すべてのプロダクト
Search

このプロダクト

    :CreateKey

    ドキュメントセンター

    :CreateKey

    最終更新日:Aug 21, 2025

    マスターキーを作成します。

    操作説明

    • RAM ユーザーまたは RAM ロールがこの OpenAPI 操作を呼び出すために必要なアクセス ポリシーについては、「リソースアクセス管理」をご参照ください。

    • Alibaba Cloud Key Management Service (KMS) は、対称キーと非対称キーの一般的な仕様をサポートしています。 詳細については、「キー管理タイプとキー仕様」をご参照ください。

    今すぐお試しください

    この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

    テスト

    RAM 認証

    この操作の認証情報はありません。問題が発生した場合は、アカウントマネージャーにご連絡ください。

    リクエストパラメーター

    パラメーター

    必須 / 任意

    説明

    Description

    string

    任意

    キーの説明。
    説明は 0 ~ 8,192 文字です。

    key description example
    KeyUsage

    string

    任意

    キーの用途。有効な値:

    • ENCRYPT/DECRYPT: データを暗号化および復号化します。

    • SIGN/VERIFY: デジタル署名を生成および検証します。

    デフォルト値: キーが署名検証をサポートしている場合、デフォルト値は SIGN/VERIFY です。 それ以外の場合は、デフォルト値は ENCRYPT/DECRYPT です。

    ENCRYPT/DECRYPT
    Origin

    string

    任意

    キーマテリアルのソース。有効な値:

    • Aliyun_KMS (デフォルト): キーマテリアルは Alibaba Cloud KMS によって生成されます。

    • EXTERNAL: キーマテリアルはインポートされます。

    説明

    • 大文字と小文字が区別されます。

    Aliyun_KMS
    ProtectionLevel

    string

    任意

    このパラメーターを指定する必要はありません。 KMS は、キーに適切な保護レベルを自動的に設定します。

    キーの保護レベル。有効な値:

    • SOFTWARE

    • HSM

    説明

    • DKMSInstanceId を指定した場合、このパラメーターは無視されます。 インスタンスがソフトウェアキー管理インスタンスの場合、保護レベルは SOFTWARE です。 インスタンスがハードウェアキー管理インスタンスの場合、保護レベルは HSM です。

    • DKMSInstanceId を指定しない場合は、このパラメーターを空のままにします。 KMS は保護レベルを設定します。 マネージド HSM がリージョンで使用可能な場合、KMS はこのパラメーターを HSM に設定します。 それ以外の場合は、KMS はこのパラメーターを SOFTWARE に設定します。 詳細については、「マネージド HSM の概要」をご参照ください。

    SOFTWARE
    EnableAutomaticRotation

    boolean

    任意

    キーの自動ローテーションを有効にするかどうかを指定します。有効な値:

    • true: キーの自動ローテーションを有効にします。

    • false (デフォルト): キーの自動ローテーションを無効にします。

    このパラメーターは、キーのキー管理タイプが自動ローテーションをサポートしている場合にのみ有効です。 詳細については、「キーローテーション」をご参照ください。

    true
    RotationInterval

    string

    任意

    自動ローテーション期間。 フォーマットは `integer[unit]` です。 `integer` は期間の長さを示します。 `unit` は時間の単位を示します。 有効な単位: d (日)、h (時間)、m (分)、s (秒)。 たとえば、7d と 604800s はどちらも 7 日間の期間を表します。

    • キーがデフォルトキーの場合、値は 365d です。

    • キーがソフトウェアで保護されたキーの場合、値は 7d ~ 365d です。

    • キーがハードウェアで保護されたキーの場合、自動ローテーションはサポートされていません。

    説明

    EnableAutomaticRotation を true に設定した場合、このパラメーターは必須です。

    365d
    KeySpec

    string

    任意

    キーの仕様。 有効な値は、キー管理タイプによって異なります。 キー仕様、サポートされている標準、およびアルゴリズムの詳細については、「キー管理タイプとキー仕様」をご参照ください。

    説明

    このパラメーターを指定しない場合、キー仕様はデフォルトで Aliyun_AES_256 になります。

    Aliyun_AES_256
    DKMSInstanceId

    string

    任意

    KMS インスタンスの ID。

    説明

    KMS インスタンスのキーを作成する場合、このパラメーターは必須です。 デフォルトキー (マスターキー) を作成する場合、このパラメーターは必須ではありません。

    kst-bjj62d8f5e0sgtx8h****
    Tags

    string

    任意

    キーにバインドするタグ。 各タグは、タグキーとタグ値を含むキーと値のペア (Key:Value) で構成されます。

    最大 20 個のタグを指定します。 複数のタグを指定するには、次のフォーマットを使用します: [{"TagKey":"key1","TagValue":"value1"},{"TagKey":"key2","TagValue":"value2"},...]

