インポートされたキーマテリアルの保護
インポートしたキーマテリアルは、転送中も保管中も保護されます。キーマテリアルをインポートする前に、FIPS 140-3 暗号化モジュール検証プログラム
受信すると、AWS KMS は、AWS KMS HSM 内の対応するプライベートキーを使用してキーマテリアルを復号し、HSM の揮発性メモリにのみ存在する AES 対称キーを使用して再暗号化します。キーマテリアルがプレーンテキストで HSM 外に出ることはありません。使用中と AWS KMS HSM 内でのみ復号されます。
キーマテリアルがインポートされた KMS キーの使用は、KMS キーに設定したアクセス制御ポリシーによってのみ特定されます。さらに、エイリアスとタグを使用して、KMS キーを識別し、KMS キーへのアクセスを制御できます。キーを有効化または無効化したり、表示したり、あるいは AWS CloudTrail のようなサービスを使用してモニタリングしたりすることができます。
ただし、キーマテリアルのフェイルセーフコピーはお客様のみが管理します。このような制御の手段が追加されていることに伴って、お客様には、キーマテリアルの耐久性と全体的な可用性に対する責任が発生します。AWS KMS は、インポートされたキーマテリアルの可用性を高めるように設計されています。ただし、AWS KMS では、インポートされたキーマテリアルの耐久性は、AWS KMS によって生成されたキーマテリアルと同じレベルでは維持されません。
耐久性におけるこの相違は、次の場合に有意義です。
-
インポートされたキーマテリアルに有効期限を設定すると、 AWS KMS は有効期限が切れた後、キーマテリアルを削除します。AWS KMS は KMS キーやそのメタデータを削除しません。インポートされたキーマテリアルの有効期限が近づいたときに通知する Amazon CloudWatch アラームを作成できます。
AWS KMS が KMS キーに対して生成したキーマテリアルを削除することはできません。また、AWS KMS キーマテリアルの有効期限を設定することはできません。
-
インポートされたキーマテリアルを手動で削除する場合、AWS KMS は、キーマテリアルを削除しますが、KMS キーまたはそのメタデータは削除しません。一方、キー削除のスケジュールは、7 日から 30 日間の待機期間を必要とし、その後、AWS KMS は KMS キー、そのメタデータおよびキーマテリアルをすべて削除します。
-
万一 AWS KMS に影響する特定のリージョン全体への障害が発生した場合には (全体の停電など)、AWS KMS は、インポートされたキーマテリアルを自動的に復元できません。ただし、AWS KMS では、KMS キーおよびそのメタデータを復元できます。
インポートしたキーマテリアルのコピーは、お客様が管理するシステムにある AWS の外部に保持する必要があります。インポートされたキーマテリアルのエクスポート可能なコピーを、HSM などのキーマネジメントシステムに保存しておくことをお勧めします。ベストプラクティスとして、KMS キー ARN と AWS KMS によって生成されたキーマテリアル ID への参照をキーマテリアルのエクスポート可能なコピーとともに保存することが推奨されます。インポートしたキーマテリアルが削除されるか期限切れになった場合、同じキーマテリアルを再インポートするまで、関連付けられた KMS キーは使用できなくなります。インポートしたキーマテリアルが完全に失われた場合、KMS キーで暗号化された暗号文は回復できません。
重要
単一リージョンの対称暗号化キーには、複数のキーマテリアルを関連付けることができます。これらのキーマテリアルのいずれかを削除するか、それらのキーマテリアルのいずれかの有効期限が切れると、(削除または期限切れのキーマテリアルが PENDING_ROTATION である場合を除き) KMS キー全体が使用できなくなります。キーが暗号化オペレーションで使用できなくなる前に、そのようなキーに関連付けられ、有効期限が切れたキーマテリアルまたは削除したキーマテリアルを再インポートする必要があります。
