Classic/VPC環境で利用できます。
キーのステータス
Key Management Serviceでキーは作成時点から最終削除まで一連のステータスを持ち、これをキーのライフサイクルと呼びます。キーのライフサイクルはキー管理者によって管理されます。ライフサイクルによるキーステータスに関する詳しい内容は、Key Management Service とはをご参照ください。
キーが使用されながら一定周期でローテーションし、キーごとに最大100個のバージョンが作成されます。キーのステータスはすべてのバージョンに継承されます。例えば、3つのバージョンを持つキーが使用停止のステータスに切り替えられると、3つのバージョンがすべて使用停止のステータスになります。キーが再び有効になると、各バージョンは自動的に以前のステータスに復元されます。キーバージョンとローテーションの詳細については、キーのバージョン管理をご参照ください。
キーの各ステータスについての説明は、次の通りです。
-
作成
キー作成のリクエストが発生すると、キー管理勧告に従って安全に作成され、固有 IDが付与されます。作成されたキーは暗号化された保存場所に安全に保存され、有事の際に備えたバックアップ地点が作成されます。 -
使用可能
すべての暗号化/復号化リクエストに使用できるキーです。作成されたキーは自動で有効化して使用可能のステータスになり、いつでも無効化して使用を停止できます。使用可能ステータスのキーは管理課金の対象となります。 -
使用停止
使用停止されたキーで、いつでも再有効化できます。使用停止ステータスのキーもローテーション周期に従い、次のローテーション日に予定通り新しいバージョンに更新されます。使用停止ステータスのキーは、暗号化/復号化リクエストには使用できず、管理課金の対象となります。 -
削除リクエスト
使用されなくなったキーで、誤用防止と不要なメンテナンス管理を減らすために、ユーザーが削除をリクエストしたキーです。削除リクエスト後72時間経過すると、キーは完全削除され、復旧はできません。削除リクエストの際は、ユーザーがいないか慎重に確認する必要があります。削除リクエストは最終削除前までキャンセルでき、キャンセルされたキーは直ちに使用停止ステータスに切り替えられます。削除リクエストステータスのキーもローテーション周期に従い、管理課金の対象となります。ユーザーがいない場合、 [即時削除] ボタンをクリックしてすぐに完全削除することもできます。 -
削除
キーが最終的に削除されると、生キー(Raw key)がゼロ化(Zeroisation)されて消去され、キーリソースに対する運用履歴と Key Management Serviceで維持されると、使用履歴情報が直ちに削除されます。ただし、外部に送信された使用履歴は廃棄されません。例えば、キーの使用履歴を Cloud Log Analyticsサービスと連携して Object Storageにバックアップ処理していた場合、キーが最終的に削除されても、既に送信された使用履歴は削除されません。最終削除されたキーは、いかなる場合にも復旧することはできません。
キーのステータスに応じて基本機能の利用有無が変わります。ステータス別に利用可能な基本機能情報は、次の通りです。
| キー権限の管理 | キーローテーション | キーの無効化/有効化 | キー削除のリクエスト/キー削除のキャンセル | キー履歴を見る | |
|---|---|---|---|---|---|
| 使用可能 | O | O | 無効化 O | O | O |
| 使用停止 | O | X | 有効化 O | O | O |
| 削除リクエスト | X | X | X | キー削除のキャンセル O | O |
| 削除 | - | - | - | - | - |
キーのステータスは重要管理する必要があり、無効化/有効化や削除リクエストなどのステータス変更機能は慎重に行う必要があります。キーのステータスを安全に維持するためにはユーザーの継続的なモニタリングが必要なので、コンソールではキーのステータスが変更されると、その権限が付与されたサブアカウントに通知メールを送信します。これにより、ユーザーはキーのステータスをリアルタイムで確認することができます。
キーの無効化/有効化
暗号化キー使用中の不都合な事故や運用上の事情など様々なイベントに対応するために、キーを削除せずに一時的に使用を停止できます。キー管理者はキーステータス変更機能を利用して、キーを無効化ステータスに変更したり再度有効化ステータスに変更することで、キーの使用有無をリアルタイムで制御できます。キーステータスの変更方法は、次の通りです。
- Services > Security > Key Management Service > Key メニューを順にクリックします。
- ステータスを変更するキーを選択し、設定を行います。
- 有効化ステータスを無効化ステータスに変更する場合: [キー無効化] ボタンをクリックします。
- キー無効化 のポップアップ: 無効化するキーの使用履歴がある場合、ポップアップの最近の使用履歴を確認して [無効化] ボタンをクリックします。
- 無効化ステータスを有効化ステータスに変更する場合: [キー有効化] ボタンをクリックします。キーの使用履歴がある場合は、無効にする際に注意が必要です(最近の使用履歴は APIの使用履歴です)。
- 有効化ステータスを無効化ステータスに変更する場合: [キー無効化] ボタンをクリックします。
- キーリストで、変更されたキーのステータスを確認してください。
- 使用停止: 無効化して使用が停止されたキーで、いつでも有効化して使用可能ステータスに切り替え可能。いつでも使用可能なステータスで維持するために、使用停止ステータスのキーはローテーションスケジュールに従う
- 使用可能: すべての暗号化/復号化リクエストに利用できるステータス