翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 外部キーストアで KMS キーを作成する
<a name="create-xks-keys"></a>

外部キーストア[を作成して](create-xks-keystore.md)[接続](xks-connect-disconnect.md)したら、キーストア AWS KMS keys で を作成できます。これらは、**[External key store]** (外部キーストア) (`EXTERNAL_KEY_STORE`) のオリジン値をもつ[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)である必要があります。カスタムキーストアで[非対称 KMS キー](symmetric-asymmetric.md)、[HMAC KMS キー](hmac.md)、または[インポートされたキーマテリアル](importing-keys.md)を持つ KMS キーを作成することはできません。カスタムキーストア内の対称暗号化 KMS キーを使用して、非対称データキーペアを生成することもできません。

外部キーストアの KMS キーは AWSの外部にあるコンポーネントに依存するため、標準 KMS キーよりも遅延、耐久性、可用性に劣る可能性があります。外部キーストアで KMS キーを作成または使用する前に、外部キーストアプロパティをもつキーが必要であることを確認してください。

**注記**  
一部の外部キーマネージャーは、外部キーストアに KMS キーを作成する簡単な方法を提供しています。詳細については外部キーマネージャーのドキュメントを参照してください。

外部キーストアで KMS キーを作成するには、以下を指定します。
+ 外部キーストアの ID。
+ 外部キーストア (`EXTERNAL_KEY_STORE`) の[キーマテリアルオリジン](create-keys.md#key-origin)。
+ 外部キーストアに関連付けられた[外部キーマネージャー](keystore-external.md#concept-ekm)内の既存の[外部キー](keystore-external.md#concept-external-key) ID。この外部キーは、KMS キーのキーマテリアルとして機能します。KMS キーの作成後は、外部キー ID を変更できません。

  AWS KMS は、暗号化および復号オペレーションのリクエストで外部キーストアプロキシに外部キー ID を提供します。 AWS KMS は、外部キーマネージャーまたはその暗号化キーに直接アクセスすることはできません。

外部キーに加えて、外部キーストアの KMS キーにも AWS KMS キーマテリアルがあります。KMS キーで暗号化されたすべてのデータは、まずキーの AWS KMS キーマテリアル AWS KMS を使用して で暗号化され、次に外部キーマネージャーによって外部キーを使用して暗号化されます。この[二重暗号化](keystore-external.md#concept-double-encryption)プロセスにより、外部キーストアの KMS キーで保護された暗号文は、少なくとも AWS KMSのみで保護されている暗号文と同等の強度を持つことが保証されます。詳細については、「[外部キーストアの仕組み](keystore-external.md#xks-how-it-works)」を参照してください。

`CreateKey` オペレーションが成功すると、新しい KMS キーの[キーステータス](key-state.md)は `Enabled` になります。[外部キーストアの KMS キーを表示する](identify-key-types.md#view-xks-key)と、一般的なプロパティ (キー ID、[キーの仕様](create-keys.md#key-spec)、[キーの使用](create-keys.md#key-usage)、[キーの状態](key-state.md)、作成日など) が表示されます。また、外部キーストアの ID と[接続状態](xks-connect-disconnect.md#xks-connection-state)、および外部キーの ID も表示されます。

外部キーストアで KMS キーの作成を試みて失敗した場合は、エラーメッセージを使用して原因を特定します。外部キーストアが接続されていない可能性（`CustomKeyStoreInvalidStateException`）、外部キーストアプロキシが指定された外部キー ID（`XksKeyNotFoundException`）の外部キーを検出できない可能性、または外部キーが同じ外部キーストア `XksKeyAlreadyInUseException` 内の KMS キーにすでに関連付けられている可能性があります。

外部キーストアに KMS キーを作成する オペレーションの AWS CloudTrail ログの例については、「」を参照してください[CreateKey](ct-createkey.md)。

**Topics**
+ [外部キーストアの KMS キーの要件](#xks-key-requirements)
+ [外部キーストアで新しい KMS キーを作成する](#create-key-xks)

## 外部キーストアの KMS キーの要件
<a name="xks-key-requirements"></a>

外部キーストアに KMS キーを作成するには、外部キーストア、KMS キー、および KMS キーの外部暗号化キーマテリアルとなる外部キーの次のプロパティが必要です。

