翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# キーストアに KMS AWS CloudHSM キーを作成する
<a name="create-cmk-keystore"></a>

 AWS CloudHSM キーストアを作成したら、キーストア AWS KMS keys で を作成できます。これらは、 が AWS KMS 生成するキーマテリアルを持つ[対称暗号化 KMS](symm-asymm-choose-key-spec.md#symmetric-cmks) キーである必要があります。カスタムキーストアで[非対称 KMS キー](symmetric-asymmetric.md)、[HMAC KMS キー](hmac.md)、または[インポートされたキーマテリアル](importing-keys.md)を持つ KMS キーを作成することはできません。カスタムキーストア内の対称暗号化 KMS キーを使用して、非対称データキーペアを生成することもできません。KMS は IPv6 経由で AWS CloudHSM キーストアと通信できません。

 AWS CloudHSM キーストアで KMS キーを作成するには、 AWS CloudHSM キーストア[を関連付けられた AWS CloudHSM クラスターに接続](connect-keystore.md)し、クラスターに異なるアベイラビリティーゾーンに少なくとも 2 つのアクティブな HSMs が含まれている必要があります。接続ステータスと HSM の数を確認するには、[AWS CloudHSM キーストアのページ](view-keystore.md#view-keystore-console)を AWS マネジメントコンソールに表示します。API オペレーションを使用する場合は、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用して、 AWS CloudHSM キーストアが接続されていることを確認します。クラスターとそのアベイラビリティーゾーン内のアクティブな HSMs の数を確認するには、 AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。

 AWS CloudHSM キーストアで KMS キーを作成すると、 AWS KMS は KMS キーを作成します AWS KMS。ただし、関連付けられた AWS CloudHSM クラスターに KMS キーのキーマテリアルが作成されます。具体的には、 は作成した CU としてクラスターに AWS KMS サインインします。 [`kmsuser`](create-keystore.md#before-keystore)次に、クラスター内に永続的で抽出不可能な 256 ビットの Advanced Encryption Standard (AES) 対称キーが作成され、 AWS KMS が[キーラベルの属性](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html)値を設定します。これはクラスター内で、KMS キーの Amazon リソースネーム (ARN) にのみ表示されます。　

コマンドが成功すると、新しいKMS キーの[キーステータス](key-state.md)は `Enabled` になり、そのオリジンは `AWS_CLOUDHSM` になります。作成後に KMS キーのオリジンを変更することはできません。 AWS KMS コンソールの AWS CloudHSM キーストアで、または [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用して KMS キーを表示すると、キー ID、キーの状態、作成日などの一般的なプロパティが表示されます。カスタムキーストア ID と AWS CloudHSM クラスター ID (オプション) を確認することもできます。

 AWS CloudHSM キーストアで KMS キーを作成しようとしても失敗した場合は、エラーメッセージを使用して原因を特定してください。 AWS CloudHSM キーストアが接続されていない (`CustomKeyStoreInvalidStateException`) か、関連付けられた AWS CloudHSM クラスターに、このオペレーションに必要な 2 つのアクティブな HSMs () がないことを示している可能性があります`CloudHsmClusterInvalidConfigurationException`。ヘルプについては、を参照してください [カスタムキーストアのトラブルシューティング](fix-keystore.md)。

 AWS CloudHSM キーストアに KMS キーを作成する オペレーションの AWS CloudTrail ログの例については、「」を参照してください[CreateKey](ct-createkey.md)。

## CloudHSM キーストアに新しい KMS キーを作成する
<a name="create-key-keystore"></a>

対称暗号化 KMS キーは、コンソールの AWS CloudHSM キーストアで AWS KMS 作成することも、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用して作成することもできます。

### AWS KMS コンソールの使用
<a name="create-cmk-keystore-console"></a>

キーストアに対称暗号化 KMS AWS CloudHSM キーを作成するには、次の手順に従います。

**注記**  
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。

1. **[Create key]** (キーの作成) を選択します。

1. [**対称**] を選択します。

1. **[Key usage]** (キーの使用) では、**[Encrypt and decrypt]** (暗号化および復号化) オプションがすでに選択されています。この設定は変更しないでください。

1. [**Advanced options (詳細オプション)**] を選択します。

1. **[キーマテリアルのオリジン]** で、**[AWS CloudHSM キーストア]** を選択します。

   キーストアにマルチリージョン AWS CloudHSM キーを作成することはできません。

1. [**次へ**] を選択します。

1. 新しい KMS AWS CloudHSM キーのキーストアを選択します。新しい AWS CloudHSM キーストアを作成するには、**カスタムキーストアの作成**を選択します。

   選択した AWS CloudHSM キーストアのステータスは **Connected** である必要があります。関連付けられた AWS CloudHSM クラスターはアクティブで、異なるアベイラビリティーゾーンに少なくとも 2 つのアクティブな HSMs が含まれている必要があります。

    AWS CloudHSM キーストアの接続については、「」を参照してください[AWS CloudHSM キーストアを切断する](connect-keystore.md)。HSM の追加については、*AWS CloudHSM ユーザーガイド*の [HSM の追加](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm)を参照してください。

