KMS は、キーのライフサイクル管理と安全なストレージ機能を提供します。このトピックでは、キーの作成、キーの無効化、削除保護の有効化、キーの削除のスケジュール、およびキーのタグの設定方法について説明します。
デフォルトキーを有効にする
デフォルトキーには、1 つのデフォルトカスタマーマスターキー(CMK)とサービスキーが含まれます。管理できるのは、デフォルト CMK のみです。これは、各リージョンの Alibaba Cloud アカウントごとに KMS によって無料で提供されます。このキーを使用するには、有効にするだけです。サービスキーは、関連付けられたサービスによって管理され、KMS を介して作成、変更、または削除することはできません。
KMS コンソール にログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、デフォルトキー タブをクリックします。
操作 列の 有効化 をクリックし、確認ダイアログで [OK] をクリックします。
キーを作成する
ソフトウェアキー
ソフトウェアキーを作成する前に、KMS インスタンスを購入して有効化していることを確認してください。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。
KMS コンソール にログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストからソフトウェアキー管理インスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
キータイプ
キーが対称キーか非対称キーかを選択します。
重要資格情報の値を暗号化するキーを作成する場合は、対称キーを選択します。
キー仕様
キーの仕様。キースペックが準拠する標準とキーアルゴリズムの詳細については、「キー管理タイプとキースペック」をご参照ください。
対称キースペック: Aliyun_AES_256
非対称キースペック: RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K
キー使用
キーの目的。有効な値:
[ENCRYPT/DECRYPT]: データを暗号化および復号します。
[SIGN/VERIFY]: デジタル署名を生成および検証します。
キーのエイリアス
キーのエイリアス。エイリアスには、文字、数字、アンダースコア (_)、ハイフン (-)、およびスラッシュ (/) を使用できます。
タグ
キーのタグ。タグは、キーを分類および管理するのに役立ちます。各タグは、タグキーとタグ値を含むキーと値のペア (Key:Value) で構成されます。
説明タグキーまたはタグ値の長さは最大 128 文字で、文字、数字、スラッシュ (/)、バックスラッシュ (\)、アンダースコア (_)、ハイフン (-)、ピリオド (.)、プラス記号 (+)、等号 (=)、コロン (:)、アットマーク (@)、およびスペースを含めることができます。
タグキーは、
aliyunまたはacs:で始めることはできません。キーごとに最大 20 個のキーと値のペアを設定できます。
自動ローテーション
対称キーのみが自動回転をサポートします。このスイッチはデフォルトで有効になっています。詳細については、「キーのローテーション」をご参照ください。
ローテーション期間
回転期間は 7 ~ 365 日の値に設定できます。
Description
キーの説明。
Advanced Settings
ポリシー設定
デフォルトポリシー: キーが現在の Alibaba Cloud アカウントまたは共有ユニット内の Alibaba Cloud アカウントによって使用される場合は、デフォルトポリシーを選択します。
インスタンスが他のアカウントと共有されていない: 現在の Alibaba Cloud アカウントのみがキーを管理および使用できます。
インスタンスが他のアカウントと共有されている: たとえば、Alibaba Cloud アカウント 1 が KMS インスタンス A を Alibaba Cloud アカウント 2 と共有している場合:
Alibaba Cloud アカウント 1 によって作成されたキー: Alibaba Cloud アカウント 1 のみキーを管理および使用できます。
Alibaba Cloud アカウント 2 によって作成されたキー: Alibaba Cloud アカウント 1 と Alibaba Cloud アカウント 2 の両方がキーを管理および使用できます。
カスタムポリシー: キーを RAM ユーザー、RAM ロール、または他のアカウントに承認する必要がある場合は、カスタムポリシーを選択します。
重要管理者とユーザーを選択しても、[アクセス管理数量] クォータは消費されません。他のアカウントのユーザーを選択すると、KMS インスタンスの [アクセス管理数量] クォータが消費されます。クォータは、Alibaba Cloud アカウントの数に基づいて計算されます。承認を取り消す場合は、約 5 分待ってからクォータを確認してください。クォータは返還されます。
管理者: キーに対する管理操作を実行しますが、暗号操作はサポートしていません。現在の Alibaba Cloud アカウントの RAM ユーザーと RAM ロールを選択できます。
ユーザー: キーを暗号操作にのみ使用することをサポートします。現在の Alibaba Cloud アカウントの RAM ユーザーと RAM ロールを選択できます。
他のアカウントのユーザー: キーを暗号化と復号に使用します。これは、他の Alibaba Cloud アカウントの RAM ユーザーまたは RAM ロールです。