**外部キーストアの要件**
+ 外部キーストアプロキシに接続する必要があります。

  外部キーストアの[接続状態](xks-connect-disconnect.md#xks-connection-state)を確認するには、「[外部キーストアを表示する](view-xks-keystore.md)」を参照してください。外部キーストアを接続するには、「[外部キーストアを接続および切断する](xks-connect-disconnect.md)」を参照してください。

**KMS キーの要件**

KMS キーの作成後にこれらのプロパティを変更することはできません。
+ キースペック: SYMMETRIC\$1DEFAULT
+ キーの使用方法: ENCRYPT\$1DECRYPT
+ キーマテリアルのオリジン: EXTERNAL\$1KEY\$1STORE
+ マルチリージョン: FALSE

**外部キーの要件**
+ 256 ビット AES 暗号化キー (256 ランダムビット)。外部キーの `KeySpec` は `AES_256` である必要があります。
+ 有効かつ使用可能です。外部キーの `Status` は `ENABLED` である必要があります。
+ 暗号化および複合化用に設定されています。外部キーの `KeyUsage` には `ENCRYPT` と `DECRYPT` を含める必要があります。
+ この KMS キーでのみ使用されます。外部キーストアの各 `KMS key` は、異なる外部キーに関連付けられている必要があります。

  AWS KMS では、外部キーストア専用に外部キーを使用することも推奨しています。この制限により、キーに関する問題の特定と解決が容易になります。
+ 外部キーストアの[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)からアクセスできます。

  外部キーストアプロキシが指定された外部キー ID を使用してキーを検出できない場合、`CreateKey` オペレーションは失敗します。
+ を使用して AWS のサービス 生成される予想されるトラフィックを処理できます。 AWS KMS では、外部キーが 1 秒あたり最大 1800 リクエストを処理するように準備することをお勧めします。

## 外部キーストアで新しい KMS キーを作成する
<a name="create-key-xks"></a>

 AWS KMS コンソールの外部キーストアで、または [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用して、新しい KMS キーを作成できます。

### AWS KMS コンソールの使用
<a name="create-xks-key-console"></a>

外部キーストアで KMS キーを作成するには 2 つの方法があります。
+ 方法 1 (推奨): 外部キーストアを選択し、その外部キーストアに KMS キーを作成します。
+ 方法 2: KMS キーを作成し、それが外部キーストアにあることを示します。

キーを作成する前に外部キーストアを選択する方法 1 を使用する場合、 は必要なすべての KMS キープロパティ AWS KMS を選択し、外部キーストアの ID を入力します。この方法により、KMS キーの作成時に発生する可能性のあるエラーを回避できます。

**注記**  
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

**方法 1 (推奨): 外部キーストアで起動する**

この方法を使用するには、外部キーストアを選択し、KMS キーを作成します。 AWS KMS コンソールは、必要なプロパティをすべて選択し、外部キーストアの ID を入力します。この方法により、KMS キーの作成時に発生する可能性のある多くのエラーを回避できます。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[Custom key stores]** (カスタムキーストア)、**[External key stores]** (外部キーストア) の順に選択します。

1. 外部キーストアの名前を選択します。

1. 右上隅にある **[Create a KMS key in this key store]** (このキーストアのKMS キーを作成する) を選択します。

   外部キーストアが接続されていない場合は、接続するように求められます。接続に失敗した場合は、問題を解決し、外部キーストアに接続してから新しい KMS キーを作成する必要があります。

   外部キーストアが接続されている場合は、キーを作成するための **[Customer managed keys]** (カスタマーマネージドキー) ページにリダイレクトされます。必要な**[Key configuration]** (キー設定) 値は既に選択されています。また、外部キーストアのカスタムキーストア ID も入力されていますが、変更可能です。

1. [外部キーマネージャー](keystore-external.md#concept-ekm)に[外部キー](keystore-external.md#concept-external-key)のキー ID を入力します。この外部キーは、KMS キーで使用するための[要件を満たしている](#xks-key-requirements)必要があります。キーの作成後にこの値を変更することはできません。

   外部キーに複数の ID がある場合は、外部キーストアプロキシが外部キーの識別に使用するキー ID を入力します。

1. 指定された外部キーストアに KMS キーを作成する予定であることを確認します。

1. [**次へ**] を選択します。

   この手順の残りの部分は、[標準の KMS キー作成](create-keys.md)と同じです。

1. エイリアス (必須) と KMS キーの説明 (オプション) を入力します。

1. (オプション) [**Add Tags**] (タグの追加) ページで、KMS キーを識別または分類するタグを追加します。

    AWS リソースにタグを追加すると、 は使用量とコストをタグ別に集計したコスト配分レポート AWS を生成します。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、[のタグ AWS KMS](tagging-keys.md) および [の ABAC AWS KMS](abac.md) を参照してください。

