表示されます。ただし、タグは表示されません。タグを表示するには、KMS キーのキー ID またはエイリアスを選択し、その詳細ページで [Tags] (タグ) タブを選択します。これらのタブは、一般設定セクションにあります。

このフィルターには、タグキーとタグ値の両方が必要です。タグキーのみを入力しても、その値のみを入力しても KMS キーは検索されません。タグキー、値のすべてまたは一部でタグをフィルタリングするには、ListResourceTags オペレーションを使用してタグ付けされた KMS キーを取得し、プログラミング言語のフィルタリング機能を使用します。例については、「ListResourceTags: KMS キーのタグを取得する」を参照してください。

テキストを検索するには、フィルターボックスに、エイリアス、キー ID、キータイプ、タグキーのすべてまたは一部を入力します。(タグキーの選択後、タグ値を検索できます)。選択を行う前に、結果のプレビューが表示されます。

例えば、KMS キーをタグキーまたはフィルタリング可能なプロパティの test で表示するには、フィルターボックスの test を入力します。プレビューには、フィルターが選択する KMS キーが表示されます。この場合、testエイリアスのプロパティにのみ表示されます。

複数のフィルターを同時に使用できます。フィルターを追加する場合は、論理演算子を選択することもできます。

KMS キーの詳細を表示する

各 KMS キーの詳細ページには、KMS キーのプロパティが表示されます。KMS キーの種類によって若干異なります。

KMS キーに関する詳細情報を表示するには、AWS マネージドキー または [Customer managed keys] (カスタマーマネージドキー) ページで、KMS キーのエイリアスまたはキー ID を選択します。

KMS キーの詳細ページには、KMS キーのベーシックプロパティを表示する [General configuration] (一般設定) セクションがあります。これには、[Key policy] (キーポリシー)、[Cryptographic configuration] (暗号化設定)、[Tags] (タグ)、[Key material] (キーマテリアル) (インポートされたキーマテリアルを持つ KMS キーの場合)、[Key rotation] (キーローテーション) (対称暗号化 KMS キーの場合)、[Regionality] (リージョナリティ) (マルチリージョンキーの場合)、および [Public key] (パブリックキー) (非対称 KMS キーの場合) などの、KMS キーのプロパティを表示して編集できるタブもあります。

次のリストでは、タブ内のフィールドを含め、詳細表示のフィールドについて説明します。これらのフィールドの一部は、テーブル表示の列としても使用できます。

エイリアス

場所: [Aliases] (エイリアス) タブ

KMS キーのわかりやすい名前。エイリアスを使用して、コンソールおよび一部の AWS KMS API で KMS キーを識別できます。詳細については、「エイリアスの使用」を参照してください。

エイリアスタブは、AWS アカウント およびリージョンで KMS キーに関連付けられたすべてのエイリアスを表示します。

ARN

場所: [General configuration] (一般設定) セクション

KMS キーの Amazon リソースネーム (ARN)。この値は KMS キーを一意に識別します。この値を使用して、AWS KMS API オペレーションで KMS キーを識別できます。

作成日

場所: [General configuration] (一般設定) セクション

KMS キーが作成された日時。この値は、デバイスの現地時間で表示されます。タイムゾーンはリージョンに依存しません。

有効期限切れとは異なり、作成時は KMS キーのみを参照し、キーマテリアルは参照しません。

CloudHSM クラスター ID

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルを含む AWS CloudHSM クラスターのクラスター ID。このフィールドは、AWS KMS のカスタムキーストアで KMS キーが作成された場合にのみ表示されます。

CloudHSM クラスター ID を選択すると、AWS CloudHSM コンソールでクラスターページが開きます。

カスタムキーストア ID

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを含むカスタムキーストアの ID。このフィールドは、AWS KMS カスタムキーストアで KMS キーが作成された場合にのみ表示されます。

カスタムキーストア ID を選択すると、AWS KMS コンソールでカスタムキーストアページが開きます。

カスタムキーストア名

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを含むカスタムキーストアの名前。このフィールドは、AWS KMS カスタムキーストアで KMS キーが作成された場合にのみ表示されます。

説明

場所: [General configuration] (一般設定) セクション

書き込みおよび編集できる KMS キーの簡単な説明 (オプション)。カスタマーマネージドキーの説明を追加または更新するには、上記の一般設定編集を選択します。

暗号化アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMS で KMS キーとともに使用できる暗号化アルゴリズムを一覧表示します。このフィールドは、[Key type] (キーのタイプ) が [Asymmetric] (非対称) で、[Key usage] (キーの用途) が [Encrypt and decrypt] (暗号化と復号) の場合にのみ表示されます。AWS KMS がサポートする暗号化アルゴリズムについては、「SYMMETRIC_DEFAULT キー仕様」および「暗号化および復号の RSA キー仕様」を参照してください。