1. [**次へ**] を選択します。

1. KMS キーのエイリアスおよびオプションの説明を入力します。

1. (オプション)。[**Add Tags**] (タグの追加) ページで、KMS キーを識別または分類するタグを追加します。

    AWS リソースにタグを追加すると、 は使用量とコストをタグ別に集計したコスト配分レポート AWS を生成します。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、[のタグ AWS KMS](tagging-keys.md) および [の ABAC AWS KMS](abac.md) を参照してください。

1. [**次へ**] を選択します。

1. [**Key administrators**] (キー管理者) セクションで、KMS キーを管理できる IAM ユーザーとロールを選択します。詳細については、「[KMS キーの管理をキー管理者に許可する](key-policy-default.md#key-policy-default-allow-administrators)」を参照してください。
**注意事項**  
IAM ポリシーでは、KMS キーを使用するアクセス許可を他の IAM ユーザーおよびロールに付与できます。  
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。  
 AWS KMS コンソールは、ステートメント識別子 のキーポリシーにキー管理者を追加します`"Allow access for Key Administrators"`。このステートメント識別子を変更すると、コンソールでステートメントに加えた更新が表示される方法に影響する可能性があります。

1. (オプション) これらのキー管理者がこの KMS キーを削除できないようにするには、ページの下部にある [**Allow key administrators to delete this key**] (キー管理者がこのキーを削除できるようにする) チェックボックスをオフにします。

1. [**次へ**] を選択します。

1. **このアカウント**セクションで、[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で KMS キーを使用できる AWS アカウント IAM ユーザーとロールを選択します。詳細については、「[KMS キーの使用をキーユーザーに許可する](key-policy-default.md#key-policy-default-allow-users)」を参照してください。
**注意事項**  
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。  
 AWS KMS コンソールは、ステートメント識別子 `"Allow use of the key"`および のキーポリシーにキーユーザーを追加します`"Allow attachment of persistent resources"`。これらのステートメント識別子を変更すると、コンソールでステートメントに加えた更新が表示される方法に影響する可能性があります。

1. (オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他のユーザーに許可できます。これを行うには、ページの下部にある **Other AWS アカウント** セクションで、Add **another AWS アカウント**を選択し、外部アカウントの AWS アカウント ID を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。
**注記**  
他の の管理者は、ユーザーの IAM ポリシーを作成して KMS キーへのアクセスを許可 AWS アカウント する必要があります。詳細については、「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. キーのキーポリシーステートメントを確認します。キーポリシーに変更を加えるには、**[編集]** を選択します。

1. [**次へ**] を選択します。

1. 選択したキー設定を確認します。戻って、すべての設定を変更することもできます。

1. 終了したら、[**Finish**] (完了) を選択し、キーを作成します。

手順が成功すると、選択したキーストアに新しい KMS AWS CloudHSM キーが表示されます。新しい KMS キーの名前またはエイリアスを選択すると、詳細ページの**暗号化設定**タブに、KMS キーのオリジン (**AWS CloudHSM**)、カスタムキーストアの名前、ID、タイプ、 AWS CloudHSM クラスターの ID が表示されます。手順が失敗すると、失敗を説明するエラーメッセージが表示されます。

**ヒント**  
カスタムキーストアで KMS キーをより簡単に識別できるようにするには、[**Customer managed keys (カスタマーマネージドキー)**] ページで、[**Custom key store ID (カスタムキーストア ID)**] 列を表示に追加します。右上隅にある歯車アイコンをクリックし、[**Custom key store ID (カスタムキーストア ID)**] を選択します。詳細については、「[コンソールの表示をカスタマイズする](viewing-console-customize.md)」を参照してください。

### AWS KMS API の使用
<a name="create-cmk-keystore-api"></a>

キーストアに AWS CloudHSM 新しい AWS KMS key (KMS キー) [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用します。`CustomKeyStoreId` パラメータを使用してカスタムキーストアを識別し、`AWS_CLOUDHSM` の `Origin` 値を指定します。

また、キーポリシーを指定するために `Policy` パラメータが必要になる場合もあります。キーポリシー ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) を変更したり、 [説明](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) や [タグ](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) などのオプション要素をいつでも追加したりできます。

このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

次の例では、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを呼び出して、 AWS CloudHSM キーストアが関連する AWS CloudHSM クラスターに接続されていることを確認します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。特定の AWS CloudHSM キーストアのみを記述するには、その `CustomKeyStoreId` または `CustomKeyStoreName`パラメータを使用します (両方ではありません）。

このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。

**注記**  
`Description` フィールドまたは `Tags` フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

次のコマンド例では、[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用して、 `ExampleKeyStore` (cluster-1a23b4cdefg) に関連付けられている AWS CloudHSM クラスターに少なくとも 2 つのアクティブな HSMsがあることを確認します。クラスターにある HSM が 2 つに満たない場合、`CreateKey` オペレーションは失敗します。

```
$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}
```

このコマンド例では、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用して キーストアに KMS AWS CloudHSM キーを作成します。 AWS CloudHSM キーストアで KMS キーを作成するには、キーストアのカスタム AWS CloudHSM キーストア ID を指定し、 `Origin`の値を指定する必要があります`AWS_CLOUDHSM`。

レスポンスには、カスタムキーストアと AWS CloudHSM クラスターの IDs が含まれます。

このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。

```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}
```