1. [**次へ**] を選択します。

1. [**Key administrators**] (キー管理者) セクションで、KMS キーを管理できる IAM ユーザーとロールを選択します。詳細については、「[KMS キーの管理をキー管理者に許可する](key-policy-default.md#key-policy-default-allow-administrators)」を参照してください。
**注記**  
IAM ポリシーでは、KMS キーを使用するアクセス許可を他の IAM ユーザーおよびロールに付与できます。  
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

1. (オプション) これらのキー管理者がこの KMS キーを削除できないようにするには、**[Allow key administrators to delete this key]** (キー管理者がこのキーを削除できるようにする) のチェックボックスをオフにします。

   KMS キーの削除は破壊的で元に戻せないオペレーションであり、暗号文を回復不能にする可能性があります。外部キーマテリアルが存在しても、外部キーストアに対称 KMS キーを再作成することはできません。ただし、KMS キーを削除しても関連付けられた外部キーには影響しません。外部キーストアから KMS キーを削除する方法については、「[キーの削除に関する注意事項](deleting-keys.md#special-considerations-delete)」を参照してください。

1. [**次へ**] を選択します。

1. **このアカウント**セクションで、[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で KMS キーを AWS アカウント 使用できる IAM ユーザーとロールを選択します。詳細については、「[KMS キーの使用をキーユーザーに許可する](key-policy-default.md#key-policy-default-allow-users)」を参照してください。
**注記**  
IAM ポリシーでは、KMS キーを使用するアクセス許可を他の IAM ユーザーおよびロールに付与できます。  
IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

1. (オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他のユーザーに許可できます。これを行うには、ページの下部にある **Other AWS アカウント** セクションで、Add **another AWS アカウント**を選択し、外部アカウントの AWS アカウント ID を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。
**注記**  
他の の管理者は、ユーザーの IAM ポリシーを作成して KMS キーへのアクセスを許可 AWS アカウント する必要があります。詳細については、「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. 選択したキー設定を確認します。戻って、すべての設定を変更することもできます。

1. 終了したら、[**Finish**] (完了) を選択し、キーを作成します。

**方法 2: カスタマーマネージドキーから開始する**

この手順は、 AWS KMS キーマテリアルを使用して対称暗号化キーを作成する手順と同じです。ただし、この手順では、外部キーストアのカスタムキーストア ID と外部キーのキー ID を指定します。また、外部キーストアの KMS キーに[必要なプロパティ値](#xks-key-requirements) (キースペックやキーの使用法など) を指定する必要があります。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。

1. **[Create key]** (キーの作成) を選択します。

1. [**対称**] を選択します。

1. **[Key usage]** (キーの使用) では、**[Encrypt and decrypt]** (暗号化および復号化) オプションがすでに選択されています。この設定は変更しないでください。

1. [**Advanced options (詳細オプション)**] を選択します。

1. **[Key material origin]** (キーマテリアルのオリジン) で、**[External key store]** (外部キーストア) を選択します。

1. 指定された外部キーストアに KMS キーを作成する予定であることを確認します。

1. [**次へ**] を選択します。

1. 新しい KMS キーの外部キーストアを表す行を選択します。

   接続されていない外部キーストアは選択できません。切断されたキーストアを接続するには、キーストア名を選択し、**[Key store actions]** (キーストアアクション) で **[Connect]** (接続) を選択します。詳細については、「[AWS KMS コンソールの使用](about-xks-connecting.md#connect-xks-console)」を参照してください。

1. [外部キーマネージャー](keystore-external.md#concept-ekm)に[外部キー](keystore-external.md#concept-external-key)のキー ID を入力します。この外部キーは、KMS キーで使用するための[要件を満たしている](#xks-key-requirements)必要があります。キーの作成後にこの値を変更することはできません。

   外部キーに複数の ID がある場合は、外部キーストアプロキシが外部キーの識別に使用するキー ID を入力します。

1. [**次へ**] を選択します。

   この手順の残りの部分は、[標準の KMS キー作成](create-keys.md)と同じです。

1. KMS キーのエイリアスおよびオプションの説明を入力します。

1. (オプション)。[**Add Tags**] (タグの追加) ページで、KMS キーを識別または分類するタグを追加します。

    AWS リソースにタグを追加すると、 は使用量とコストをタグ別に集計したコスト配分レポート AWS を生成します。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、[のタグ AWS KMS](tagging-keys.md) および [の ABAC AWS KMS](abac.md) を参照してください。

