AWS Key Management Service
開発者ガイド

キーの表示

AWS マネジメントコンソールまたは AWS Key Management Service (AWS KMS) API を使用すると、カスタマーマスターキー (CMK) を表示できます。これにはカスタマー管理の CMK と AWS が管理する CMK が含まれます。

CMK を表示する (コンソール)

AWS マネジメントコンソール でカスタマー管理キーのリストを表示できます。

CMK の表示に移動するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左のナビゲーションペインで、暗号化キーを選択します。

  3. フィルタ で、AWS の該当するリージョンを選択します。

  4. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。 AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。

    ヒント

    エイリアスのない AWS 管理の CMK を表示するには、[Customer managed keys (カスタマー管理型のキー)] ページを使用します。

CMK を見つけるには

  • [ AWSmanaged keys (AWS 管理型のキー)] または [Customer managed keys (カスタマー管理型のキー)] ページのフィルタボックスに、CMK のエイリアス名またはキー ID の全体か一部を入力します。現在のページに表示するには多すぎる場合でも、フィルターはすべての AWS 管理の CMK またはすべてのカスタマー管理の CMK を検索します。フィルタリングされたフレーズを含むエイリアス名またはキー ID を持つ CMK のみが表示されます。キー ID フィルタでは大文字と小文字を区別しますが、エイリアス名フィルタでは大文字と小文字を区別しません。

    たとえば、[Customer managed keys (カスタマー管理型のキー)] ページのフィルタに exam と入力すると、次の図に示すように、エイリアスフィールドまたはキー ID フィールドに exam を持つカスタマー管理 CMK だけが表示されます。

    
            キー ID とエイリアスの値に基づいて CMK をフィルタリングします。

CMK の詳細情報を表示するには

  • [AWS managed keys (AWS 管理型のキー)] または [Customer managed keys (カスタマー管理型のキー)] ページで、CMK のエイリアスまたはキー ID を選択します。

詳細には、CMK の CMK ID、Amazon リソースネーム (ARN)、エイリアス、説明、キーポリシー、タグ、およびキーローテーション設定が含まれます。

[Alias (エイリアス)] セクションには 1 つのエイリアスのみ示されます。CMK に関連付けられたすべてのエイリアスを検索するには、ListAliases オペレーションを使用します。

CMK の表示をカスタマイズするには

AWS アカウントおよびリージョンのタイプごとにすべての CMK が表示されます。デフォルトでこのページには各 CMK のエイリアス、キー ID、ステータス、および作成日が表示されますが、必要な情報が表示されるようにカスタマイズできます。

  1. [AWS managed keys (AWS 管理型のキー)] または [Customer managed keys (カスタマー管理型のキー)] ページで、ページの右上隅にある設定アイコン ( ) を選択します。

  2. [Preferences (設定)] ページで、必要な設定を選択してから [Confirm (確認)] を選択します。

CMK を表示する (KMS API)

AWS Key Management Service(AWS KMS) API を使用して、CMK を表示できます。このセクションでは、既存の CMK に関する詳細を返すいくつかのオペレーションを示します。例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用できます。

ListKeys: すべての CMK の ID と ARN の取得

ListKeys オペレーションは、アカウントとリージョンのすべての CMK の ID と Amazon リソースネーム (ARN) を返します。エイリアスを持つ CMK のエイリアスとキー ID を表示するには、ListAliases オペレーションを使用します。

たとえば、ListKeys オペレーションに対するこの呼び出しでは、この架空のアカウントの各 CMK の ID と ARN が返されます。

$ aws kms list-keys { "Keys": [ { "KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }, { "KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, { "KeyArn": "arn:aws:kms:us-east-2:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "KeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d" } }

DescribeKey: CMK に関する詳細の取得

DescribeKey オペレーションは、指定された CMK の詳細を返します。CMK を識別するには、そのキー ID、キー ARN、エイリアス名、またはエイリアス ARN を使用します。

