ステップ 4: キーマテリアルのインポート - AWS Key Management Service
有効期限の設定 (オプション)キーマテリアルの説明を設定する新しいキーマテリアルのインポートキーマテリアルの再インポートキーマテリアルのインポート (コンソール)キーマテリアルのインポート (AWS KMS API)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 4: キーマテリアルのインポート

キーマテリアルを暗号化すると、キーマテリアルをインポートして AWS KMS keyで使用できます。キーマテリアルをインポートするには、ステップ 3: キーマテリアルを暗号化する から暗号化されたキーマテリアルと、ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード でダウンロードしたインポートトークンをアップロードします。パブリックキーとインポートトークンをダウンロードしたときに指定したものと同じ KMS キーに、キーマテリアルをインポートする必要があります。キーマテリアルが正常にインポートされると、KMS キーのキーステータスEnabled に変化し、暗号化オペレーションで KMS キーを使用できるようになります。

キーマテリアルをインポートする場合、キーマテリアルの有効期限をオプションで設定できます。キーマテリアルが有効期限切れになると、 AWS KMS はキーマテリアルを削除し、KMS キーは使用不可能になります。キーマテリアルをインポートした後は、現在のインポートの有効期限を設定、変更、またはキャンセルできません。これらの値を変更するには、同じキーマテリアルを再インポートする必要があります。

EXTERNAL オリジンを持つすべての KMS キーの場合、インポートされた最初のキーマテリアルが最新になり、永続的に関連付けられます。EXTERNAL オリジンを使用した対称暗号化キーは、オンデマンドローテーションをサポートします。オンデマンドローテーションをサポートするインポート済みキーに複数のキーマテリアルを関連付けることができます。新しいキーマテリアルをインポートするプロセスは、「新しいキーマテリアルをインポートする」セクションで説明されているように、単一リージョンキーとマルチリージョンキーで異なります。新しいキーマテリアルを KMS キーに関連付けるには、ImportKeyMaterial アクションで importType パラメータを NEW_KEY_MATERIAL に設定する必要があります。オプションの ImportType パラメータのデフォルト値は EXISTING_KEY_MATERIAL です。ImportType パラメータを省略するか、EXISTING_KEY_MATERIAL として指定するときは、以前に KMS キーに関連付けたキーマテリアルをインポートする必要があります。

非対称キーまたはEXTERNALオリジンを持つ HMAC KMS キーの場合、キーに関連付けることができるキーマテリアルは 1 つだけです。 AWS KMS は、 ImportTypeパラメータを使用して ImportKeyMaterial API リクエストを拒否します。

KMS キーに永続的に関連付けられているすべてのキーマテリアルがインポートされると、KMS キーを暗号化オペレーションで使用できます。これらのキーマテリアルのいずれかを削除した場合、またはキーマテリアルの期限が切れた場合、KMS キーの状態は PendingImport に変わり、キーは暗号化オペレーションに使用できなくなります。

キーマテリアルをインポートするには、AWS KMS コンソールまたは ImportKeyMaterial API を使用します。HTTP リクエストを作成することにより、または AWS SDKsAWS Command Line Interface または AWS Tools for PowerShell を使用することにより、直接 API を使用できます。

キーマテリアルをインポートすると、ImportKeyMaterial エントリが AWS CloudTrail ログに追加され、ImportKeyMaterialオペレーションが記録されます。CloudTrail エントリは、 AWS KMS コンソールと AWS KMS API のどちらを使用する場合でも同じです。

有効期限の設定 (オプション)

KMS キーのキーマテリアルをインポートするとき、オプションで、キーマテリアルの有効期限 (日付と時刻) をインポートした日から最大 365 日間までの範囲で設定できます。インポートされたキーマテリアルの有効期限が切れると、 はそれ AWS KMS を削除します。このアクションにより KMS キーのキーキステータスPendingImport に変更され、暗号化オペレーションで使用できなくなります。KMS キーを使用する場合は、元のキーマテリアルを再度インポートする必要があります。

