キー管理フレームワークの主要なライフサイクル状況
KMF は、特定の許容可能なアクションを適用することで、いくつかの暗号化キーのライフサイクル状況をサポートします。たとえば、アクティブ状況のキーのみが、意図した暗号化目的のために十分使用することができます。次の表に、さまざまなキーのライフサイクル状況の詳細を示します。
| キーのライフサイクル状況またはアクション | 説明 |
|---|---|
| アクティブ | 暗号化モジュール内の特定の暗号化仕様に対して有効なキーは 1 つだけです。 |
| 侵害 | 暗号化モジュールの特定の暗号化仕様では、複数のキーが侵害された状態で存在する可能性があります。アクティブなキーまたは一時停止されたキーは、侵害された状態に移行する可能性があります。 侵害されたキーは、暗号化や署名などの新しいコンテンツを生成するために使用することはできませんが、復号化や検証などの既存のコンテンツの目的を特定するために使用することはできます。 |
| 非アクティブ化済み | 任意のアクティブなキーを非アクティブ化できます。暗号モジュールの特定の暗号化仕様では、複数のキーが非アクティブ化された状態で存在する可能性があります。 たとえば、キーがローテーションされると、現在アクティブなキーが非アクティブになります。非アクティブ化されたキーは、暗号化や署名などの新しいコンテンツを生成するために使用することはできませんが、復号化や検証などの既存のコンテンツの目的を特定するために使用することはできます。 注: 侵害されたキーや失効したキーは、非アクティブ化されたキーとして扱われます。 |
| 破壊 | キーが破棄されると、キーマテリアルは完全に削除され、暗号化の目的のために使用できなくなります。非アクティブ化されたキーは、設定された指定期間内に使用されなかった場合、ライフサイクルの自動化を使用して破棄できます。暗号モジュールの特定の暗号化仕様では、複数のキーが破壊された状態で存在する可能性があります。 警告: 破棄されたキーに関連付けられたデータにはアクセスできなくなるため、キーを破棄するアクションを実行するときは注意が必要です。 |
| 生成済み | 暗号モジュールの特定の暗号化仕様では、複数のキーが生成された状態で存在する可能性があります。 指定された暗号化仕様に対応するアクティブなキーが存在しない場合、生成されたキーをアクティブステータスに移行できます。生成された最初のキーは自動的にアクティブに設定されます。 注:
新しいキーの生成を選択した場合は、指定された暗号化仕様に生成済みステータスのキーがある場合でも、新しいキーが生成されてアクティブになります。 |
| 更改済み | 有効期限のあるアクティブなキーは、キーのライフサイクル期間を延長するために何回でも更新できます。 注: アクティブ化日と有効期限の差が計算され、有効期限が当日から延期されます。 |
| 再開 | UI アクションは、指定された暗号化仕様に他のアクティブなキーが存在しない場合に、一時停止されたキーで使用して、アクティブ状態に戻すことができます。 |
| 取り消し済み | アクティブなキーまたは一時停止されたキーは、取り消された状態に移行する可能性があります。 取り消されたキーは、暗号化や署名などの新しいコンテンツを生成するために使用することはできませんが、復号化や検証など、既存のコンテンツの目的を特定するために使用することはできます。 暗号モジュールの特定の暗号化仕様では、複数のキーが取り消された状態で存在する可能性があります。 |
| ローテーション済み | キーのローテーションにより、現在のアクティブなキーが非アクティブ化され、別のキーがアクティブになります。新しいアクティブなキーを次から選択します。
|
| 一時停止 | 暗号モジュールの特定の暗号化仕様では、複数のキーが一時停止された状態にある可能性があります。キーが一時停止され、その暗号化仕様に他のアクティブなキーが存在しない場合は、キーを再開してアクティブ状況に再アサインできます。 |