1. [**次へ**] を選択します。

1. [**Key administrators**] (キー管理者) セクションで、KMS キーを管理できる IAM ユーザーとロールを選択します。詳細については、「[KMS キーの管理をキー管理者に許可する](key-policy-default.md#key-policy-default-allow-administrators)」を参照してください。
**注記**  
IAM ポリシーでは、KMS キーを使用するアクセス許可を他の IAM ユーザーおよびロールに付与できます。

1. (オプション) これらのキー管理者がこの KMS キーを削除できないようにするには、**[Allow key administrators to delete this key]** (キー管理者がこのキーを削除できるようにする) のチェックボックスをオフにします。

   KMS キーの削除は破壊的で元に戻せないオペレーションであり、暗号文を回復不能にする可能性があります。外部キーマテリアルが存在しても、外部キーストアに対称 KMS キーを再作成することはできません。ただし、KMS キーを削除しても関連付けられた外部キーには影響しません。外部キーストアから KMS キーを削除する方法については、「[を削除する AWS KMS key](deleting-keys.md)」を参照してください。

1. [**次へ**] を選択します。

1. **このアカウント**セクションで、[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で KMS キーを AWS アカウント 使用できる IAM ユーザーとロールを選択します。詳細については、「[KMS キーの使用をキーユーザーに許可する](key-policy-default.md#key-policy-default-allow-users)」を参照してください。
**注記**  
IAM ポリシーでは、KMS キーを使用するアクセス許可を他の IAM ユーザーおよびロールに付与できます。

1. (オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他のユーザーに許可できます。これを行うには、ページの下部にある **Other AWS アカウント** セクションで、Add **another AWS アカウント**を選択し、外部アカウントの AWS アカウント ID を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。
**注記**  
他の の管理者は、ユーザーの IAM ポリシーを作成して KMS キーへのアクセスを許可 AWS アカウント する必要があります。詳細については、「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. 選択したキー設定を確認します。戻って、すべての設定を変更することもできます。

1. 終了したら、[**Finish**] (完了) を選択し、キーを作成します。

手順が成功すると、選択した外部キーストアに新しい KMS キーが表示されます。新しい KMS キーの名前やエイリアスを選択すると、その詳細ページの **[Cryptographic configuration]** (暗号化設定) タブに、KMS キー (**[External key store]** (外部キーストア)) のオリジン、カスタムキーストアの名前、ID、タイプ、外部キーの ID、キー使用方法、ステータスが表示されます。手順が失敗すると、失敗を説明するエラーメッセージが表示されます。の場合は、「[外部キーストアのトラブルシューティング](xks-troubleshooting.md)」を参照してください。

**ヒント**  
カスタムキーストアで KMS キーをより簡単に識別できるようにするには、**[Customer managed keys]** (カスタマーマネージドキー) ページで、**[Origin]** (オリジン) と **[Custom key store ID]** (カスタムキーストア ID) 列を表示に追加します。テーブルフィールドを変更するには、ページの右上隅にある歯車アイコンを選択します。詳細については、「[コンソールの表示をカスタマイズする](viewing-console-customize.md)」を参照してください。

### AWS KMS API の使用
<a name="create-xks-key-api"></a>

外部キーストアで新しい KMS キーを作成するには、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用します。以下のパラメータは必須です。
+ `Origin` の値は `EXTERNAL_KEY_STORE` にする必要があります。
+ `CustomKeyStoreId` パラメータは外部キーストアを識別します。指定された外部キーストアの [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) は、`CONNECTED` である必要があります。`CustomKeyStoreId` と `ConnectionState` を検出するには、`DescribeCustomKeyStores` オペレーションを使用します。
+ `XksKeyId` パラメータは外部キーを識別します。この外部キーは、KMS キーとの関連付けの[要件を満たしている](#xks-key-requirements)必要があります。

`Policy` または [タグ](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html)パラメータを使用するなど、`CreateKey` オペレーションの任意のオプションパラメータを使用することもできます。

**注記**  
`Description` フィールドまたは `Tags` フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

この例では、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用して、外部キーストアで KMS キーを作成します。応答には、KMS キーのプロパティ、外部キーストアの ID、外部キーの ID、使用方法、ステータスが含まれます。

このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。

```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}
```