RAM ユーザー: フォーマットは
acs:ram::<userId>:user/<ramuser>です。たとえば、acs:ram::119285303511****:user/testpolicyuserです。RAM ロール: フォーマットは
acs:ram::<userId>:role/<ramrole>です。たとえば、acs:ram::119285303511****:role/testpolicyroleです。説明RAM ユーザーまたは RAM ロールを承認した後、RAM ユーザーまたは RAM ロールの Alibaba Cloud アカウントを使用して、Resource Access Management (RAM) でキーを使用する権限を承認する必要があります。その後初めて、RAM ユーザーまたは RAM ロールがキーを使用できるようになります。
詳細については、「Key Management Service のカスタムポリシー」、「RAM ユーザーへの権限の付与」、および「RAM ロールへの権限の付与」をご参照ください。
キーマテリアルソース
Key Management Service: キーマテリアルは KMS によって生成されます。
外部 (キーマテリアルのインポート): KMS はキーマテリアルを生成しません。キーマテリアルを自分でインポートする必要があります。詳細については、「対称キーマテリアルのインポート」および「非対称キーマテリアルのインポート」をご参照ください。
説明注意深くお読みになり、[外部キーマテリアルの使用方法と重要性を理解しています] を選択してください。
ハードウェアキー
ハードウェアキーを作成する前に、KMS インスタンスを購入して有効化していることを確認してください。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。
KMS コンソール にログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストからハードウェアキー管理インスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
キータイプ
キーが対称キーか非対称キーかを選択します。
重要資格情報の値を暗号化するキーを作成する場合は、対称キーを選択します。
キー仕様
キーの仕様。キースペックが準拠する標準とキーアルゴリズムの詳細については、「キー管理タイプとキースペック」をご参照ください。
対称キースペック: Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128
非対称キースペック: RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K
キー使用
キーの目的。有効な値:
[ENCRYPT/DECRYPT]: データを暗号化および復号します。
[SIGN/VERIFY]: デジタル署名を生成および検証します。
キーのエイリアス
キーのエイリアス。エイリアスには、文字、数字、アンダースコア (_)、ハイフン (-)、およびスラッシュ (/) を使用できます。
タグ
キーのタグ。タグは、キーを分類および管理するのに役立ちます。各タグは、タグキーとタグ値を含むキーと値のペア (Key:Value) で構成されます。
説明タグキーまたはタグ値の長さは最大 128 文字で、文字、数字、スラッシュ (/)、バックスラッシュ (\)、アンダースコア (_)、ハイフン (-)、ピリオド (.)、プラス記号 (+)、等号 (=)、コロン (:)、アットマーク (@)、およびスペースを含めることができます。
タグキーは、
aliyunまたはacs:で始めることはできません。キーごとに最大 20 個のキーと値のペアを設定できます。
Description
キーの説明。
デフォルトポリシー: キーが現在の Alibaba Cloud アカウントまたは共有ユニット内の Alibaba Cloud アカウントによって使用される場合は、デフォルトポリシーを選択します。
インスタンスが他のアカウントと共有されていない: 現在の Alibaba Cloud アカウントのみがキーを管理および使用できます。
インスタンスが他のアカウントと共有されている: たとえば、Alibaba Cloud アカウント 1 が KMS インスタンス A を Alibaba Cloud アカウント 2 と共有している場合:
Alibaba Cloud アカウント 1 によって作成されたキー: Alibaba Cloud アカウント 1 のみキーを管理および使用できます。
Alibaba Cloud アカウント 2 によって作成されたキー: Alibaba Cloud アカウント 1 と Alibaba Cloud アカウント 2 の両方がキーを管理および使用できます。
カスタムポリシー: キーを RAM ユーザー、RAM ロール、または他のアカウントに承認する必要がある場合は、カスタムポリシーを選択します。
重要管理者とユーザーを選択しても、[アクセス管理数量] クォータは消費されません。他のアカウントのユーザーを選択すると、KMS インスタンスの [アクセス管理数量] クォータが消費されます。クォータは、Alibaba Cloud アカウントの数に基づいて計算されます。承認を取り消す場合は、約 5 分待ってからクォータを確認してください。クォータは返還されます。
管理者: キーに対する管理操作を実行しますが、暗号操作はサポートしていません。現在の Alibaba Cloud アカウントの RAM ユーザーと RAM ロールを選択できます。
