翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # インポートされたキーマテリアルの保護 インポートしたキーマテリアルは、転送中も保管中も保護されます。キーマテリアルをインポートする前に、[FIPS 140-3 暗号化モジュール検証プログラム](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)で検証された AWS KMS ハードウェアセキュリティモジュール (HSMs」) します。キーマテリアルをラッピングパブリックキーで直接暗号化することも、キーマテリアルを AES 対称キーで暗号化してから、AES 対称キーを RSA パブリックキーで暗号化することもできます。 受信すると、 は AWS KMS HSM 内の対応するプライベートキーを使用してキーマテリアルを AWS KMS 復号し、HSM の揮発性メモリにのみ存在する AES 対称キーで再暗号化します。キーマテリアルがプレーンテキストで HSM 外に出ることはありません。使用中のみ、 AWS KMS HSMs。 キーマテリアルがインポートされた KMS キーの使用は、KMS キーに設定した[アクセス制御ポリシー](control-access.md)によってのみ特定されます。さらに、[エイリアス](kms-alias.md)と[タグ](tagging-keys.md)を使用して、KMS キーを識別し、KMS キーへの[アクセスを制御できます](abac.md)。キーを[有効化または無効化](enabling-keys.md)したり、[表示](viewing-keys.md)したり、あるいは AWS CloudTrailのようなサービスを使用して[モニタリング](monitoring-overview.md)したりすることができます。 ただし、キーマテリアルのフェイルセーフコピーはお客様のみが管理します。この追加のコントロール指標の見返りとして、インポートされたキーマテリアルの耐久性と全体的な可用性はお客様の責任となります。 AWS KMS は、インポートされたキーマテリアルを高可用性に保つように設計されています。ただし、 AWS KMS は、インポートされたキーマテリアルの耐久性を、 が AWS KMS 生成するキーマテリアルと同じレベルで維持しません。 耐久性におけるこの相違は、次の場合に有意義です。 + インポートしたキーマテリアル[の有効期限を設定すると](importing-keys-import-key-material.md#importing-keys-expiration)、 は有効期限が切れた後にキーマテリアル AWS KMS を削除します。 AWS KMS は KMS キーまたはそのメタデータを削除しません。インポートされたキーマテリアルの有効期限が近づいたときに通知する [Amazon CloudWatch アラームを作成できます](imported-key-material-expiration-alarm.md)。 が KMS キーに対して AWS KMS 生成するキーマテリアルを削除したり、 AWS KMS キーマテリアルの有効期限を設定したりすることはできません。 + [インポートされたキーマテリアルを手動で削除する](importing-keys-delete-key-material.md)と、 はキーマテリアル AWS KMS を削除しますが、KMS キーまたはそのメタデータは削除しません。対照的に、[キーの削除をスケジュール](deleting-keys.md#deleting-keys-how-it-works)するには 7~30 日間の待機期間が必要です。その後、 は KMS キー、そのメタデータ、およびそのキーマテリアル AWS KMS を完全に削除します。 + 万一、 に影響するリージョン全体の特定の障害 AWS KMS (停電など) が発生した場合、 AWS KMS はインポートされたキーマテリアルを自動的に復元できません。ただし、 は KMS キーとそのメタデータを復元 AWS KMS できます。 インポートされたキーマテリアルのコピーは、ユーザーが管理するシステムの の外部 AWS に保持*する必要があります*。インポートされたキーマテリアルのエクスポート可能なコピーを、HSM などのキーマネジメントシステムに保存しておくことをお勧めします。ベストプラクティスとして、KMS キー ARN と AWS KMS によって生成されたキーマテリアル ID への参照をキーマテリアルのエクスポート可能なコピーとともに保存することが推奨されます。インポートしたキーマテリアルが削除されるか期限切れになった場合、同じキーマテリアルを再インポートするまで、関連付けられた KMS キーは使用できなくなります。インポートしたキーマテリアルが完全に失われた場合、KMS キーで暗号化された暗号文は回復できません。 **重要** 対称暗号化キーには、複数のキーマテリアルを関連付けることができます。これらのキーマテリアルのいずれかを削除するか、それらのキーマテリアルのいずれかの有効期限が切れるとすぐに、KMS キー全体が使用できなくなります (削除または期限切れのキーマテリアルが `PENDING_ROTATION`または でない限り`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`)。キーが暗号化オペレーションで使用できなくなる前に、そのようなキーに関連付けられ、有効期限が切れたキーマテリアルまたは削除したキーマテリアルを再インポートする必要があります。