キー管理サービス (KMS) を使用すると、ライフサイクル全体でキーを管理し、安全な方法でキーを保存できます。 このトピックでは、キーの作成、キーの無効化、キーの削除保護の有効化、キーの削除のスケジュール設定、キーへのタグの追加方法について説明します。
キーを作成する
デフォルトキー
デフォルトキーは、サービスキーまたは顧客マスターキー (CMK) です。 サービスキーは、Alibaba Cloudサービスによって作成および管理されます。 CMKタイプのデフォルトキーを作成および管理できます。 KMSでは、CMKタイプのデフォルトキーを作成すると、CMKタイプのデフォルトキーを有効にすることを意味します。 CMKタイプのデフォルトキーを作成するには、次の手順を実行します。
各リージョンでCMKタイプのデフォルトキーを1つだけ作成できます。 複数のキーを作成する必要がある場合は、KMSインスタンスを購入することを推奨します。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、デフォルトキー タブをクリックします。
必要なキーを見つけ、操作 列の 有効化 をクリックし、パラメーターを設定してから、[OK] をクリックします。
パラメーター
説明
キーのエイリアス
キーのエイリアスを設定します。 エイリアスには、英数字、アンダースコア (_) 、ハイフン (-) 、およびスラッシュ (/) を使用できます。
説明
キーの説明を入力します。
Advanced Settings
キーマテリアルソース
Key Management Service: KMSはキーマテリアルを生成します。
External: KMSはキーマテリアルを生成しません。 キーマテリアルをインポートする必要があります。 詳細については、「キーマテリアルの対称キーへのインポート」をご参照ください。
説明[外部] を選択した場合は、[外部キーマテリアルを使用することの意味] を読んで選択する必要があります。
ソフトウェア保護キー
ソフトウェアで保護されたキーを作成する前に、ソフトウェアキー管理タイプのKMSインスタンスを購入して有効にしてください。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストからソフトウェアキー管理タイプのKMSインスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルでパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
キータイプ
作成するキーのタイプ。 有効な値: 対称キーと非対称キー。
重要シークレット値を暗号化するキーを作成する場合は、[対称キー] を選択します。
キー仕様
キーの仕様。 キー仕様とキーアルゴリズムの詳細については、「キー管理タイプとキー仕様」をご参照ください。
対称キー仕様: Aliyun_AES_256
非対称キーの仕様: RSA_2048、RSA_3072、EC_P256、およびEC_P256K
キー使用
キーの使用法。 有効な値:
ENCRYPT/DECRYPT: データを暗号化または復号化します。
SIGN/VERIFY: データに署名するか、デジタル署名を検証します。
キーのエイリアス
キーのエイリアスを設定します。 エイリアスには、英数字、アンダースコア (_) 、ハイフン (-) 、およびスラッシュ (/) を使用できます。
ラベル
キーに追加するタグ。 タグを使用してキーを分類および管理できます。 タグはキーと値のペアで構成されます。
説明タグキーとタグ値の形式は最大128文字で、英数字、スラッシュ (/) 、バックスラッシュ (\) 、アンダースコア (_) 、ハイフン (-) 、ピリオド (.) 、プラス記号 (+) 、等号 (=) 、コロン (:) 、およびアット記号 (@) を使用できます。
タグキーをaliyunまたはacs: で始めることはできません。
キーごとに最大20個のキーと値のペアを設定できます。
自動ローテーション
キーの自動回転を有効にするかどうかを指定します。 自動キーローテーションは対称キーでのみサポートされ、デフォルトで有効になっています。 詳細は、「キーローテーションの設定」をご参照ください。
ローテーション期間
ローテーション期間。 有効な値: 7 ~ 365 単位: 日。
説明
キーの説明を入力します。
詳細設定
キーのポリシー設定。
デフォルトポリシー: 現在のAlibaba Cloudアカウントまたはリソース共有内のAlibaba Cloudアカウントでキーが使用されている場合は、[デフォルトポリシー] を選択します。
KMSインスタンスが他のアカウントと共有されていない場合、現在のAlibaba Cloudアカウントのみがキーを管理および使用できます。
KMSインスタンスが他のアカウントと共有されている場合、サポートされる操作は異なります。 たとえば、KMSインスタンスAという名前のインスタンスは、Alibaba Cloudアカウント1を使用してAlibaba Cloudアカウント2と共有されます。
Alibaba Cloudアカウント1によって作成されたキー: Alibaba Cloudアカウント1のみがキーを管理および使用できます。