たとえば、この DescribeKey の呼び出しでは、既存の CMK に関する情報が返されます。レスポンスのフィールドはキーの状態とキーのオリジンによって異なります。

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1499988169.234, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" } }

事前定義済み AWS エイリアス (キー ID がない AWS エイリアス) で DescribeKey オペレーションを使用できます。この操作を行うと、AWS KMS は AWS 管理の CMK にエイリアスを関連付け、レスポンスで KeyId および Arn を返します。

GetKeyPolicy: CMK にアタッチされたキーポリシーの取得

GetKeyPolicy オペレーションは、CMK にアタッチされたキーポリシーを取得します。CMK を識別するには、そのキー ID またはキー ARN を使用します。ポリシー名も指定する必要があり、これは、常に default になります。(出力の読み込みが困難な場合には、コマンドに --output text オプションを追加します)。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default { "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }

ListAliases: エイリアス名で CMK を表示

ListAliases オペレーションは、アカウントとリージョンのエイリアスを返します。レスポンスの TargetKeyId は、エイリアスが参照している CMK のキー ID (存在する場合) を表示します。

デフォルトでは、ListAliases コマンドはアカウントとリージョンのすべてのエイリアスを返します。これには、お客様が作成してカスタマー管理の CMK に関連付けたエイリアスと、AWS が作成してアカウントの AWS 管理の CMK に関連付けたエイリアスが含まれます。AWS のエイリアスは aws/dynamodb のような aws/<service-name> 形式を使用するので認識できます。

また、このレスポンスには、TargetKeyId フィールドがないエイリアスが含まれます。(この例の aws/redshift エイリアスなど)。これらは、AWS が作成したが、まだ CMK と関連付けられていない事前定義されたエイリアスです。

$ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "AliasName": "alias/ExampleKey" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "AliasName": "alias/test-key" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/financeKey", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "AliasName": "alias/financeKey" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "AliasName": "alias/aws/dynamodb" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/redshift", "AliasName": "alias/aws/redshift" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/s3", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "AliasName": "alias/aws/s3" } ] }

特定の CMK を参照するエイリアスを取得するには、KeyId パラメータを使用します。そのパラメータ値は CMK または CMK ID の Amazon リソースネーム (ARN) とすることができます。エイリアスまたはエイリアス ARN を指定することはできません。

次の例のコマンドは、カスタマー管理の CMK を参照するエイリアスを取得します。ただし、このようなコマンドを使用して、AWS 管理の CMK を参照するエイリアスを検索することもできます。

$ aws kms list-aliases --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "AliasName": "alias/test-key" }, { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/financeKey", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "AliasName": "alias/financeKey" }, ] }

キー ID と ARN を検索する

プログラム、スクリプト、コマンドラインインターフェイス (CLI) コマンドで AWS KMS CMK を識別するには、CMK の ID、あるいはその Amazon リソースネーム (ARN) を使用します。また、暗号化オペレーションでは CMK のエイリアスを使用できます。

CMK ID と ARN を検索するには (コンソール)

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. 左のナビゲーションペインで、暗号化キーを選択します。

  3. フィルタ で、AWS の該当するリージョンを選択します。

  4. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys (カスタマー管理型のキー)] を選択します。 AWS により自動的に作成および管理されているアカウント内のキーを表示するには、ナビゲーションペインで [AWS managed keys (AWS で管理されたキー)] を選択します。

  5. キー ID を検索するには、CMK のエイリアスで始まる行を参照します。各行には、各 CMK のキー ID とエイリアスがステータスおよび作成日と共に表示されます。

  6. CMK の Amazon リソースネーム (ARN) を検索するには、キー ID またはエイリアスを選択します。これによって、ARN を含む詳細ページが開きます。

CMK ID と ARN を検索するには (KMS API)

ListKeys API オペレーションを使用する

  • CMK ID と ARN を検索するには、ListKeys オペレーションを使用します。