Key Management Service (KMS) は、安全なキーストレージとライフサイクル管理を提供します。このトピックでは、キーの作成、キーの無効化、キーの削除保護の有効化、キーの削除など、重要なキー操作の手順について説明します。
KMS で管理可能なキー
KMS で完全に管理できるのは、デフォルトかカスタム作成かにかかわらず、カスタマーマスターキー (CMK) のみです。
KMS 1.0 (共有エディション) コンソールで作成されたキー (古いタイムスタンプで識別される) とサービスキー (alias/acs/<cloud product code>) は、KMS 3.0 コンソールでは読み取り専用です。KMS キータイプの詳細については、「キータイプ」をご参照ください。
KMS 1.0 キー:
2025年9月30日より前に、API または KMS 1.0 コンソール を使用して管理します。 2025年9月30日に、KMS 1.0 コンソールは サービス終了 (EOS) フェーズに移行します。サービスの継続性を確保するために、できるだけ早く KMS 1.0 リソースを KMS 3.0 コンソールに移行してください。
サービスキー: Alibaba Cloud サービスのデフォルトの KMS キー暗号化を選択すると、サービスキーが自動的に作成されます。そのライフサイクルは関連付けられたサービスによって管理され、KMS で変更または削除することはできません。
キーを作成する
コンソール
デフォルト CMK
デフォルトでは、KMS は Alibaba Cloud アカウントごとにリージョンごとに無料の CMK (デフォルト CMK とも呼ばれます) を提供します。このデフォルト CMK を使用するには、有効にするだけです。
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、デフォルトキー タブをクリックします。
必要なキーを見つけ、有効化 列の 操作 をクリックし、パラメータを設定して、[OK] をクリックします。
パラメータ
必須
説明
キーのエイリアス
はい
キーのエイリアス。文字、数字、アンダースコア (_)、ハイフン (-)、およびスラッシュ (/) がサポートされています。
Description
いいえ
キーの説明。
Advanced Settings
いいえ
キーマテリアルのソース。
Key Management Service: KMS はキーマテリアルを生成します (デフォルト)。
外部 (キーマテリアルのインポート): KMS はキーマテリアルを生成しません。 キーマテリアルをインポート する必要があります。
[外部] を選択した場合は、[外部キーマテリアルを使用することの影響を理解しています] を読んで選択する必要があります。
ソフトウェア保護キー
ソフトウェア保護キーを作成する前に、ソフトウェアキー管理インスタンスを購入して有効化している ことを確認してください。
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストからソフトウェアキー管理インスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルで、パラメーターを構成し、[OK] をクリックします。
パラメータ
説明
キータイプ
キーのタイプ。有効な値:対称キーと非対称キー。
シークレット値を暗号化するキーを作成する場合は、[対称キー] を選択します。
キー仕様
キーの仕様。
対称キーの仕様: Aliyun_AES_256
非対称キーの仕様: RSA_2048、RSA_3072、EC_P256、および EC_P256K
データ暗号化モードとアルゴリズムの詳細については、「キー仕様」をご参照ください。
キー使用
キーの使用方法。有効な値:
[暗号化/復号]: データを暗号化または復号します。
[署名/検証]: データに署名するか、デジタル署名を検証します。
キーのエイリアス
キーのエイリアス。文字、数字、アンダースコア (_)、ハイフン (-)、およびスラッシュ (/) を含めることができます。
[タグキー] と [タグ値]
キーを分類および管理するためのタグ。タグはキーと値のペアで構成されます。タグキーとタグ値は最大 128 文字 (文字、数字、/、\、_、-、.、+、=、:、@) にすることができますが、
aliyunまたはacs:で始めることはできません。各キーは最大 20 個のタグをサポートします。自動ローテーション
キーの自動ローテーションを有効にするかどうかを指定します。キーの自動ローテーションは対称キーに対してのみサポートされており、デフォルトで有効になっています。手順については、「キーのローテーションを設定する」をご参照ください。
ローテーション期間
ローテーション期間。有効な値:7 ~ 365。単位:日。
Description
キーの説明。
[詳細設定]
キーのポリシーとキーマテリアルソースの設定。
ポリシー
ニーズに応じて適切なポリシーを選択してください。
[デフォルトポリシー]: キーが現在の Alibaba Cloud アカウントまたはリソースが共有されている Alibaba Cloud アカウントによって使用される場合。
[カスタムポリシー]: Resource Access Management (RAM) ユーザー、RAM ロール、または他のアカウントにキーを使用する権限を付与する場合。
デフォルトポリシー
