翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インポートされたキーマテリアルの保護
インポートしたキーマテリアルは、転送中も保管中も保護されます。キーマテリアルをインポートする前に、FIPS 140-3 暗号化モジュール検証プログラム
受信すると、 は AWS KMS HSM 内の対応するプライベートキーを使用してキーマテリアルを AWS KMS 復号し、HSM の揮発性メモリにのみ存在する AES 対称キーで再暗号化します。キーマテリアルがプレーンテキストで HSM 外に出ることはありません。使用中のみ、 AWS KMS HSMs。
キーマテリアルがインポートされた KMS キーの使用は、KMS キーに設定したアクセス制御ポリシーによってのみ特定されます。さらに、エイリアスとタグを使用して、KMS キーを識別し、KMS キーへのアクセスを制御できます。キーを有効化または無効化したり、表示したり、あるいは AWS CloudTrailのようなサービスを使用してモニタリングしたりすることができます。
ただし、キーマテリアルのフェイルセーフコピーはお客様のみが管理します。この追加のコントロール指標の見返りとして、インポートされたキーマテリアルの耐久性と全体的な可用性に責任があります。 AWS KMS は、インポートされたキーマテリアルを高可用性に保つように設計されています。ただし、 AWS KMS が AWS KMS 生成するキーマテリアルと同じレベルで、インポートされたキーマテリアルの耐久性は維持されません。
耐久性におけるこの相違は、次の場合に有意義です。
-
インポートしたキーマテリアルの有効期限を設定すると、 は有効期限が切れた後にキーマテリアル AWS KMS を削除します。 AWS KMS は KMS キーまたはそのメタデータを削除しません。インポートされたキーマテリアルの有効期限が近づいたときに通知する Amazon CloudWatch アラームを作成できます。
が KMS キーに対して AWS KMS 生成するキーマテリアルを削除したり、 AWS KMS キーマテリアルの有効期限を設定したりすることはできません。
-
インポートされたキーマテリアルを手動で削除すると、 はキーマテリアル AWS KMS を削除しますが、KMS キーまたはそのメタデータは削除しません。対照的に、キーの削除をスケジュールするには、7~30 日間の待機期間が必要です。その後、 は KMS キー、そのメタデータ、およびそのキーマテリアル AWS KMS を完全に削除します。
-
万一、 に影響するリージョン全体の特定の障害 AWS KMS (停電など) が発生した場合、 AWS KMS はインポートされたキーマテリアルを自動的に復元できません。ただし、 は KMS キーとそのメタデータを復元 AWS KMS できます。
インポートされたキーマテリアルのコピーは、ユーザーが管理するシステムの の外部 AWS に保持する必要があります。インポートされたキーマテリアルのエクスポート可能なコピーを、HSM などのキーマネジメントシステムに保存しておくことをお勧めします。ベストプラクティスとして、KMS キー ARN と によって生成されたキーマテリアル ID への参照を、キーマテリアルのエクスポート可能なコピー AWS KMS とともに保存する必要があります。インポートしたキーマテリアルが削除されるか期限切れになった場合、同じキーマテリアルを再インポートするまで、関連付けられた KMS キーは使用できなくなります。インポートしたキーマテリアルが完全に失われた場合、KMS キーで暗号化された暗号文は回復できません。
重要
単一リージョンの対称暗号化キーには、複数のキーマテリアルを関連付けることができます。これらのキーマテリアルのいずれかを削除するか、それらのキーマテリアルのいずれかの有効期限が切れるとすぐに、KMS キー全体が使用できなくなります (削除または期限切れのキーマテリアルが でない限りPENDING_ROTATION)。キーが暗号化オペレーションで使用できるようになる前に、そのようなキーに関連付けられた期限切れまたは削除されたキーマテリアルを再インポートする必要があります。