ユーザー: キーを暗号操作にのみ使用することをサポートします。現在の Alibaba Cloud アカウントの RAM ユーザーと RAM ロールを選択できます。
他のアカウントのユーザー: キーを暗号化と復号に使用します。これは、他の Alibaba Cloud アカウントの RAM ユーザーまたは RAM ロールです。
RAM ユーザー: フォーマットは
acs:ram::<userId>:user/<ramuser>です。たとえば、acs:ram::119285303511****:user/testpolicyuserです。RAM ロール: フォーマットは
acs:ram::<userId>:role/<ramrole>です。たとえば、acs:ram::119285303511****:role/testpolicyroleです。説明RAM ユーザーまたは RAM ロールを承認した後、RAM ユーザーまたは RAM ロールの Alibaba Cloud アカウントを使用して、Resource Access Management (RAM) でキーを使用する権限を承認する必要があります。その後初めて、RAM ユーザーまたは RAM ロールがキーを使用できるようになります。
詳細については、「Key Management Service のカスタムポリシー」、「RAM ユーザーへの権限の付与」、および「RAM ロールへの権限の付与」をご参照ください。
Key Management Service: キーマテリアルは KMS によって生成されます。
外部 (キーマテリアルのインポート): KMS はキーマテリアルを生成しません。キーマテリアルを自分でインポートする必要があります。詳細については、「対称キーマテリアルをインポートする」および「非対称キーマテリアルをインポートする」をご参照ください。
説明内容をよくご確認の上、[外部キーマテリアルを使用する方法と重要性を理解しました] を選択してください。
この設定は、キータイプ が Asymmetric Key に設定されている場合にのみサポートされます。
追加のキー使用法を使用すると、1 つのキーを複数の目的に使用できます。ただし、追加のキー使用法はクラウドサービスの暗号化には有効ではありません。
外部キー
KMS 外部キー管理インスタンスを購入して有効化していることを確認してください。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。
事前に XKI プロキシサービスを介してキー管理ファシリティでキーを作成し、キー ID を記録します。詳細については、キー管理ファシリティのドキュメントを参照してください。
KMS コンソール にログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストから外部キー管理インスタンスを選択し、キーを作成 をクリックします。
キーを作成 パネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
External Key ID
XKI 管理サービスを介して生成されたキーの ID。
説明同じ外部キー ID を使用して、1 つ以上の KMS キーを作成できます。
キー仕様
キーの仕様。有効な値: Aliyun_AES_256。キースペックが準拠する標準とキーアルゴリズムの詳細については、「キー管理タイプとキースペック」をご参照ください。
キー使用
キーの目的。
[ENCRYPT/DECRYPT]: データを暗号化および復号します。
キーのエイリアス
キーのエイリアス。エイリアスには、文字、数字、アンダースコア (_)、ハイフン (-)、およびスラッシュ (/) を使用できます。
タグ
キーのタグ。タグはキーを分類および管理するのに役立ちます。各タグは、タグキーとタグ値を含むキーと値のペア (Key:Value) で構成されます。
説明タグキーまたはタグ値の長さは最大 128 文字で、文字、数字、スラッシュ (/)、バックスラッシュ (\)、アンダースコア (_)、ハイフン (-)、ピリオド (.)、プラス記号 (+)、等号 (=)、コロン (:)、アットマーク (@)、およびスペースを含めることができます。
タグキーは
aliyunまたはacs:で始めることはできません。キーごとに最大 20 個のキーと値のペアを設定できます。
Description
キーの説明。
Advanced Settings
デフォルトポリシー: キーが現在の Alibaba Cloud アカウントまたは共有ユニット内の Alibaba Cloud アカウントによって使用される場合は、デフォルトポリシーを選択します。
インスタンスが他のアカウントと共有されていない: 現在の Alibaba Cloud アカウントのみがキーを管理および使用できます。
インスタンスが他のアカウントと共有されている: たとえば、Alibaba Cloud アカウント 1 が KMS インスタンス A を Alibaba Cloud アカウント 2 と共有している場合:
Alibaba Cloud アカウント 1 によって作成されたキー: Alibaba Cloud アカウント 1 のみキーを管理および使用できます。
Alibaba Cloud アカウント 2 によって作成されたキー: Alibaba Cloud アカウント 1 と Alibaba Cloud アカウント 2 の両方がキーを管理および使用できます。
カスタムポリシー: キーを RAM ユーザー、RAM ロール、または他のアカウントに承認する必要がある場合は、カスタムポリシーを選択します。