共有されていないインスタンス:現在の Alibaba Cloud アカウントのみがキーを管理および使用できます。
共有インスタンス:アクセス制御は、どのアカウントがキーを作成したかによって異なります。作成アカウントは常に完全な制御を保持します。共有アカウントのアクセスは制限されている場合があります。たとえば、Alibaba Cloud アカウント 1 がインスタンス A を Alibaba Cloud アカウント 2 と共有する場合:
アカウント 1 によって作成されたキー:アカウント 1 のみキーを管理および使用できます。
アカウント 2 によって作成されたキー:両方のアカウントがキーを管理および使用できます。
カスタムポリシー
クォータ消費
[アクセス管理クォータ] は、現在の Alibaba Cloud アカウント内の管理者またはユーザーによって消費されることはありません。ただし、他の Alibaba Cloud アカウントを承認すると、Alibaba Cloud アカウントごとに計算されるクォータが消費されます。承認を取り消すと、約 5 分後にクォータが返金されます。
権限
管理者:キーを管理できますが、暗号操作を実行することはできません。現在の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
ユーザー (現在のアカウント内):暗号操作を実行できます。現在の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
クロスアカウントユーザー:暗号化および復号操作を実行できます。他の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
RAM ユーザー:名前は
acs:ram::<userId>:user/<ramuser>形式です。例:acs:ram::119285303511****:user/testpolicyuser。RAM ロール:名前は
acs:ram::<userId>:role/<ramrole>形式です。例:acs:ram::119285303511****:role/testpolicyrole。説明権限を付与した後、RAM で Alibaba Cloud アカウントを通じて RAM ユーザーまたはロールを承認して、キーアクセスを有効にします。手順については、「RAM を使用して KMS リソースへのアクセスを管理する」、「RAM ユーザーに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。
キーマテリアルソース
Key Management Service: KMS はキーマテリアルを生成します (デフォルト)。
外部 (キーマテリアルのインポート): KMS はキーマテリアルを生成しません。 キーマテリアルをインポート する必要があります。
[外部] を選択した場合は、[外部キーマテリアルを使用することの影響を理解しています] を読んで選択する必要があります。
ハードウェア保護キー
ハードウェア保護キーを作成する前に、ハードウェアキー管理インスタンスを購入して有効化している ことを確認してください。
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストからハードウェアキー管理インスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルで、パラメーターを構成し、[OK] をクリックします。
パラメータ
説明
キータイプ
作成するキーのタイプ。有効な値:対称キーと非対称キー。
重要シークレット値を暗号化するキーを作成する場合は、[対称キー] を選択します。
キー仕様
キーの仕様。キー仕様とキーアルゴリズムの詳細については、「キー管理タイプとキー仕様」をご参照ください。
対称キーの仕様: Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128、
非対称キーの仕様: RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K、
キー使用
キーの使用方法。有効な値:
[暗号化/復号]: データを暗号化または復号します。
[署名/検証]: データに署名するか、デジタル署名を検証します。
キーのエイリアス
キーのエイリアス。エイリアスには、文字、数字、アンダースコア (_)、ハイフン (-)、およびスラッシュ (/) を含めることができます。
[タグキー] と [タグ値]
キーを分類および管理するためのタグ。タグはキーと値のペアで構成されます。タグキーとタグ値は最大 128 文字 (文字、数字、/、\、_、-、.、+、=、:、@) にすることができますが、
aliyunまたはacs:で始めることはできません。各キーは最大 20 個のタグをサポートします。Description
キーの説明。
Advanced Settings
キーのポリシーとキーマテリアルソースの設定。
ポリシー
ニーズに応じて適切なポリシーを選択してください。
[デフォルトポリシー]: キーが現在の Alibaba Cloud アカウントまたはリソースが共有されている Alibaba Cloud アカウントによって使用される場合。
[カスタムポリシー]: Resource Access Management (RAM) ユーザー、RAM ロール、または他のアカウントにキーを使用する権限を付与する場合。
