AWS CloudHSM キーストアを切断する - AWS Key Management Service
AWS CloudHSM キーストアを切断する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアを切断する

AWS CloudHSM キーストアを切断すると、 は AWS CloudHSM クライアントから AWS KMS ログアウトし、関連付けられた AWS CloudHSM クラスターから切断して、接続をサポートするために作成したネットワークインフラストラクチャを削除します。

AWS CloudHSM キーストアが切断されている間は、 AWS CloudHSM キーストアとその KMS キーを管理できますが、 AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。PendingDeletion でない限り、キーストアの接続ステータスは DISCONNECTED で、カスタムキーストアの KMS キーのキーステータスUnavailable です。 AWS CloudHSM キーストアはいつでも再接続できます。

注記

AWS CloudHSM キーストアは、キーストアが接続されていないか、明示的に切断した場合にのみ接続DISCONNECTED状態になります。 AWS CloudHSM キーストアの接続状態が CONNECTEDであっても使用できない場合は、関連付けられた AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSMs が含まれていることを確認してください。接続障害については、カスタムキーストアのトラブルシューティング を参照してください。

カスタムキーストアを切断すると、そのキーストアの KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービスに影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

注記

カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

カスタムキーストアの切断の影響をより正確に推定するには、カスタムキーストアで KMS キーを識別し、その過去の使用状況を特定します。

AWS CloudHSM キーストアは、次のような理由で切断できます。

  • パスワードをローテーションkmsuserする。 AWS KMS は AWS CloudHSM クラスターに接続するたびに kmsuser パスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。

  • AWS CloudHSM クラスター内の KMS キーのキーマテリアルを監査するには。カスタムキーストアを切断すると、 は AWS CloudHSM クライアントのkmsuser暗号化ユーザーアカウントから AWS KMS ログアウトします。これにより、クラスターに kmsuser CU としてログインし、KMS キーのキーマテリアルを監査および管理することができます。

  • AWS CloudHSM キーストアですべての KMS キーをただちに無効にするには または DisableKey オペレーションを使用して、 AWS CloudHSM キーストアで KMS キーを無効化および再有効化できます。 AWS マネジメントコンソール これらのオペレーションは迅速に完了しますが、一度に処理される KMS キーは 1 つです。 AWS CloudHSM キーストアを切断すると、キーストア内のすべての KMS キーのキー状態が AWS CloudHSM すぐに に変更されUnavailable、暗号化オペレーションで使用されなくなります。

  • 失敗した接続試行を修復するには。 AWS CloudHSM キーストアの接続に失敗した場合 (カスタムキーストアの接続状態が FAILED)、再度接続する前に AWS CloudHSM キーストアを切断する必要があります。

AWS CloudHSM キーストアを切断する

AWS KMS コンソールで、または DisconnectCustomKeyStore オペレーションを使用して、 AWS CloudHSM キーストアを切断できます。

AWS KMS コンソールで接続された AWS CloudHSM キーストアを切断するには、カスタム AWS CloudHSM キーストアページからキーストアを選択します。

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 切断する外部キーストアの行を選択します。

  5. [Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します。

操作が完了すると、接続状態が [切断] から [切断済み] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

接続された AWS CloudHSM キーストアを切断するには、DisconnectCustomKeyStore オペレーションを使用します。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

この例では、 AWS CloudHSM キーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM キーストアが切断されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。ConnectionState の値は、このサンプル AWS CloudHSM キーストアが AWS CloudHSM クラスターに接続されていないDISCONNECTEDことを示します。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}