インポートされたキーマテリアルが頻繁に期限切れになるようにすれば規制要件を満たすのには役立ちますが、KMS キーで暗号化されたデータのリスクが高まります。元のキーマテリアルのコピーを再インポートするまでは、キーマテリアルの期限が切れた KMS キーは使用できず、KMS キーで暗号化されたデータにはアクセスできなくなります。元のキーマテリアルのコピーを紛失するなど何らかの理由でキーマテリアルを再インポートしなければ、その KMS キーは永久に使用できなくなり、その KMS キーで暗号化されたデータは回復不能となります。

このリスクを軽減するには、インポートされたキーマテリアルのコピーにアクセスできることを確認し、キーマテリアルが期限切れになって AWS ワークロードを中断する前に削除して再インポートするシステムを設計します。インポートされたキーマテリアルの、有効期限のアラームを設定し、期限切れになる前に、キーマテリアルを再インポートする十分な時間を確保しておくことが推奨されます。また、CloudTrail ログを使用して、キーマテリアルをインポート (および再インポート) したりインポートしたキーマテリアルを削除したりするオペレーションや、期限切れのキーマテリアルを削除する AWS KMS オペレーションを監査することもできます。

AWS KMS 削除されたキーマテリアルを復元、復元、または再現することはできません。有効期限を設定する代わりに、インポートしたキーマテリアルをプログラムで定期的に削除再インポートすることができますが、元のキーマテリアルのコピーを保持するための要件は同じです。

キーマテリアルをインポートするときに、インポートしたキーマテリアルの有効期限が切れているかどうか、および、いつ切れるのかを判断します。ただし、キーマテリアルを削除して再インポートすれば、有効期限を有効化または無効化することや、新しい有効期限を設定することができます。有効期限を有効 (KEY_MATERIAL_EXPIRES) および無効 (KEY_MATERIAL_DOES_NOT_EXPIRE) にするときは ImportKeyMaterialExpirationModel パラメーターを使用し、有効期限を設定するときは ValidTo パラメータを使用します。最大日数はインポートした日から 365 日目です。最小日数はありませんが、時刻は未来の時刻でなければなりません。

キーマテリアルの説明を設定する

EXTERNAL オリジンを持つ対称暗号化キーには、複数のキーマテリアルを関連付けることができます。このようなキーにキーマテリアルをインポートするときに、オプションのキーマテリアルの説明を指定できます。説明を使用して、対応するキーマテリアルが AWS KMSの外部で永続的に維持されている場所を追跡できます。

マルチリージョンキーの場合、キーマテリアルの説明はプライマリリージョンキーでのみ設定または変更できます。 は、キーマテリアルの説明をレプリカリージョンキー AWS KMS に自動的に伝達します。

新しいキーマテリアルのインポート

インポートされたキーマテリアルを持つ対称暗号化 KMS キーでオンデマンドローテーションを実行するには、以前にキーに関連付けられていない新しいキーマテリアルを最初にインポートする必要があります。

  • 単一リージョンキー

    • このタスクを実行するには、NEW_KEY_MATERIAL に設定された ImportType パラメータで ImportKeyMaterial を使用します。このキーマテリアルは、RotateKeyOnDemand オペレーションを実行するか、 でキーをローテーションするまで、キーに永続的に関連付けられません AWS マネジメントコンソール。それまでは、このキーマテリアルは PENDING_ROTATION 状態です。KMS キーは、いつでも最大 1 つのキーマテリアルを PENDING_ROTATION 状態にすることができます。PENDING_ROTATION 状態のキーマテリアルは、暗号化オペレーションにおけるキーのユーザビリティに影響を与えることなく削除できます。

  • マルチリージョンキー

    • キーマテリアルをマルチリージョンキーにインポートするには、まず新しいキーマテリアルをプライマリリージョンキーにインポートする必要があります。新しいキーマテリアルをレプリカリージョンキーに直接インポートすることはできません。新しいキーマテリアルをプライマリリージョンキーにインポートした後、同じキーマテリアルをレプリカリージョンキーにインポートできます。