Alibaba Cloudアカウント2によって作成されたキー: Alibaba Cloudアカウント1とAlibaba Cloudアカウント2の両方がキーを管理および使用できます。
カスタムポリシー: Resource Access Management (RAM) ユーザー、RAMロール、またはその他のアカウントにキーを使用する権限を付与する場合は、[カスタムポリシー] を選択します。
重要管理者とユーザーはアクセス管理クォータを消費しません。 別のアカウントを選択した場合、KMSインスタンスのアクセス管理のクォータが消費されます。 クォータは、プライマリアカウントの数に基づいて計算されます。 承認をキャンセルする場合は、約5分待ってからクォータを確認してください。 クォータは返金されます。
管理者はキーを管理できます。 暗号化操作はサポートされていません。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。
ユーザは、暗号化操作を実行するためにキーを使用できる。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。
クロスアカウントユーザーは、暗号化と復号化にキーを使用できます。 他のAlibaba Cloudアカウント内のRAMユーザーとRAMロールを選択できます。
RAMユーザー: RAMユーザーの名前は、
acs:ram ::<userId>:user/<ramuser>形式です。 例:acs:ram::119285303511 ****:user/testpolicyuserRAMロール: RAMロールの名前は、
acs:ram ::<userId>:role/<ramrole>形式です。 例:acs:ram::119285303511 ****:role/testpolicyrole説明RAMユーザーまたはRAMロールに権限を付与した後、RAMユーザーまたはRAMロールのAlibaba Cloudアカウントを使用して、RAMユーザーまたはRAMロールにRAMのキーを使用する権限を付与する必要があります。次に、RAMユーザーまたはRAMロールがキーを使用できます。
詳細については、「RAMを使用したKMSリソースへのアクセスの管理」、「RAMユーザーへの権限の付与」、および「RAMロールへの権限の付与」をご参照ください。
ハードウェア保護キー
ハードウェアで保護されたキーを作成する前に、ハードウェアキー管理タイプのKMSインスタンスを購入して有効にしてください。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストからハードウェアキー管理タイプのKMSインスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルでパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
キータイプ
作成するキーのタイプ。 有効な値: 対称キーと非対称キー。
重要シークレット値を暗号化するキーを作成する場合は、[対称キー] を選択します。
キー仕様
キーの仕様。 キー仕様とキーアルゴリズムの詳細については、「キー管理タイプとキー仕様」をご参照ください。
対称キー仕様: Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128
非対称キー仕様: RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K
キー使用
キーの使用法。 有効な値:
ENCRYPT/DECRYPT: データを暗号化または復号化します。
SIGN/VERIFY: データに署名するか、デジタル署名を検証します。
キーのエイリアス
キーのエイリアスを設定します。 エイリアスには、英数字、アンダースコア (_) 、ハイフン (-) 、およびスラッシュ (/) を使用できます。
ラベル
キーに追加するタグ。 タグを使用してキーを分類および管理できます。 タグはキーと値のペアで構成されます。
説明タグキーとタグ値の形式は最大128文字で、英数字、スラッシュ (/) 、バックスラッシュ (\) 、アンダースコア (_) 、ハイフン (-) 、ピリオド (.) 、プラス記号 (+) 、等号 (=) 、コロン (:) 、およびアット記号 (@) を使用できます。
タグキーをaliyunまたはacs: で始めることはできません。
キーごとに最大20個のキーと値のペアを設定できます。
説明
キーの説明を入力します。
Advanced Settings
ポリシー設定
デフォルトポリシー: 現在のAlibaba Cloudアカウントまたはリソース共有内のAlibaba Cloudアカウントでキーが使用されている場合は、[デフォルトポリシー] を選択します。
KMSインスタンスが他のアカウントと共有されていない場合、現在のAlibaba Cloudアカウントのみがキーを管理および使用できます。
KMSインスタンスが他のアカウントと共有されている場合、サポートされる操作は異なります。 たとえば、KMSインスタンスAという名前のインスタンスは、Alibaba Cloudアカウント1を使用してAlibaba Cloudアカウント2と共有されます。
Alibaba Cloudアカウント1によって作成されたキー: Alibaba Cloudアカウント1のみがキーを管理および使用できます。