    各タグキーとタグ値は最大 128 文字で、大文字、小文字、数字、スラッシュ (/)、バックスラッシュ (\)、アンダースコア (_)、ハイフン (-)、ピリオド (.)、プラス記号 (+)、等号 (=)、コロン (:)、アットマーク (@) を含めることができます。

    説明

    タグキーは aliyun または acs: で始めることはできません。

    [{"TagKey":"disk-encryption","TagValue":"true"}]
    Policy

    string

    任意

    キーポリシーの内容。 値は JSON 形式です。 ポリシーは最大 32,768 バイトです。 キーポリシーの詳細については、「キーポリシーの概要」をご参照ください。 このパラメーターを指定しない場合、デフォルトの認証情報ポリシーが使用されます。

    キーポリシーには次の内容が含まれています。

    • Version: キーポリシーのバージョン。 バージョン 1 のみがサポートされています。

    • Statement: キーポリシーのステートメント。 各キーポリシーには 1 つ以上のステートメントが含まれています。

    キーポリシーのフォーマットは次のとおりです。

    {
  "Version": "1",
  "Statement": [
    {
      "Sid": "Enable RAM User Permissions", // RAM ユーザー権限の有効化
      "Effect": "Allow",  // 許可
      "Principal": {
        "RAM": ["acs:ram::112890462****:root"]
      },
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "condition operator": { // 条件演算子
          "condition key": "condition value" // 条件キー:条件値
        }
      }
    }
  ]
}

    ステートメントの詳細:

    • Sid: (オプション) カスタムステートメント ID。 ID は最大 128 文字で、大文字 (A ~ Z)、小文字 (a ~ z)、数字 (0 ~ 9)、および特殊文字 (アンダースコア (_)、スラッシュ (/)、プラス記号 (+)、等号 (=)、ピリオド (.)、アットマーク (@)、ハイフン (-) など) を含めることができます。

    • Effect: (必須) ポリシーステートメントの効果。有効な値: Allow および Deny。

    • Principal: (必須) 権限が付与されるプリンシパル。 このパラメーターを現在の Alibaba Cloud アカウント (キーが属する Alibaba Cloud アカウント)、現在の Alibaba Cloud アカウントの RAM ユーザーまたは RAM ロール、または別の Alibaba Cloud アカウントの RAM ユーザーまたは RAM ロールに設定します。

    • Action: (必須) 許可または拒否される API 操作。 値は "kms:" で始まる必要があります。 サポートされている操作のリストについては、「キーポリシーの概要」をご参照ください。 リストにない操作を指定した場合、設定は有効になりません。

    • Resource: (必須) 値は * のみ可能です。これは現在の KMS キーを示します。

    • Condition: (オプション) 権限付与が有効になる条件。 条件を使用して API リクエストのコンテキストを評価し、ポリシーステートメントを適用するかどうかを決定します。 フォーマットは "Condition": {"condition operator": {"condition key": "condition value"}} です。 詳細については、「キーポリシーの概要」をご参照ください。

    説明

    別の Alibaba Cloud アカウントの RAM ユーザーまたは RAM ロールに権限を付与した後、そのアカウントを使用して、RAM コンソールでキーを使用するための権限を RAM ユーザーまたは RAM ロールに付与します。 RAM ユーザーまたは RAM ロールは、これが完了した後でのみキーを使用できます。 詳細については、「Key Management Service のカスタムポリシー」、「RAM ユーザーに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。

    {"Statement":[{"Action":["kms:*"],"Effect":"Allow","Principal":{"RAM":["acs:ram::119285303511****:*"]},"Resource":["*"],"Sid":"kms default key policy"},{"Action":["kms:List*","kms:Describe*","kms:Create*","kms:Enable*","kms:Disable*","kms:Get*","kms:Set*","kms:Update*","kms:Delete*","kms:Cancel*","kms:TagResource","kms:UntagResource","kms:ImportKeyMaterial","kms:ScheduleKeyDeletion"],"Effect":"Allow","Principal":{"RAM":["acs:ram::119285303511****:user/for_test_policy"]},"Resource":["*"]}],"Version":"1"}
    KeyStorageMechanism

    string

    任意

    キーの保管場所。 このパラメーターは、ハードウェアキー管理インスタンスに DKMSInstanceId が指定されている場合にのみ有効です。有効な値:

    • HsmInternal (デフォルト): キーは HSM に保存され、ローテーションはサポートされていません。

    • HsmEncryptedDatabase: キーはデータベースに保存されます。

      • 対称キー: ローテーションがサポートされています。

      • 非対称キー: ローテーションはサポートされていません。

    HsmInternal

    共通のリクエストパラメーターについては、「共通パラメーター」をご参照ください。

    レスポンスフィールド

    パラメーター

    説明

    object

    RequestId

    string

    リクエストの ID。 この ID は、Alibaba Cloud がリクエストに対して生成するグローバルに一意の ID (GUID) です。 この ID を使用して問題のトラブルシューティングを行います。