有効期限日

場所:[キーマテリアル] タブ

KMS キーのキーマテリアルの有効期限が切れる日時。このフィールドは、インポートされたキーマテリアルを持つ KMS キーに対してのみ表示されます。つまり、[Origin] (オリジン) が [External] (外部) で、KMS キーに有効期限付きキーマテリアルがある場合です。

キーポリシー

場所: [Key policy] (キーポリシー) タブ

IAM ポリシーおよびグラントとともに KMS キーへのアクセスを制御します。KMS キーそれぞれに 1 つのキーポリシーがあります。これは、唯一の必須認証要素です。カスタマーマネージドキーのキーポリシーを変更するには、キーポリシータブで編集を選択します。詳細については、「AWS KMS のキーポリシー」を参照してください。

キーローテーション

場所: [Key rotation] (キーローテーション) タブ

カスタマーマネージド KMS キーのキーマテリアルの自動ローテーションを有効化または無効化します。カスタマーマネージドキーのキーローテーションステータスを変更するには、[Key rotation] (キーローテーション) タブのチェックボックスを使用します。

AWS マネージドキーのキーマテリアルのローテーションを有効または無効にすることはできません。AWS マネージドキーは毎年自動的にローテーションされます。

キー仕様

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルのタイプ。AWS KMS は、対称暗号化 KMS キー (SYMMETRIC_DEFAULT)、異なる長さの HMAC KMS キー、異なる長さの RSA KMS キー、異なる曲線を持つ楕円曲線キーをサポートします。詳細については、「キー仕様」を参照してください。

キーのタイプ

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーが対称非対称かを示します。

キーの用途

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーを [Encrypt and decrypt] (暗号化および復号)、[Sign and verify] (署名および検証)、または [Generate and verify MAC] (MAC の生成と検証) のどれに使用できるかを示します。詳細については、「キーの用途」を参照してください。

[Origin] (元)

場所: [Cryptographic configuration] (暗号化設定) タブ

KMS キーのキーマテリアルのソース。有効な値は、AWS KMS が生成するキーマテリアルの [AWS_KMS]、インポートされたキーマテリアルの [EXTERNAL]、カスタムキーストアの KMS キーの [AWS_CloudHSM] です。

MAC アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMS で HMAC KMS キーと使用できる MAC アルゴリズムのリストです。このフィールドは、[Key spec] (キーの仕様) が HMAC キー仕様 (HMAC_*) である場合にのみ表示されます。AWS KMS がサポートする MAC アルゴリズムについては、「HMAC KMS キーの主な仕様」を参照してください。

プライマリキー

場所: [Regionality] (リージョナリティ) タブ

この KMS キーがマルチリージョンのプライマリキーであることを示します。認可されたユーザーはこのセクションを使用して、別の関連するマルチリージョンキーにプライマリキーを変更できます。このフィールドは、KMS キーがマルチリージョンのプライマリキーである場合にのみ表示されます。

パブリックキー

場所: [Public key] (パブリックキー) タブ

非対称 KMS キーのパブリックキーを表示します。承認されたユーザーは、このタブを使用してパブリックキーをコピーおよびダウンロードできます。

リージョナリティー

場所: 一般設定セクションおよびリージョナリティータブ

KMS キーが単一リージョンキー、マルチリージョンのプライマリキー、またはマルチリージョンのレプリカキーのいずれであるかを示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。

関連するマルチリージョンキー

場所: [Regionality] (リージョナリティ) タブ

関連するすべてのマルチリージョンのプライマリキーとレプリカキー (現在の KMS キーを除く) を表示します。このフィールドは、KMS キーがマルチリージョンキーである場合にのみ表示されます。

プライマリキーの [Related multi-Region keys] (関連するマルチリージョンキー) セクションでは、承認されたユーザーが新しいレプリカキーを作成できます。

レプリカキー

場所: [Regionality] (リージョナリティ) タブ

この KMS キーがマルチリージョンのレプリカキーであることを示します。このフィールドは、KMS キーがマルチリージョンのレプリカキーである場合にのみ表示されます。

署名アルゴリズム

場所: [Cryptographic configuration] (暗号化設定) タブ

AWS KMS で KMS キーとともに使用できる署名アルゴリズムを一覧表示します。このフィールドは、[Key type] (キーのタイプ) が [Asymmetric] (非対称) で、[Key usage] (キーの用途) が [Sign and verify] (署名と検証) の場合にのみ表示されます。AWS KMS がサポートする署名アルゴリズムについては、「署名および検証用の RSA キー仕様」および「楕円曲線のキー仕様」を参照してください。