デフォルトポリシー
共有されていないインスタンス:現在の Alibaba Cloud アカウントのみがキーを管理および使用できます。
共有インスタンス:アクセス制御は、どのアカウントがキーを作成したかによって異なります。作成アカウントは常に完全な制御を保持します。共有アカウントのアクセスは制限されている場合があります。たとえば、Alibaba Cloud アカウント 1 がインスタンス A を Alibaba Cloud アカウント 2 と共有する場合:
アカウント 1 によって作成されたキー:アカウント 1 のみキーを管理および使用できます。
アカウント 2 によって作成されたキー:両方のアカウントがキーを管理および使用できます。
カスタムポリシー
クォータ消費
[アクセス管理クォータ] は、現在の Alibaba Cloud アカウント内の管理者またはユーザーによって消費されることはありません。ただし、他の Alibaba Cloud アカウントを承認すると、Alibaba Cloud アカウントごとに計算されるクォータが消費されます。承認を取り消すと、約 5 分後にクォータが返金されます。
権限
管理者:キーを管理できますが、暗号操作を実行することはできません。現在の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
ユーザー (現在のアカウント内):暗号操作を実行できます。現在の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
クロスアカウントユーザー:暗号化および復号操作を実行できます。他の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
RAM ユーザー:名前は
acs:ram::<userId>:user/<ramuser>形式です。例:acs:ram::119285303511****:user/testpolicyuser。RAM ロール:名前は
acs:ram::<userId>:role/<ramrole>形式です。例:acs:ram::119285303511****:role/testpolicyrole。説明権限を付与した後、RAM で Alibaba Cloud アカウントを通じて RAM ユーザーまたはロールを承認して、キーアクセスを有効にします。手順については、「RAM を使用して KMS リソースへのアクセスを管理する」、「RAM ユーザーに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。
キーマテリアルソース
Key Management Service: KMS はキーマテリアルを生成します。
外部: KMS はキーマテリアルを生成しません。キーマテリアルをインポートする必要があります。詳細については、「対称キーにキーマテリアルをインポートする」および「非対称キーにキーマテリアルをインポートする」をご参照ください。
説明[外部] を選択した場合は、[外部キーマテリアルを使用することの影響を理解しています] を読んで選択する必要があります。
外部キー
外部キー管理インスタンスを購入して有効化している ことを確認してください。
外部キーインスタンス (XKI) プロキシとキーの ID を使用して、キー管理インフラストラクチャ (KMI) にキーが作成され、記録されていることを確認します。詳細については、KMS ドキュメントを参照してください。
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストから外部キー管理インスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルで、パラメーターを構成し、[OK] をクリックします。
パラメータ
説明
External Key ID
XKI プロキシによって生成されたキーのキー ID。
同じ外部キー ID を使用して、1 つ以上の KMS キーを作成できます。
キー仕様
キーの仕様。キー仕様とキーアルゴリズムの詳細については、「キータイプと仕様」をご参照ください。
Aliyun_AES_256
キー使用
キーの使用方法。
[暗号化/復号]: データを暗号化または復号します。
キーのエイリアス
キーのエイリアス。エイリアスには、文字、数字、アンダースコア (_)、ハイフン (-)、およびスラッシュ (/) を含めることができます。
[タグキー] と [タグ値]
キーを分類および管理するためのタグ。タグはキーと値のペアで構成されます。タグキーとタグ値は最大 128 文字 (文字、数字、/、\、_、-、.、+、=、:、@) にすることができますが、
aliyunまたはacs:で始めることはできません。各キーは最大 20 個のタグをサポートします。Description
キーの説明。
Advanced Settings
キーのポリシー設定。ニーズに応じて適切なポリシーを選択してください。
[デフォルトポリシー]: キーが現在の Alibaba Cloud アカウントまたはリソースが共有されている Alibaba Cloud アカウントによって使用される場合。
[カスタムポリシー]: Resource Access Management (RAM) ユーザー、RAM ロール、または他のアカウントにキーを使用する権限を付与する場合。