重要管理者とユーザーを選択しても、[アクセス管理数量] クォータは消費されません。他のアカウントのユーザーを選択すると、KMS インスタンスの [アクセス管理数量] クォータが消費されます。クォータは Alibaba Cloud アカウントの数に基づいて計算されます。承認を取り消す場合は、約 5 分待ってからクォータを確認してください。クォータは返還されます。
管理者: キーに対する管理操作を実行しますが、暗号操作はサポートしていません。現在の Alibaba Cloud アカウントの RAM ユーザーと RAM ロールを選択できます。
ユーザー: キーを暗号操作にのみ使用することをサポートします。現在の Alibaba Cloud アカウントの RAM ユーザーと RAM ロールを選択できます。
他のアカウントのユーザー: キーを暗号化と復号に使用します。これは、他の Alibaba Cloud アカウントの RAM ユーザーまたは RAM ロールです。
RAM ユーザー: フォーマットは
acs:ram::<userId>:user/<ramuser>です。たとえば、acs:ram::119285303511****:user/testpolicyuserです。RAM ロール: フォーマットは
acs:ram::<userId>:role/<ramrole>です。たとえば、acs:ram::119285303511****:role/testpolicyroleです。説明RAM ユーザーまたは RAM ロールを承認した後、RAM ユーザーまたは RAM ロールの Alibaba Cloud アカウントを使用して、Resource Access Management (RAM) でキーを使用する権限を承認する必要があります。その後初めて、RAM ユーザーまたは RAM ロールがキーを使用できるようになります。
詳細については、「Key Management Service のカスタムポリシー」、「RAM ユーザーへの権限の付与」、および「RAM ロールへの権限の付与」をご参照ください。
キーの無効化
キーを使用する必要がなくなった場合は、最初にキーを無効にすることをお勧めします。キーが不要になったことを確認した後、キーを削除できます。キーが無効になると、暗号操作に使用できなくなります。
KMS コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブまたは デフォルトキー タブをクリックし、無効にするキーを見つけて、操作 列の Disable をクリックします。
Disable Key ダイアログボックスで、項目を選択して確認します。次に、Disable をクリックします。
Key Association をクリックして、クラウドサービスでキーがサーバ側暗号化に使用されているかどうかを確認できます。詳細については、「キーの関連付けの検出」をご参照ください。
キーが無効になると、ステータスが 有効化 から Disabled に変わります。有効化 をクリックして、キーを再度有効にすることもできます。
削除保護の有効化
キーの削除保護を有効にすると、コンソールまたは API 操作を使用してキーを削除できなくなります。これにより、キーの誤削除を防ぎます。キーを削除する必要があることを確認した場合は、最初に削除保護を無効にする必要があります。
削除待ち 状態のキーに対しては、削除保護を有効にすることはできません。
KMS コンソール にログオンします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー管理 ページで、キー タブまたは デフォルトキー タブをクリックし、削除保護を有効にするキーを見つけ、詳細 列の 操作 をクリックします。
キーの詳細ページで、Deletion Protection スイッチをオンにします。
Enable ダイアログボックスで、情報を確認し、Enable をクリックします。
キーの削除のスケジュール
KMS はキーの直接削除をサポートしていません。スケジュールされたキーの削除のみをサポートしています。つまり、キーが削除されるまでの待機期間を設定できます。キーの削除をスケジュールする前に、キーの削除保護が無効になっていることを確認してください。
キーを今後使用しない場合は、最初にキーを無効にすることをお勧めします。キーがビジネスに影響を与えないことを確認した後、キーの削除をスケジュールできます。
システムは、待機期間が経過するとキーを削除します。キーを使用して暗号化されたコンテンツと、キーを使用して生成されたデータキーは、キーが削除された後に復号化できません。キーを削除する前に、キーが使用されていないことを確認してください。そうしないと、ビジネスに影響する可能性があります。
サービスキーは削除できません。サービスキーはクラウドサービスによって管理されます。サービスキーを今後使用しない場合は、操作を実行する必要はありません。サービスキーは料金が発生しないため、保持できます。
KMS コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー タブまたは デフォルトキー タブで、目的のキーを探し、操作 列の
アイコンをクリックしてから、Schedule Deletion をクリックします。Schedule Deletion ダイアログボックスで、情報を確認し、[OK] をクリックします。
Key Association をクリックして、クラウド サービスによるサーバー側の暗号化にキーが使用されているかどうかを確認できます。詳細については、「キーの関連付けの検出」をご参照ください。
