コンソールにサインインする
AWS Key Management Service
開発者ガイド

AWS ドキュメント » AWS KMS » 開発者ガイド » ご利用開始にあたって » キーの表示

キーの表示

AWS マネジメントコンソールまたは AWS Key Management Service (AWS KMS) API を使用すると、カスタマーマスターキー (CMK) を表示できます。これにはカスタマー管理の CMK と AWS が管理する CMK が含まれます。

CMK を表示する (コンソール)

AWS マネジメントコンソール でカスタマー管理キーのリストを表示できます。

CMK の表示に移動するには

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。 AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。

    ヒント

    エイリアスのない AWS 管理の CMK を表示するには、[Customer managed keys (カスタマー管理型のキー)] ページを使用します。

CMK を見つけるには

  • [ AWSmanaged keys (AWS 管理型のキー)] または [Customer managed keys (カスタマー管理型のキー)] ページのフィルタボックスに、CMK のエイリアス名またはキー ID の全体か一部を入力します。現在のページに表示するには多すぎる場合でも、フィルターはすべての AWS 管理の CMK またはすべてのカスタマー管理の CMK を検索します。フィルタリングされたフレーズを含むエイリアス名またはキー ID を持つ CMK のみが表示されます。キー ID フィルタでは大文字と小文字を区別しますが、エイリアス名フィルタでは大文字と小文字を区別しません。

    たとえば、[Customer managed keys (カスタマー管理型のキー)] ページのフィルタに exam と入力すると、次の図に示すように、エイリアスフィールドまたはキー ID フィールドに exam を持つカスタマー管理 CMK だけが表示されます。

    キー ID とエイリアスの値に基づいて CMK をフィルタリングします。

CMK の詳細情報を表示するには

  • [AWS managed keys (AWS 管理型のキー)] または [Customer managed keys (カスタマー管理型のキー)] ページで、CMK のエイリアスまたはキー ID を選択します。

詳細には、CMK の CMK ID、Amazon リソースネーム (ARN)、エイリアス、説明、キーポリシー、タグ、およびキーローテーション設定が含まれます。

[Alias (エイリアス)] セクションには 1 つのエイリアスのみ示されます。CMK に関連付けられたすべてのエイリアスを検索するには、ListAliases オペレーションを使用します。

CMK の表示をカスタマイズするには

AWS アカウントおよびリージョンのタイプごとにすべての CMK が表示されます。デフォルトでこのページには各 CMK のエイリアス、キー ID、ステータス、および作成日が表示されますが、必要な情報が表示されるようにカスタマイズできます。

  1. [AWS managed keys (AWS 管理型のキー)] または [Customer managed keys (カスタマー管理型のキー)] ページで、ページの右上隅にある設定アイコン ( ) を選択します。

  2. [Preferences (設定)] ページで、必要な設定を選択してから [Confirm (確認)] を選択します。

CMK を表示する (KMS API)

AWS Key Management Service(AWS KMS) API を使用して、CMK を表示できます。このセクションでは、既存の CMK に関する詳細を返すいくつかのオペレーションを示します。例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用できます。

ListKeys: すべての CMK の ID と ARN の取得

ListKeys オペレーションは、アカウントとリージョンのすべての CMK の ID と Amazon リソースネーム (ARN) を返します。エイリアスを持つ CMK のエイリアスとキー ID を表示するには、ListAliases オペレーションを使用します。

たとえば、ListKeys オペレーションに対するこの呼び出しでは、この架空のアカウントの各 CMK の ID と ARN が返されます。 

$ aws kms list-keys
        
{
  "Keys": [
    {
      "KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
      "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321"
    },
    {
      "KeyArn": "arn:aws:kms:us-east-2:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
      "KeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    }
}

DescribeKey: CMK に関する詳細の取得

DescribeKey オペレーションは、指定された CMK の詳細を返します。CMK を識別するには、そのキー ID、キー ARN、エイリアス名、またはエイリアス ARN を使用します。