デフォルトポリシー
共有されていないインスタンス:現在の Alibaba Cloud アカウントのみがキーを管理および使用できます。
共有インスタンス:アクセス制御は、どのアカウントがキーを作成したかによって異なります。作成アカウントは常に完全な制御を保持します。共有アカウントのアクセスは制限されている場合があります。たとえば、Alibaba Cloud アカウント 1 がインスタンス A を Alibaba Cloud アカウント 2 と共有する場合:
アカウント 1 によって作成されたキー:アカウント 1 のみキーを管理および使用できます。
アカウント 2 によって作成されたキー:両方のアカウントがキーを管理および使用できます。
カスタムポリシー
クォータ消費
[アクセス管理クォータ] は、現在の Alibaba Cloud アカウント内の管理者またはユーザーによって消費されることはありません。ただし、他の Alibaba Cloud アカウントを承認すると、Alibaba Cloud アカウントごとに計算されるクォータが消費されます。承認を取り消すと、約 5 分後にクォータが返金されます。
権限
管理者:キーを管理できますが、暗号操作を実行することはできません。現在の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
ユーザー (現在のアカウント内):暗号操作を実行できます。現在の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
クロスアカウントユーザー:暗号化および復号操作を実行できます。他の Alibaba Cloud アカウント内の RAM ユーザーと RAM ロールを選択できます。
RAM ユーザー:名前は
acs:ram::<userId>:user/<ramuser>形式です。例:acs:ram::119285303511****:user/testpolicyuser。RAM ロール:名前は
acs:ram::<userId>:role/<ramrole>形式です。例:acs:ram::119285303511****:role/testpolicyrole。説明権限を付与した後、RAM で Alibaba Cloud アカウントを通じて RAM ユーザーまたはロールを承認して、キーアクセスを有効にします。手順については、「RAM を使用して KMS リソースへのアクセスを管理する」、「RAM ユーザーに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。
API
CreateKey オペレーションを呼び出します。
Terraform (ソフトウェア保護キーのみ)
手順については、「Terraform でキーを作成する」をご参照ください。
キーを無効にする
未使用のキーを無効にし、ワークロードへの影響がないことを確認してから削除します。無効化されたキーは使用できません。
コンソール
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー または デフォルトキー タブをクリックし、ターゲットキーを見つけて、操作 列の Disable をクリックします。
Disable Key ダイアログボックスで、画面上の情報を確認し、[OK] をクリックします。
Key Association をクリックして、Alibaba Cloud サービスでサーバー側の暗号化にキーが使用されているかどうかを確認できます。詳細については、「キーの関連付けを確認する」をご参照ください。
キーが無効になると、キーの状態が 有効化 から Disabled に変わります。キーを再度有効にするには、有効化 をクリックします。
API
DisableKey オペレーションを呼び出します。
削除保護を有効にする
削除保護を有効にすると、誤ってキーが削除されるのを防ぎます。保護されたキーを削除するには、最初に保護を無効にします。
削除保留中 状態のキーに対しては、削除保護を有効にすることはできません。
コンソール
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー または デフォルトキー タブをクリックし、ターゲットキーを見つけて、操作 列の 詳細 をクリックします。
表示される詳細ページで、Deletion Protection をオンにします。
[確認] メッセージで、Enable をクリックします。
API
SetDeletionProtection オペレーションを呼び出します。
キーを削除する
キーの削除は、削除時刻をスケジュールすることによって実現されます。削除をスケジュールする前に、キーを無効にし、ワークロードに影響を与えないことを確認してください。
スケジュールされた時刻の後、キーと暗号化されたデータは完全に削除されます。削除をスケジュールする前に、キーが使用されていないことを確認してください。
コンソール
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー または デフォルトキー タブで、ターゲットキーを見つけて、
操作 列の Schedule Deletion アイコンをクリックし、 をクリックします。Schedule Deletion ダイアログボックスで、画面上の情報を確認し、スケジュールされた削除期間を指定して、[OK] をクリックします。OK