待機期間を設定すると、キーのステータスは 有効化 から 削除待ち に変わります。削除待ち 状態のキーは、暗号化、復号化、またはデータキーの生成に使用できません。待機期間が終了する前に、Cancel Deletion をクリックできます。
非対称キーの公開キーをダウンロードする
非対称キーを作成した後、キーペアの公開キーをダウンロードできます。秘密キーはダウンロードできません。
KMS コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー タブまたは デフォルトキー タブで、公開鍵をダウンロードする対象のキーを見つけ、操作 列の 詳細 をクリックします。
ページ下部の Key Version タブで、View Public Key 列の 操作 をクリックします。
View Public Key ダイアログボックスで、Download をクリックします。
CSR ファイルの生成とダウンロード
KMS は、非対称カスタマーマスターキーの CSR (Certificate Signing Request) ファイルの生成をサポートしています。証明書の申請者が認証局に CSR を提出すると、認証局は CA 秘密鍵を使用してユーザーにデジタル証明書を発行します。発行されたデジタル証明書は、安全な電子メール、安全なエンドポイント保護、コード署名保護、信頼できる Web サイトサービス、ID 権限付与管理などに使用できます。
CSR を使用して証明書を作成する方法については、Certificate Management Service (Original SSL Certificate) の「証明書の作成」をご参照ください。
KMS コンソール にログオンします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
キー タブで、CSR を生成するキーを見つけ、操作 列の 詳細 をクリックします。
ページ下部の Key Version タブで、操作 列の Generate CSR をクリックし、パラメータを設定して、[OK] をクリックします。
パラメータ
説明
共通名 (CN)
証明書がバインドされているサブジェクト。例: ドメイン名、サービス名、デバイス名。
組織名
証明書の所有権検証に使用される組織の正式名称。
名前は、句読点と大文字小文字を含め、営業許可証の名前と完全に一致する必要があります。
組織名に
&や-などの特殊文字が含まれている場合は、そのままにしてください。
組織単位 (OU)
組織内の特定の部門またはチーム。
都道府県 (S)
組織が所在する都道府県名。漢字または英字を使用できます。「Province」または「省」を追加する必要はありません。
市区町村 (L)
組織が所在する市区町村名。漢字または英字を使用できます。「City」または「市」を追加する必要はありません。
国/地域 (C)
国別コード。ISO 3166-1 で定義されている 2 文字の国別コードを使用します。詳細については、ISO を参照してください。
キーアルゴリズム
認証局のサポート機能、ビジネスセキュリティ基準、および互換性要件に基づいて、適切なキーアルゴリズムを選択します。
RSA_PKCS1_SHA_256: SHA-256 アルゴリズムを使用してデータのハッシュ値を計算し、RFC 3447/PKCS#1 で定義されている RSASSA-PKCS1-v1_5 アルゴリズムを使用して署名を計算します。
RSA_PSS_SHA_256: SHA-256 アルゴリズムを使用してデータのハッシュ値を計算し、RFC 3447/PKCS#1 で定義されている RSASSA-PSS アルゴリズムを使用して、MGF1 (SHA-256) を使用して署名を計算します。
メールアドレス (E)
連絡先メールアドレスを入力します。
[CSR] ダイアログボックスで、Download CSR File をクリックして、安全に保管します。
キーの関連付け検出
クラウドサービスによるサーバ側暗号化のためにキーが使用されているかどうかのみを検出できます。 自己管理型アプリケーションによってキーが使用されているかどうかは検出できません。 検出結果に基づいて、キーがまだ使用されている場合は、削除する際に注意してください。
KMS コンソール にログオンします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
キー タブまたは デフォルトキー タブで、関連付け検出を実行するキーを見つけ、詳細 操作 列をクリックします。
Key Association タブで、Check をクリックし、約 1 分間待ってから、右側の
アイコンをクリックして検出結果を表示します。Cloud Service: ECS、MSE、RabbitMQ、RocketMQ、および ACK をサポートしています。
Last Called At: クラウドサービスが KMS 内のキーにアクセスした最新の時間です。
説明過去 365 日以内のアクセスリクエストのみがアクセス時間を表示します。 365 日以上前のアクセスリクエストの場合、最終アクセス時間は表示されません。
Check Status: 現在の検出のステータスです。 ステータスが「失敗」の場合は、ページをリフレッシュしてもう一度お試しください。
Service Entry: KMS キーを使用して暗号化されているクラウドサービスリソースを確認するために、クラウドサービスによって提供されるクエリ機能です。
重要現在のアカウントがアクセス権限を持っているリソースのみが表示されます。