鍵の状態

鍵バージョンの状態

鍵バージョンには以下の状態があります。

  • 生成を保留中PENDING_GENERATION): 非対称鍵にのみ適用されます。このバージョンの鍵はまだ生成中です。使用、有効化、無効化、破棄はできません。使用準備が完了すると、この状態は自動的に有効に変わります。

  • 有効ENABLED): この鍵バージョンは使用可能な状態です。

  • 無効DISABLED): この鍵バージョンは使用できませんが、鍵マテリアルは現在も使用可能であり、バージョンを有効な状態に戻すことができます。

  • 破棄がスケジュール済みDESTROY_SCHEDULED): この鍵バージョンは破棄がスケジュールされており、まもなく破棄されます。これは、無効な状態に戻すことができます。

  • 破棄DESTROYED): この鍵バージョンは破棄されており、鍵マテリアルは Cloud KMS に残っていません。鍵バージョンが非対称暗号化や対象暗号化に使用されていた場合、このバージョンで暗号化された暗号テキストは復号できません。鍵バージョンがデジタル署名に使用されていた場合、新しい署名は作成できません。また、非対称鍵バージョンの公開鍵はダウンロードできません。破棄状態になった鍵バージョンを他の状態にすることはできません。

鍵バージョンの状態の変更

鍵バージョンの状態を変更する方法を次に示します。

  • 非対称鍵の鍵バージョンを作成すると、生成保留中になります。Cloud KMS による鍵バージョンの生成が完了すると、状態は自動的に有効に変わります。

  • 対称鍵の鍵バージョンを作成すると、有効な状態になります。

  • 鍵バージョンの有効と無効を切り替えるには、UpdateCryptoKeyVersion やこのメソッドのインターフェースを使用します。例については、鍵バージョンの有効化と無効化をご覧ください。

  • 有効または無効の鍵バージョンの破棄をスケジュールするには、DestroyCryptoKeyVersion やこのメソッドのインターフェースを使用します。例については、鍵バージョンの破棄をスケジュールするをご覧ください。

  • 破棄がスケジュールされている鍵バージョンを無効にするには、RestoreCryptoKeyVersion やこのメソッドのインターフェースを使用します。例については、鍵バージョンを復元するをご覧ください。

次の図に、鍵バージョンの状態遷移を示します。

鍵バージョンの状態

非対称鍵の鍵バージョンは生成保留状態から始まります。対称鍵の鍵バージョンは有効な状態から始まります。

鍵バージョンの状態が暗号オペレーションに及ぼす影響

鍵バージョンの状態が暗号オペレーションに及ぼす影響は、次の目的で鍵が使用されているかどうかによって異なります。

  • 対称暗号化
  • 非対称暗号化またはデジタル署名

対称暗号化

それぞれの対称暗号鍵には、その時点でデータ暗号化に使用されるメイン バージョンが指定されています。データの暗号化に鍵を使用するには、有効になっているメインの鍵バージョンが必要です。

鍵を使用してプレーン テキストを暗号化する場合、そのメインの鍵バージョンがそのデータの暗号化に使用されます。データの暗号化に使用されたバージョンの情報は、データの暗号テキストに格納されます。いずれの時点においても、メインにできる鍵バージョンは 1 つのみです。

メインの鍵バージョンが無効になっている場合、その鍵を使用してデータを暗号化することはできません。有効になっているメインの鍵バージョンを無効にしたり、破棄をスケジュールしたり、破棄したりできること、および有効になっていないバージョンをメイン バージョンにできることに注意してください。

どの鍵バージョンがメインであるかは、データ復号機能には影響しません。その鍵バージョンが有効になっている限り、データの復号に使用できます。

非対称暗号化またはデジタル署名

暗号化またはデジタル署名に非対称鍵を使用する場合、鍵バージョンを指定する必要があります。非対称暗号化またはデジタル署名で鍵バージョンを使用するには、鍵バージョンを有効にする必要があります。 鍵バージョンが有効な場合のみ、鍵バージョンの公開鍵を取得できます。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud KMS ドキュメント