Alibaba Cloudアカウント2によって作成されたキー: Alibaba Cloudアカウント1とAlibaba Cloudアカウント2の両方がキーを管理および使用できます。
カスタムポリシー: Resource Access Management (RAM) ユーザー、RAMロール、またはその他のアカウントにキーを使用する権限を付与する場合は、[カスタムポリシー] を選択します。
重要管理者とユーザーはアクセス管理クォータを消費しません。 別のアカウントを選択した場合、KMSインスタンスのアクセス管理のクォータが消費されます。 クォータは、プライマリアカウントの数に基づいて計算されます。 承認をキャンセルする場合は、約5分待ってからクォータを確認してください。 クォータは返金されます。
管理者はキーを管理できます。 暗号化操作はサポートされていません。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。
ユーザは、暗号化操作を実行するためにキーを使用できる。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。
クロスアカウントユーザーは、暗号化と復号化にキーを使用できます。 他のAlibaba Cloudアカウント内のRAMユーザーとRAMロールを選択できます。
RAMユーザー: RAMユーザーの名前は、
acs:ram ::<userId>:user/<ramuser>形式です。 例:acs:ram::119285303511 ****:user/testpolicyuserRAMロール: RAMロールの名前は、
acs:ram ::<userId>:role/<ramrole>形式です。 例:acs:ram::119285303511 ****:role/testpolicyrole説明RAMユーザーまたはRAMロールに権限を付与した後、RAMユーザーまたはRAMロールのAlibaba Cloudアカウントを使用して、RAMユーザーまたはRAMロールにRAMのキーを使用する権限を付与する必要があります。次に、RAMユーザーまたはRAMロールがキーを使用できます。
詳細については、「RAMを使用したKMSリソースへのアクセスの管理」、「RAMユーザーへの権限の付与」、および「RAMロールへの権限の付与」をご参照ください。
重要な材料ソース
Key Management Service: KMSはキーマテリアルを生成します。
外部: KMSはキーマテリアルを生成しません。 キーマテリアルをインポートする必要があります。 詳細については、「キーマテリアルを対称キーにインポート」および「キーマテリアルを非対称キーにインポート」をご参照ください。
説明[外部] を選択した場合は、[外部キーマテリアルを使用することの意味] を読んで選択する必要があります。
外部キー
外部キー管理タイプのKMSインスタンスを購入して有効にしてください。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
外部キーインスタンス (XKI) プロキシを使用してキー管理インフラストラクチャ (KMI) にキーが作成され、キーのIDが記録されていることを確認します。 詳細については、KMSのドキュメントを参照してください。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストから外部キー管理タイプのKMSインスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルでパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
External Key ID
XKIプロキシによって生成されたキーのキーID。
説明同じ外部キーIDを使用して、1つ以上のKMSキーを作成できます。
キー仕様
キーの仕様。 キーの仕様とアルゴリズムの詳細については、「キーの種類と仕様」をご参照ください。
Aliyun_AES_256
キー使用
キーの使用法。
ENCRYPT/DECRYPT: データを暗号化または復号化します。
キーのエイリアス
キーのエイリアスを設定します。 エイリアスには、英数字、アンダースコア (_) 、ハイフン (-) 、およびスラッシュ (/) を使用できます。
タグ
キーに追加するタグ。 タグを使用してキーを分類および管理できます。 タグはキーと値のペアで構成されます。
説明タグキーまたはタグ値の長さは最大128文字で、英数字、スラッシュ (/) 、バックスラッシュ (\) 、アンダースコア (_) 、ハイフン (-) 、ピリオド (.) 、プラス記号 (+) 、等号 (=) 、コロン (:) 、アット記号 (@) 、およびスペースを使用できます。
タグキーをaliyunまたはacs: で始めることはできません。
キーごとに最大20個のキーと値のペアを設定できます。
説明
キーの説明を入力します。
Advanced Settings
デフォルトポリシー: 現在のAlibaba Cloudアカウントまたはリソース共有内のAlibaba Cloudアカウントでキーが使用されている場合は、[デフォルトポリシー] を選択します。
