アクセス AWS Key Management Service - AWS Key Management Service
AWS Management ConsoleAWS Command Line InterfaceAWS KMS REST APIAWS SDKsAWS Encryption SDKAWS KMS 結果整合性

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセス AWS Key Management Service

は以下の AWS KMS 方法で を操作できます。

AWS Management Console

コンソールは、 AWS KMS および AWS リソースを管理するためのウェブベースのユーザーインターフェイスです。にサインアップしている場合は AWS アカウント、 にサインイン AWS Management Console し、 AWS Management Console ホームページ AWS KMS から を選択することで、 AWS KMS コンソールにアクセスできます。

AWS KMS コンソールを使用するために必要なアクセス許可

AWS KMS コンソールを使用するには、ユーザーは 内の AWS KMS リソースを操作できる最小限のアクセス許可のセットを持っている必要があります AWS アカウント。これらの AWS KMS アクセス許可に加えて、ユーザーには、IAM ユーザーおよび IAM ロールを一覧表示するためのアクセス許可も必要です。これらの最小限必要なアクセス許可よりも制限された IAM ポリシーを作成した場合、 AWS KMS コンソールは、その IAM ポリシーを使用するユーザーの意図したとおりには機能しません。

AWS KMS コンソールへの読み取り専用アクセスをユーザーに許可するために必要な最小限のアクセス権限については、「AWS KMS コンソールでの KMS キーの表示をユーザーに許可する」を参照してください。

ユーザーが AWS KMS コンソールを使用して KMS キーを作成および管理できるようにするには、「」で説明されているように、AWSKeyManagementServicePowerUser 管理ポリシーをユーザーにアタッチしますAWS の 管理ポリシー AWS Key Management Service

AWS SDKAWS Command Line Interface、もしくは AWS Tools for PowerShell を経由して AWS KMS API を使用するユーザーに対して、最小限のコンソールアクセス許可を付与する必要はありません。ただし、API を使用する権限をこれらのユーザーに付与する必要があります。詳細については、「アクセス許可に関するリファレンス」を参照してください。

AWS Command Line Interface

AWS CLI ツールを使用して、システムのコマンドラインでコマンドを発行したりスクリプトを構築したりして、タスク AWS (含む AWS KMS) を実行できます。

AWS KMS で を使用する方法の詳細については AWS CLI、AWS CLI 「 コマンドリファレンス」を参照してください。

AWS KMS REST API

のアーキテクチャ AWS KMS は、 が AWSサポートするインターフェイスを使用してオブジェクトを保存および取得し、プログラミング言語に依存しないように設計されています。を使用して、S3 と AWS にプログラムでアクセスできます AWS KMS REST API。REST API は への HTTP インターフェイスです AWS KMS。REST API では、標準 HTTP リクエストを使用してバケットやオブジェクトを作成、取得、削除できます。

の使用の詳細については AWS KMS REST API、AWS Key Management Service 「 API リファレンス」を参照してください。

AWS SDKs

AWS はSDKs (ソフトウェア開発キット) を提供します。 JavaScript AWS SDKs を使用すると、 AWS KMS および へのプログラムによるアクセスを簡単に作成 AWSできます。 AWS KMS はRESTサービスです。基盤となる AWS KMS REST API をラップし、プログラミングタスクを簡素化する AWS SDK ライブラリ AWS KMS を使用して、 にリクエストを送信できます。ダウンロードしてインストールする方法など AWS SDKs、 の詳細については、「 で構築するツール AWS」を参照してください。

AWS SDKs AWS KMS を使用するためのコード例 は、 AWS KMS を通じて を使用するための良い出発点を提供します AWS SDKs。

AWS Encryption SDK

AWS Encryption SDK は、アプリケーションにクライアント側の暗号化を実装するためのツールです。KMS へのフルアクセスは提供しませんが、代わりに と統合するか AWS KMS、KMS キーを参照せずにスタンドアロン SDK として使用できます。Java、JavaScript 、C、Python、およびその他のプログラミング言語のライブラリをご用意しています。

詳細については、AWS Encryption SDK デベロッパーガイドを参照してください。

AWS KMS key ポリシーと IAM ポリシー

AWS KMS 結果整合性

AWS KMS API は、システムの分散性により、結果整合性モデルに従います。その結果、 AWS KMS リソースへの変更は、実行する後続のコマンドにすぐに表示されない場合があります。

AWS KMS API コールを実行すると、変更が全体で利用可能になるまでに少し時間がかかる場合があります AWS KMS。通常、変更がシステム全体に反映されるまでに数秒もかかりませんが、場合によっては数分かかることがあります。この間、InvalidStateException または NotFoundException などの予期しないエラーが発生することがあります。たとえば、 を呼び出したGetParametersForImport直後に を呼び出すNotFoundExceptionと、 を返す AWS KMS 可能性がありますCreateKey

短い待機期間後にオペレーションを自動的に再試行するように、 AWS KMS クライアントで再試行戦略を設定することをお勧めします。詳細については、 AWS SDK とツールのリファレンスガイドの「再試行動作」を参照してください。

API 呼び出し関連のグラントでは、グラントトークンを使用して潜在的な遅延を回避し、グラント内のアクセス許可をすぐに使用できます。詳細については、「結果整合性 (グラント用)」を参照してください。