    381D5D33-BB8F-395F-8EE4-AE3BB4B523C4
    KeyMetadata

    object

    キーのメタデータ。

    KeyId

    string

    キーのグローバルに一意の ID (GUID)。

    key-hzz62f1cb66fa42qo****
    NextRotationDate

    string

    次のローテーションがスケジュールされている時間。

    このパラメーターは、AutomaticRotation の値が Enabled または Suspended の場合にのみ返されます。

    2024-03-25T10:00:00Z
    KeyState

    string

    キーのステータス。
    詳細については、「API 呼び出しに対する CMK ステータスの影響」をご参照ください。

    Enabled
    RotationInterval

    string

    キーの自動ローテーション期間。 値は秒単位です。 値は整数で、文字 s が続きます。 たとえば、7 日間のローテーション期間は 604800s です。

    このパラメーターは、AutomaticRotation の値が Enabled または Suspended の場合にのみ返されます。

    31536000s
    Arn

    string

    キーの Alibaba Cloud リソースネーム (ARN)。

    acs:kms:cn-qingdao:154035569884****:key/key-hzz62f1cb66fa42qo****
    Creator

    string

    キーの作成者。

    154035569884****
    LastRotationDate

    string

    最後のローテーションが実行された時間。 時刻は UTC です。
    キーが新しい場合、この値は初期キーバージョンの生成時間です。

    2023-03-25T10:00:00Z
    DeleteDate

    string

    キーを削除する予定時刻。 詳細については、「ScheduleKeyDeletion」をご参照ください。

    このパラメーターは、KeyState の値が PendingDeletion の場合にのみ返されます。

    2025-03-25T10:00:00Z
    PrimaryKeyVersion

    string

    キーの現在のプライマリバージョンの ID。

    7ce1d081-06cb-42e6-aab6-5c5de030****
    Description

    string

    キーの説明。

    key description example
    KeySpec

    string

    キーの仕様。

    Aliyun_AES_256
    Origin

    string

    キーマテリアルのソース。

    Aliyun_KMS
    MaterialExpireTime

    string

    キーマテリアルの有効期限。 時刻は UTC です。
    この値が空の場合、キーマテリアルの有効期限は切れません。

    2025-03-25T10:00:00Z
    AutomaticRotation

    string

    キーの自動ローテーションが有効になっているかどうかを示します。有効な値:

    • Enabled: 自動ローテーションが有効です。

    • Disabled: 自動ローテーションは無効です。

    • Suspended: 自動ローテーションは一時停止されています。

    Enabled
    ProtectionLevel

    string

    キーの保護レベル。

    SOFTWARE
    KeyUsage

    string

    キーの用途。

    ENCRYPT/DECRYPT
    CreationDate

    string

    キーが作成された日付と時刻。 時刻は UTC です。

    2023-03-25T10:00:00Z
    DKMSInstanceId

    string

    KMS インスタンスの ID。

    kst-bjj62d8f5e0sgtx8h****

    成功レスポンス

    JSONJSON

    {
  "RequestId": "381D5D33-BB8F-395F-8EE4-AE3BB4B523C4",
  "KeyMetadata": {
    "KeyId": "key-hzz62f1cb66fa42qo****",
    "NextRotationDate": "2024-03-25T10:00:00Z",
    "KeyState": "Enabled",
    "RotationInterval": "31536000s",
    "Arn": "acs:kms:cn-qingdao:154035569884****:key/key-hzz62f1cb66fa42qo****",
    "Creator": "154035569884****",
    "LastRotationDate": "2023-03-25T10:00:00Z",
    "DeleteDate": "2025-03-25T10:00:00Z",
    "PrimaryKeyVersion": "7ce1d081-06cb-42e6-aab6-5c5de030****",
    "Description": "key description example",
    "KeySpec": "Aliyun_AES_256",
    "Origin": "Aliyun_KMS",
    "MaterialExpireTime": "2025-03-25T10:00:00Z",
    "AutomaticRotation": "Enabled",
    "ProtectionLevel": "SOFTWARE",
    "KeyUsage": "ENCRYPT/DECRYPT",
    "CreationDate": "2023-03-25T10:00:00Z",
    "DKMSInstanceId": "kst-bjj62d8f5e0sgtx8h****"
  }
}

    エラーコード

    HTTP ステータスコード

    エラーコード

    エラーメッセージ

    説明
    400 Rejected.LimitExceeded The request was rejected because user create resource limit was exceeded
    400 InvalidParameter The specified parameter is not valid.
    400 UnsupportedOperation This action is not supported.
    400 Forbidden.NoPermission This operation is forbidden by permission system.
    400 Rejected.ShareQuotaExceedLimit Instance Share Quota Exceed Limit.
    500 InternalFailure Internal Failure
    403 Forbidden.DKMSInstanceNotFound The specified DKMS Instance is not found.
    503 SerivceUnvailableTemporary Service Unvailable Temporary

    完全なリストについては、「エラーコード」をご参照ください。

    変更履歴

    完全なリストについては、「変更履歴」をご参照ください。