KMSインスタンスが他のアカウントと共有されていない場合、現在のAlibaba Cloudアカウントのみがキーを管理および使用できます。
KMSインスタンスが他のアカウントと共有されている場合、サポートされる操作は異なります。 たとえば、KMSインスタンスAという名前のインスタンスは、Alibaba Cloudアカウント1を使用してAlibaba Cloudアカウント2と共有されます。
Alibaba Cloudアカウント1によって作成されたキー: Alibaba Cloudアカウント1のみがキーを管理および使用できます。
Alibaba Cloudアカウント2によって作成されたキー: Alibaba Cloudアカウント1とAlibaba Cloudアカウント2の両方がキーを管理および使用できます。
カスタムポリシー: Resource Access Management (RAM) ユーザー、RAMロール、またはその他のアカウントにキーを使用する権限を付与する場合は、[カスタムポリシー] を選択します。
重要管理者とユーザーはアクセス管理クォータを消費しません。 別のアカウントを選択した場合、KMSインスタンスのアクセス管理のクォータが消費されます。 クォータは、プライマリアカウントの数に基づいて計算されます。 承認をキャンセルする場合は、約5分待ってからクォータを確認してください。 クォータは返金されます。
管理者はキーを管理できます。 暗号化操作はサポートされていません。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。
ユーザは、暗号化操作を実行するためにキーを使用できる。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。
クロスアカウントユーザーは、暗号化と復号化にキーを使用できます。 他のAlibaba Cloudアカウント内のRAMユーザーとRAMロールを選択できます。
RAMユーザー: RAMユーザーの名前は、
acs:ram ::<userId>:user/<ramuser>形式です。 例:acs:ram::119285303511 ****:user/testpolicyuserRAMロール: RAMロールの名前は、
acs:ram ::<userId>:role/<ramrole>形式です。 例:acs:ram::119285303511 ****:role/testpolicyrole説明RAMユーザーまたはRAMロールに権限を付与した後、RAMユーザーまたはRAMロールのAlibaba Cloudアカウントを使用して、RAMユーザーまたはRAMロールにRAMのキーを使用する権限を付与する必要があります。次に、RAMユーザーまたはRAMロールがキーを使用できます。
詳細については、「RAMを使用したKMSリソースへのアクセスの管理」、「RAMユーザーへの権限の付与」、および「RAMロールへの権限の付与」をご参照ください。
キーを無効にする
キーが不要になった場合は、キーを無効にすることを推奨します。 無効になったキーがワークロードに影響しないことを確認したら、キーを削除できます。 無効化されたキーを暗号化操作に使用することはできません。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー または デフォルトキー タブをクリックし、無効にするキーを見つけて、操作 列の Disable をクリックします。
Disable Key ダイアログボックスで、画面情報を確認し、[OK] をクリックします。
Key Association をクリックして、Alibaba Cloudサービスのサーバー側暗号化にキーが使用されているかどうかを確認できます。 詳細については、「キーの関連付けの確認」をご参照ください。
キーを無効にすると、キーのステータスが 有効化 から Disabled に変わります。 キーを再度有効にするには、有効化 をクリックします。
削除保護の有効化
キーの削除保護を有効にすると、キーは削除できません。 削除保護は、キーが誤って削除されるのを防ぎます。 キーを削除する場合は、キーの削除保護を無効にする必要があります。
削除待ち 状態のキーの削除保護を有効にすることはできません。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー または デフォルトキー タブをクリックし、削除保護を有効にするキーを見つけて、操作 列の 詳細 をクリックします。
表示される詳細ページで、Deletion Protection をオンにします。
[確認] メッセージで、Enable をクリックします。
キーの削除をスケジュールする
KMSは即時キー削除をサポートしていません。 キーを削除する場合は、キーの削除をスケジュールする必要があります。 キーの削除予定期間を指定できます。 削除期間が経過すると、キーは自動的に削除されます。 キーの削除をスケジュールする前に、キーの削除保護を無効にする必要があります。
キーが不要になった場合は、キーを無効にすることを推奨します。 無効にされたキーがワークロードに影響しないことを確認した後、キーの削除をスケジュールできます。