たとえば、この DescribeKey の呼び出しでは、既存の CMK に関する情報が返されます。レスポンスのフィールドはキーの状態とキーのオリジンによって異なります。 

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
    }
}

事前定義済み AWS エイリアス (キー ID がない AWS エイリアス) で DescribeKey オペレーションを使用できます。この操作を行うと、AWS KMS は AWS 管理の CMK にエイリアスを関連付け、レスポンスで KeyId および Arn を返します。

GetKeyPolicy: CMK にアタッチされたキーポリシーの取得

GetKeyPolicy オペレーションは、CMK にアタッチされたキーポリシーを取得します。CMK を識別するには、そのキー ID またはキー ARN を使用します。ポリシー名も指定する必要があり、これは、常に default になります。(出力の読み込みが困難な場合には、コマンドに --output text オプションを追加します)。 

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default

{
  "Version" : "2012-10-17",
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}

ListAliases: エイリアス名で CMK を表示

ListAliases オペレーションは、アカウントとリージョンのエイリアスを返します。レスポンスの TargetKeyId は、エイリアスが参照している CMK のキー ID (存在する場合) を表示します。

デフォルトでは、ListAliases コマンドはアカウントとリージョンのすべてのエイリアスを返します。これには、お客様が作成してカスタマー管理の CMK に関連付けたエイリアスと、AWS が作成してアカウントの AWS 管理の CMK に関連付けたエイリアスが含まれます。AWS のエイリアスは aws/dynamodb のような aws/<service-name> 形式を使用するので認識できます。

また、このレスポンスには、TargetKeyId フィールドがないエイリアスが含まれます。(この例の aws/redshift エイリアスなど)。これらは、AWS が作成したが、まだ CMK と関連付けられていない事前定義されたエイリアスです。 

$ aws kms list-aliases

{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey",
            "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
            "AliasName": "alias/ExampleKey"
        },
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "AliasName": "alias/test-key"
        },
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/financeKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "AliasName": "alias/financeKey"
        },
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb",
            "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "AliasName": "alias/aws/dynamodb"
        },
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/redshift",
            "AliasName": "alias/aws/redshift"
        },
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/s3",
            "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef",
            "AliasName": "alias/aws/s3"
        }
    ]
}

特定の CMK を参照するエイリアスを取得するには、KeyId パラメータを使用します。そのパラメータ値は CMK または CMK ID の Amazon リソースネーム (ARN) とすることができます。エイリアスまたはエイリアス ARN を指定することはできません。

次の例のコマンドは、カスタマー管理の CMK を参照するエイリアスを取得します。ただし、このようなコマンドを使用して、AWS 管理の CMK を参照するエイリアスを検索することもできます。

$ aws kms list-aliases --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

{
    "Aliases": [
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "AliasName": "alias/test-key"
        },
        {
            "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/financeKey",
            "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
            "AliasName": "alias/financeKey"
        },
    ]
}

キー ID と ARN を検索する

プログラム、スクリプト、コマンドラインインターフェイス (CLI) コマンドで AWS KMS CMK を識別するには、CMK の ID、あるいはその Amazon リソースネーム (ARN) を使用します。また、暗号化オペレーションでは CMK のエイリアスを使用できます。

CMK ID と ARN を検索するには (コンソール)

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. 左のナビゲーションペインで、暗号化キーを選択します。

  3. フィルタ で、AWS の該当するリージョンを選択します。

  4. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。 AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。

  5. キー ID を検索するには、CMK のエイリアスで始まる行を参照します。各行には、各 CMK のキー ID とエイリアスがステータスおよび作成日と共に表示されます。

  6. CMK の Amazon リソースネーム (ARN) を検索するには、キー ID またはエイリアスを選択します。これによって、ARN を含む詳細ページが開きます。

CMK ID と ARN を検索するには (KMS API)

ListKeys API オペレーションを使用する

  • CMK ID と ARN を検索するには、ListKeys オペレーションを使用します。