ステータス

場所: [General configuration] (一般設定) セクション

KMS キーのキーステータス。KMS キーはステータスが有効の場合にのみ、暗号化オペレーションで使用できます。各 KMS キーステータスと KMS キーで実行されるオペレーションへの影響の詳細については、AWS KMS キーのキーステータス を参照してください。

タグ

場所: [Tags] (タグ) タブ

KMS キーを記述するオプションのキーバリューペア。KMS キーのタグを追加または変更するには、[Tags] (タグ) タブで [Edit] (編集) を選択します。

AWS リソースにタグを追加すると、使用量とコストがタグごとに集計されたコスト配分レポートが AWS によって生成されます。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、キーのタグ付け および AWS KMS の ABAC を参照してください。

KMS キーテーブルをカスタマイズする

必要に応じて、AWS マネージドキー、および AWS Management Console の [Customer managed keys] (カスタマーマネージドキー) ページに表示されるテーブルをカスタマイズできます。テーブルの列、各ページ (ページサイズ) の AWS KMS keys の数、テキストの折り返しを選択できます。選択した設定は、確認すると保存され、ページを開くたびに再適用されます。

KMS キーテーブルをカスタマイズするには

  1. AWS マネージドキー または [Customer managed keys] (カスタマーマネージドキー) ページで、ページの右上隅にある設定アイコン ( ) を選択します。

  2. [Preferences] (設定) ページで、必要な設定を選択してから [Confirm] (確認) を選択します。

ページサイズ設定を使用して、特に、スクロールしやすいデバイスを通常使用する場合、各ページに表示される KMS キーの数を増やすことを検討します。

表示されるデータ列は、テーブル、ジョブロール、アカウントとリージョンでの KMS キーのタイプによって異なる場合があります。次の表に、推奨される設定を示します。列の説明については、「KMS キーの詳細を表示する」を参照してください。

推奨される KMS キーテーブルの設定

KMS キーテーブルに表示される列をカスタマイズして、KMS キーに関する必要な情報を表示できます。

AWS マネージドキー

デフォルトでは、AWS マネージドキー テーブルにエイリアスキー IDステータスの各列が表示されます。これらの列は、ほとんどのユースケースに最適です。

対称暗号化 KMS キー

AWS KMS が生成したキーマテリアルを持つ対称暗号化 KMS キーのみを使用する場合は、[Aliases] (エイリアス)、[Key ID] (キー ID)、[Status] (ステータス)、[Creation date] (作成日) の各列が最も役に立つと思われます。

非対称 KMS キー

非対称 KMS キーを使用する場合は、[Aliases] (エイリアス)、[Key ID] (キー ID)、[Status] (ステータス) 列に加えて、[Key type] (キータイプ)、[Key spec] (キー仕様)、[Key usage] (キーの使用法) 列を追加することを検討します。これらの列には、KMS キーが対称か非対称か、キーマテリアルのタイプ、KMS キーを暗号化または署名に使用できるかが表示されます。

HMAC KMS キー

HMAC KMS キーを使用する場合は、[Aliases] (エイリアス)、[Key ID] (キー ID)、[Status] (ステータス) 列に加えて、[Key type] (キーのタイプ)、[Key spec] (キーの仕様)、[Key usage] (キーの使用) 列を追加することを検討します。これらの列は、KMS キーが HMAC キーであるかどうかを示します。KMS キーをキーの仕様やキーの用途でソートすることはできないため、エイリアスとタグを使用して HMAC キーを識別してから、AWS KMS コンソールのフィルタリング機能を使用してエイリアスまたはタグによるフィルタリングを実行します。

インポートされたキーマテリアル

インポートされたキーマテリアルを持つ KMS キーの場合、[Origin] (オリジン) および[Expiration date] (有効期限日) 列を追加することを検討します これらの列には、KMS キーのキーマテリアルが AWS KMS によってインポートまたは生成されたかどうか、およびキーマテリアルの有効期限が切れるタイミングが表示されます。[Creation date] (作成日)フィールドには、KMS キーが (キーマテリアルなしで) 作成された日付が表示されます。キーマテリアルの特性を反映していません。

カスタムキーストアのキー

KMS キーがカスタムキーストアにある場合、カスタムキーストア ID 列を追加することを検討します。この列の値は、KMS キーがカスタムキーストア内にあること、およびどのカスタムキーストアにあるかを示します。

マルチリージョンキー

マルチリージョンキーがある場合、リージョナリティー列を追加することを検討します。これは、KMS キーが単一リージョンキー、マルチリージョンのプライマリキーマルチリージョンのレプリカキーのいずれであるかを示します。