システムは、キーの予定された削除期間が経過すると、キーを削除する。 キーが削除された後、キーまたは関連するデータキーを使用して暗号化されたデータを復号化することはできません。 キーを削除する前に、キーが使用されていないことを確認してください。 使用中のキーを削除すると、サービスが利用できなくなることがあります。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー または デフォルトキー タブで、削除するキーを見つけ、操作 列の
アイコンをクリックし、Schedule Deletion をクリックします。 Schedule Deletion ダイアログボックスで、画面の情報を確認し、削除予定期間を指定して、[OK] をクリックします。
Key Association をクリックして、Alibaba Cloudサービスのサーバー側暗号化にキーが使用されているかどうかを確認できます。 詳細については、「キーの関連付けの確認」をご参照ください。
スケジュールされた削除期間を指定すると、キーのステータスが 有効化 から 削除待ち に変わります。 削除待ち 状態のキーを使用して、データの暗号化、データの復号化、またはデータキーの生成を行うことはできません。 [削除のキャンセル] をクリックすると、予定された削除期間が経過する前に削除をキャンセルできます。
非対称キーの公開キーのダウンロード
非対称キーを作成したら、非対称キーの公開キーをダウンロードできます。 非対称キーの秘密キーはダウンロードできません。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー または デフォルトキー タブで、管理するキーを見つけ、操作 列の 詳細 をクリックします。
Key Version タブで、操作 列の View Public Key をクリックします。
View Public Key メッセージで、Download をクリックします。
チェックキーの関連付け
Elastic Compute Service (ECS) のサーバー側暗号化にキーが使用されているかどうかを確認できます。 他のクラウドサービスではサーバー側の暗号化に使用されているか、自己管理型アプリケーションではデータ暗号化に使用されているかを確認できません。
Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー または デフォルトキー タブで、管理するキーを見つけ、操作 列の 詳細 をクリックします。
Key Association タブで、Check をクリックします。 約1分待ってから、アイコンをクリックし
てチェック結果を表示します。 Cloud Service: サーバー側の暗号化にキーが使用されるクラウドサービス。 ECSのみがサポートされています。
Last Called At: クラウドサービスがキーにアクセスした最新の時刻。
説明クラウドサービスが過去365日以内にキーにアクセスした場合、時刻が表示されます。 クラウドサービスが365日前にキーにアクセスした場合、時刻は表示されません。
Check Status: チェックステータス。 チェックが失敗した場合は、更新して再試行してください。
Service Entry: キーを使用して暗号化されたリソースを照会するためのエントリポイント。
重要ECS Disk and Key AssociationページとECS Snapshot and Key Associationページには、現在のアカウントにアクセス権限があるディスクまたはスナップショットのみが表示されます。
キーがまだ使用中の場合は、必要がない限りキーを削除しないでください。
タグをキーに追加
タグを使用してキーを分類および管理できます。 タグはキーと値のペアで構成されます。 KMSインスタンスで作成されたキーにのみタグを追加できます。 デフォルトキーにタグを追加することはできません。
タグキーとタグ値の形式は最大128文字で、英数字、スラッシュ (/) 、バックスラッシュ (\) 、アンダースコア (_) 、ハイフン (-) 、ピリオド (.) 、プラス記号 (+) 、等号 (=) 、コロン (:) 、およびアット記号 (@) を使用できます。
タグキーをaliyunまたはacs: で始めることはできません。
キーごとに最大20個のキーと値のペアを設定できます。
タグをキーに追加
解決策 | API 操作 |
方法1: キーページにタグを追加する |
|
方法2: [キーの詳細] ページにタグを追加する |
|
アイコンをクリックします。 一度に複数のキーにタグを追加
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、インスタンス管理 ドロップダウンリストから必要なインスタンスIDを選択し、キーリストでタグを管理するキーを選択します。
タグの追加: キーリストの下部にある [タグの追加] をクリックします。 [タグの追加] ダイアログボックスで、複数の [タグキー] と [タグ値] を入力し、[OK] をクリックします。 表示されるメッセージで、[閉じる] をクリックします。
タグを削除する: キーリストの下部にある [タグを削除] をクリックします。 [一括削除] ダイアログボックスで、削除するタグを選択し、[削除] をクリックします。 表示されるメッセージで、[閉じる] をクリックします。