翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ステップ 1: キーマテリアル AWS KMS key なしで を作成する
<a name="importing-keys-create-cmk"></a>

デフォルトでは、 は KMS キーを作成するときにキーマテリアル AWS KMS を作成します。代わりに独自のキーマテリアルをインポートするには、最初にキーマテリアルなしで KMS キーを作成します。そして、キーマテリアルをインポートします。キーマテリアルなしで KMS キーを作成するには、 AWS KMS コンソールまたは [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用します。

キーマテリアルなしでキーを作成するには、[オリジン](create-keys.md#key-origin)として `EXTERNAL` を指定します。KMS キーのオリジンプロパティは変更不可です。一度作成すると、インポートされたキーマテリアル用に設計された KMS キーを、 AWS KMS または他のソースからのキーマテリアルを持つ KMS キーに変換することはできません。

`EXTERNAL` オリジンを持つ KMS キーの[キーステータス](key-state.md)であり、`PendingImport` であるキーマテリアルはありません。KMS キーは、無期限に `PendingImport` 状態を維持できます。ただし、暗号化オペレーションでは `PendingImport` 状態で KMS キーを使用することはできません。キーマテリアルをインポートすると、KMS キーのキーステータスが `Enabled` に変わり、暗号オペレーションで使用できるようになります。

AWS KMS は、[KMS キーの作成](ct-createkey.md)、[パブリックキーとインポートトークンのダウンロード](ct-getparametersforimport.md)、[キーマテリアルのインポート](ct-importkeymaterial.md)時に AWS CloudTrail ログにイベントを記録します。 AWS KMS は、[インポートされたキーマテリアルの削除](ct-deleteimportedkeymaterial.md)時、または が期限切れのキーマテリアルを削除するときに CloudTrail イベントも記録します。 AWS KMS [期限切れのキーのマテリアルを削除](ct-deleteexpiredkeymaterial.md)

**Topics**
+ [キーマテリアルなしで KMS キーを作成する (コンソール)](#importing-keys-create-cmk-console)
+ [キーマテリアルなしで KMS キーを作成する (AWS KMS API)](#importing-keys-create-cmk-api)

## キーマテリアルなしで KMS キーを作成する (コンソール)
<a name="importing-keys-create-cmk-console"></a>

インポートされたキーマテリアルの KMS キーを 1 回作成する必要があるだけです。同じキーマテリアルを既存の KMS キーに必要な回数だけインポートおよび再インポートできますが、1 つの KMS キーに別のキーマテリアルをインポートすることはできません。詳細については、「[ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード](importing-keys-get-public-key-and-token.md)」を参照してください。

キーマテリアルがインポートされた既存の KMS キーを、**[Customer managed keys]** (カスタマーマネージドキー) テーブルで検索するには、右上隅にある歯車アイコンを使用して、KMS キーのリストの **[Origin]** (オリジン) 列を表示します。インポートされたキーの **Origin** 値は **EXTERNAL (キーマテリアルのインポート)** です。

インポートされたキーマテリアルを持つ KMS キーを作成するには、まず[目的のキータイプの KMS 　キー作成手順](create-keys.md)に従ってください。ただし、以下の例外事項があります。

キーの使用方法を選択したら、次の操作を行います。

1. **[詳細オプション]** を展開します。

1. **[キーマテリアルのオリジン]** で、**[EXTERNAL (キーマテリアルのインポート)]** を選択します。

1. インポートされたキーマテリアルの使用による影響について理解したことを示すため、**[インポートされたキーの使用によるセキュリティと耐久性への影響について理解しました]** の隣にあるチェックボックスをオンにします。これらの意味については、「[インポートされたキーマテリアルの保護](import-keys-protect.md)」を参照してください。

1. オプション: インポートされたキーマテリアルを持つ [マルチリージョン KMS キー](multi-region-keys-overview.md) を作成するには、**[リージョナリティ]** で **[マルチリージョンキー]** を選択します。

1. 基本的な手順に戻ります。基本的な手順の残りのステップは、そのタイプの KMS キーについてすべて同じです。

**[完了]** を選択すると、キーマテリアルがなく、ステータス ([キーステータス](key-state.md)) が **[インポート保留中]** の KMS キーが作成されたことになります。

ただし、**[カスタマー管理型のキー]** テーブルに戻るのではなく、コンソールには、キーマテリアルのインポートに必要なパブリックキーとインポートトークンをダウンロードできるページが表示されます。ここでダウンロードのステップを続行することも、**[キャンセル]** を選択してこの時点で停止することもできます。いつでもこのダウンロードのステップに戻ることができます。

次の手順: [ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード](importing-keys-get-public-key-and-token.md)

## キーマテリアルなしで KMS キーを作成する (AWS KMS API)
<a name="importing-keys-create-cmk-api"></a>

[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) を使用してキーマテリアルを持たない対称暗号化 KMS キーを作成するには、`Origin` パラメータが `EXTERNAL` に設定された [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) リクエストを送信します。次の例では、[AWS Command Line Interface (AWS CLI) ](https://aws.amazon.com/cli/) を使用してこのオペレーションを行う方法を示します。

```
$ aws kms create-key --origin EXTERNAL
```

コマンドが成功した場合は、以下のような出力が表示されます。 AWS KMS キーの `Origin`は `EXTERNAL`で、 は `KeyState`です`PendingImport`。

**ヒント**  
コマンドが成功しない場合は、`KMSInvalidStateException` または `NotFoundException` が表示されることがあります。リクエストは再試行できます。

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

後のステップで使用するために、コマンド出力からの `KeyId` 値をコピーしてから、「[ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード](importing-keys-get-public-key-and-token.md)」に進みます。

**注記**  
このコマンドは、`SYMMETRIC_DEFAULT` の `KeySpec` および`ENCRYPT_DECRYPT` の `KeyUsage` を含む対称暗号化 KMS キーを作成します。オプションのパラメータ `--key-spec` と `--key-usage` を使用して、非対称 KMS キーまたは HMAC KMS キーを作成できます。詳細については、[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを参照してください。