Key Association をクリックして、Alibaba Cloud サービスでサーバー側の暗号化にキーが使用されているかどうかを確認できます。詳細については、「キーの関連付けを確認する」をご参照ください。
スケジュールされた削除期間を指定すると、キーの状態が 有効化 から 削除待ち に変わります。削除待ち 状態のキーを使用して、データを暗号化、復号、またはデータキーを生成することはできません。スケジュールされた削除期間が経過する前に、[削除のキャンセル] をクリックして削除をキャンセルできます。
API
ScheduleKeyDeletion オペレーションを呼び出してキーの削除をスケジュールします。CancelKeyDeletion オペレーションを呼び出すことでキャンセルします。
非対称キーの公開キーをダウンロードする
非対称キーを作成した後、非対称キーの公開キーをダウンロードできます。非対称キーの秘密キーをダウンロードすることはできません。
コンソール
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー または デフォルトキー タブで、ターゲットキーを見つけて、操作 列の 詳細 をクリックします。
Key Version タブで、操作 列の View Public Key をクリックします。
View Public Key メッセージで、Download をクリックします。
API
GetPublicKey (OpenAPI、推奨) または GetPublicKey (インスタンス API) オペレーションを呼び出します。
キーの関連付けを確認する
Elastic Compute Service (ECS) でサーバー側の暗号化にキーが使用されているかどうかを確認できます。他のクラウドサービスでサーバー側の暗号化に使用されているか、または自己管理型アプリケーションでデータの暗号化に使用されているかは確認できません。
Key Management Service コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー または デフォルトキー タブで、ターゲットキーを見つけて、操作 列の 詳細 をクリックします。
Key Association タブで、Check をクリックします。約 1 分待って、
アイコンをクリックして確認結果を表示します。キーがまだ使用されている場合は、特に必要がない限り、キーを削除しないでください。
Cloud Service: サーバー側の暗号化にキーが使用されているクラウドサービス。ECS のみがサポートされています。
Last Called At: クラウドサービスがキーにアクセスした最新の時刻。
クラウドサービスが過去 365 日以内にキーにアクセスした場合、時刻が表示されます。クラウドサービスが 365 日前にキーにアクセスした場合、時刻は表示されません。
Check Status: 確認ステータス。確認に失敗した場合は、更新して再試行してください。
Service Entry: キーを使用して暗号化されているリソースを照会するためのエントリポイント。
重要ECS Disk and Key Association ページと ECS Snapshot and Key Association ページには、現在のアカウントがアクセス権限を持つディスクまたはスナップショットのみが表示されます。
キーのタグを設定する
タグを使用して、キーを分類および管理できます。タグはキーと値のペアで構成されます。 KMS で作成されたキーにのみタグを追加できます。
問題が発生した場合は、次の手順を試してください。
タグキーと値は最大 128 文字(英字、数字、/、\、_、-、.、+、=、:、@)まで使用できますが、aliyun または acs: で始めることはできません。各キーは最大 20 個のタグをサポートします。
コンソール
キーにタグを追加する
ソリューション | 操作 |
手順 |
|
前提条件 |
|
[タグ] 列の アイコンをクリックします。複数のキーに一度にタグを追加する
KMS コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、インスタンス管理 ドロップダウンリストから必要なインスタンス ID を選択し、キーリストでターゲットキーを見つけます。
タグの追加:キーリストの下部にある [タグの追加] をクリックします。 タグを追加[タグの追加] ダイアログボックスで、複数の [タグ値]メディアのオフロードを有効にする:閉じる と を入力し、 をクリックします。表示されるメッセージで、 をクリックします。
タグの削除:キーリストの下部にある タグの削除[一括削除]オプション: Azure CDN を構成します。閉じる をクリックします。 ダイアログボックスで、削除するタグを選択し、 をクリックします。表示されるメッセージで、 をクリックします。
API
TagResource 操作を呼び出してキーにタグを追加し、複数のキーには TagResources を呼び出します。OK
タグを管理するには、次の操作を呼び出します。
UntagResource: キーからタグを削除します。
ListResourceTags: キーのタグをクエリします。
UntagResources: 複数のキーから一度にタグを削除します。
ListTagResources: 複数のキーのタグを一度にクエリします。