翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 外部キーストアを切断する
<a name="about-xks-disconnecting"></a>

[VPC エンドポイントサービスに接続している](choose-xks-connectivity.md#xks-vpc-connectivity)外部キーストアを、外部キーストアプロキシから切断すると、 AWS KMS は、VPC エンドポイントサービスとのインターフェイスエンドポイントを削除し、接続をサポートするために作成されたネットワークインフラストラクチャを削除します。パブリックエンドポイントに接続している外部キーストアには、同等のプロセスは必要ありません。このアクションは、VPC エンドポイントサービスやそのサポートコンポーネントには影響せず、外部キーストアプロキシや外部コンポーネントにも影響しません。

外部キーストアが切断されている間、 AWS KMS は外部キーストアプロキシにリクエストを送信しません。外部キーストアの接続状ステータスは `DISCONNECTED` です。切断された外部キーストアの KMS キーは、([削除が保留されている](deleting-keys.md)場合を除き) [`UNAVAILABLE` のキーステータス](key-state.md)になります。つまり、暗号化オペレーションには使用できません。しかし、外部キーストアと既存の KMS キーの表示および管理は引き続き行えます。

切断状態は一時的なものとして、また元に戻せるように設計されています。外部キーストアはいつでも再接続できます。通常、再度設定する必要はありません。ただし、関連付けられた外部キーストアプロキシのプロパティが、[プロキシ認証の認証情報](keystore-external.md#concept-xks-credential)のローテーションなどにより変更されている場合は、再度接続する前に、[外部キーストアの設定を編集する](update-xks-keystore.md)必要があります。

**注記**  
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

外部キーストアの切断による影響を、より正確に予測するには、外部キーストアで KMS キーを識別して[過去の使用状況を特定](deleting-keys-determining-usage.md)します。

外部キーストアを切断する理由としては、次のようなものが挙げられます。
+ **プロパティを編集するには。**外部キーストアが接続されている間は、カスタムキーストア名、プロキシ URI パス、プロキシ認証の認証情報の編集が行えます。ただし、プロキシの接続タイプ、プロキシ URI エンドポイント、VPC エンドポイントのサービス名を編集するには、先に外部キーストアを切断しておく必要があります。詳細については、「[外部キーストアプロパティを編集する](update-xks-keystore.md)」を参照してください。
+  AWS KMS と外部キーストアプロキシ間の**すべての通信を停止するには**。エンドポイントまたは VPC エンドポイントサービスを無効にすることで、 AWS KMS とプロキシ間の通信を停止することもできます。さらに、外部キーストアプロキシまたはキー管理ソフトウェアは、 がプロキシと通信 AWS KMS できないようにする、またはプロキシが外部キーマネージャーにアクセスできないようにする追加のメカニズムを提供する場合があります。
+ 外部キーストアで**すべての KMS キーを無効にするには**。 AWS KMS コンソールまたは [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) オペレーションを使用して、外部キーストアで [KMS キーを無効化および再有効化](enabling-keys.md)できます。これらのオペレーションはすぐに完了します (結果整合性の影響を受ける) が、一度に 1 つの KMS キーしか処理されません。外部キーストアを切断すると外部キーストアのすべての KMS キーのキーステータスが `Unavailable` に変更され、暗号化オペレーションに使用できなくなります。
+ **失敗した接続試行を修復するには**。外部キーストアを接続する試みに失敗した場合 (カスタムキーストアの接続ステータスが `FAILED` になる) は、再度接続を試みる前に外部キーストアを切断する必要があります。

## 外部キーストアを切断する
<a name="disconnect-xks"></a>

 AWS KMS コンソールで、または [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) オペレーションを使用して、外部キーストアを切断できます。

### AWS KMS コンソールの使用
<a name="disconnect-xks-console"></a>

 AWS KMS コンソールを使用して、外部キーストアを外部キーストアプロキシに接続できます。この処理は約 5 分で完了します。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[Custom key stores]** (カスタムキーストア)、**[External key stores]** (外部キーストア) の順に選択します。

1. 切断する外部キーストアの行を選択します。

1. **[Key store actions]** (キーストアアクション) メニューから **[Disconnect]** (切断) を選択します。

オペレーションが完了すると、接続状態が [**DISCONNECTING**] から [**DISCONNECTED**] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「[外部キーストア接続エラー](xks-troubleshooting.md#fix-xks-connection)」を参照してください。

### AWS KMS API の使用
<a name="disconnect-xks-api"></a>

接続している外部キーストアを切断するには、[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) オペレーションを使用します。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。この処理は約 5 分で完了します。外部キーストアの接続ステータスを確認するときは、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。

このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

こちらの例では、VPC エンドポイントサービスに接続した外部キーストアを切断します。このコマンドを実行する前に、例にあるカスタムキーストア ID を有効な ID に置き換えます。

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

外部キーストアが切断されていることを確認するには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、`CustomKeyStoreId` または `CustomKeyStoreName` パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。`DISCONNECTED` の `ConnectionState` 値は、例にある外部キーストアが、外部キーストアプロキシに接続されていないことを示します。

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```