キー管理に関するよくある質問 - Key Management Service - Alibaba Cloud ドキュメントセンター

このトピックでは、キー管理に関するよくある質問への回答を提供します。

質問

Key Management Service (KMS) からキーを削除できますか？
キーを削除できない場合はどうすればよいですか？
KMS 3.0 コンソールでカスタマーマスターキー (CMK) を管理できない場合はどうすればよいですか？
キーを削除した後、そのキーで暗号化されたデータを復号化できますか？
KMS はどのようにキーのセキュリティを確保していますか？
キーマテリアルをキーにインポートできますか？
キー関連の API 操作を呼び出したときに、キーの状態が使用不可である理由、またはシステムが「Rejected.Unavailable」を返す理由は何ですか？

Key Management Service (KMS) からキーを削除できますか？

はい、KMS からキーを削除できます。デフォルトまたは購入したカスタマーマスターキー (CMK) のみ削除できます。キーの削除は、削除日時 (7 ～ 366 日) をスケジュールすることで実行されます。キーを削除する前に、無効化し、そのキーを使用して復号化する必要のあるデータがないことを確認することをお勧めします。その後、削除をスケジュールできます。

スケジュールされた削除期間中は、キーを使用できません。キーを再利用する場合は、スケジュールされた削除期間が終了する前に削除をキャンセルできます。スケジュールされた削除期間が経過すると、KMS はキーを削除します。削除したキーは復元できません。手順については、「キーの削除をスケジュールする」をご参照ください。

キーを削除できない場合はどうすればよいですか？

キーの削除は、削除日時をスケジュールすることで実行されます。デフォルトかカスタム作成かにかかわらず、カスタマーマスターキー (CMK) のみがスケジュールされた削除をサポートします。キーを削除できない場合は、以下のシナリオを確認してください。

シナリオ 1: キーがサービスキーである

理由: サービスキー (alias/acs/<cloud product code>) は読み取り専用であり、関連付けられた Alibaba Cloud サービスによって管理されます。
解決策: 何もする必要はありません。サービスキーは無料です。不要になった場合は、そのままにしておいてください。

シナリオ 2: キーが CMK である

理由 1: キーが KMS 1.0 コンソールで作成されており、KMS 3.0 コンソールを使用している
KMS 1.0 (共有エディション) のキーは、3.0 コンソールでは読み取り専用です。これらは、古い作成タイムスタンプによって識別されます。削除を含むアクションは実行できません。
- 解決策: KMS 1.0 コンソールに切り替えます。次に、1.0 コンソールでキーを削除します。
  2025 年 9 月 30 日に、KMS 1.0 コンソールはサービス終了 (EOS) フェーズに移行します。サービスの継続性を確保するために、できるだけ早く KMS 1.0 リソースを KMS 3.0 コンソールに移行してください。
理由 2: キーに対して削除保護が有効になっている
- 解決策: インスタンスの詳細ページで、[削除保護] を無効にします。

KMS 3.0 コンソールで CMK を管理できない場合はどうすればよいですか？

問題の説明

CMK の詳細のみを表示できます。削除を含むアクションは実行できません。

解決策

これらのキーは KMS 1.0 コンソールで作成されています。 KMS 3.0 コンソールは、これらのキーへの読み取り専用アクセスのみを提供します。これらのキーを管理するには、KMS 1.0 コンソールに切り替えます。

2025 年 9 月 30 日に、KMS 1.0 コンソールはサービス終了 (EOS) フェーズに移行します。サービスの継続性を確保するために、できるだけ早く KMS 1.0 リソースを KMS 3.0 コンソールに移行してください。

キーを削除した後、そのキーで暗号化されたデータを復号化できますか？

いいえ。キーが削除されると、生成されたデータキーを含む、そのキーで暗号化されたすべてのデータを復号化できなくなります。これは、KMS によって生成されたキーとインポートされたキーマテリアルを持つキーの両方に適用されます。

インポートされたキーマテリアルを持つキーの場合、キーマテリアルのみを削除する（キー自体は削除しない）場合は、同じマテリアルを再インポートしてキーを再利用します。元のキーで暗号化されたデータは引き続き復号化できます。

KMS はどのようにキーのセキュリティを確保していますか？

KMS は、信頼性の高い暗号化アルゴリズムを使用してソフトウェア保護キーを暗号化し、専用のキーストアに保存します。

KMS は、ハードウェア保護キーを専用のハードウェアセキュリティモジュール (HSM) クラスターに保存します。 HSM クラスターは暗号操作を実装します。この場合、ハードウェアキー管理インスタンスを購入し、HSM クラスターを設定する必要があります。

キーマテリアルをキーにインポートできますか？

はい。キーを作成するときに、KMS によって生成されたキーマテリアルを使用するか、外部キーマテリアルを使用できます。外部キーマテリアルを使用してキーを作成する場合は、キーマテリアルをキーにインポートする必要があります。詳細については、「対称キーマテリアルをインポートする」および「非対称キーマテリアルをインポートする」をご参照ください。

キー関連の API 操作を呼び出したときに、キーが使用不可である場合、または Rejected.Unavailable が返される場合はどうすればよいですか？

キーが属する KMS インスタンスの期限が切れています。

期限切れ後 15 暦日以内にインスタンスを更新してください。更新しない場合、インスタンスは解放されます。詳細については、「更新ポリシー」をご参照ください。今すぐインスタンスは必要ないが、後でインスタンス内のキーまたはシークレットが必要になる可能性がある場合は、インスタンスをバックアップしてください。