    • このタスクを実行するには、プライマリリージョンキーNEW_KEY_MATERIALImportTypeパラメータを に設定して ImportKeyMaterialオペレーションを使用します。レプリカリージョンキーには、 ImportKeyMaterialオペレーションImportTypeに の EXISTING_KEY_MATERIALパラメータを使用します。

    • 対称暗号化マルチリージョンキーのキーマテリアルは、キーマテリアルの状態が PENDING_ROTATION 状態に変わる前に、すべてのレプリカリージョンキーとプライマリリージョンキーにインポートする必要があります。それまでは、新しいキーマテリアルの状態は ですPENDING_MULTI_REGION_IMPORT_AND_ROTATION。KMS キーは、いつでも PENDING_ROTATIONまたは PENDING_MULTI_REGION_IMPORT_AND_ROTATION状態のキーマテリアルを最大 1 つ持つことができます (RotationsListEntry KeyMaterialStateの説明を参照)。PENDING_MULTI_REGION_IMPORT_AND_ROTATION または PENDING_ROTATION状態のキーマテリアルはキーに永続的に関連付けられず、暗号化オペレーションにおけるキーのユーザビリティに影響を与えることなく削除できます。

キーマテリアルの再インポート

キーマテリアルがインポートされた KMS キーを管理する場合、キーマテリアルを再インポートしなければならない場合があります。キーマテリアルを再インポートして、有効期限の切れるキーマテリアルまたは削除されたキーマテリアルを置き換えるか、キーマテリアルの有効期限モデルまたは有効期限を変更することもできます。

キーマテリアルは、スケジュールがセキュリティ要件を満たしていれば、いつでも再インポートできます。キーマテリアルが有効期限に達するかそれに近づくのを待つ必要はありません。

キーマテリアルを再インポートする手順は、基本的に最初にキーマテリアルのインポートに使用したのと同じ手順ですが、以下の点が異なります。

  • 新しい KMS キーを作成する代わりに、既存の KMS キーを使用します。インポートの手順のステップ 1 はスキップできます。

  • キーマテリアルを再インポートするときに、有効期限モデルと有効期限を変更することができます。対称暗号化キーの場合、キーマテリアルの説明を変更することもできます。

    マルチリージョンキーの場合、キーマテリアルの説明はプライマリリージョンキーでのみ設定または変更できます。 は、キーマテリアルの説明をレプリカリージョンキー AWS KMS に自動的に伝達します。

KMS キーにキーマテリアルをインポートするたびに、KMS キーの新しいラップキーおよびインポートトークンをダウンロードして使用する必要があります。このラッピングの手順は、キーマテリアルの内容には影響しません。そのため、異なるラッピングキーおよび異なるラッピングアルゴリズムを使用して同じキーマテリアルをインポートできます。

キーマテリアルのインポート (コンソール)

を使用してキーマテリアル AWS マネジメントコンソール をインポートできます。

  1. ラップされたキーマテリアルのアップロード」のページが表示されている場合は、ステップ 10 に進んでください。

  2. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  3. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  4. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  5. 公開キーとインポートトークンをダウンロードした KMS キーの、キー ID またはエイリアスを選択します。

  6. [ 暗号構成 ] タブを選択し、その値を表示します。タブは、KMS キーの詳細ページの一般設定セクションにあります。

    キーマテリアルは、EXTERNAL (キーマテリアルのインポート) の Origin を含む KMS キーにのみインポートできます。インポートされたキーマテリアルで KMS キーを作成する方法の詳細については、キーの AWS KMS キーマテリアルのインポート を参照してください。

  7. キータイプに基づいて適切なタブを選択します。

    • 非対称キーと HMAC キーの場合は、キーマテリアルタブを選択します。

    • 対称暗号化キーの場合は、キーマテリアルとローテーションタブを選択します。

  8. インポートアクションを選択します。

    • 非対称キーと HMAC キーの場合は、キーマテリアルのインポートを選択します。

    • 対称暗号化キーの場合は、次のいずれかを選択します。

      • 初期キーマテリアルをインポートする (キーマテリアルがまだインポートされていない場合)

      • 新しいキーマテリアルをインポートする (ローテーション用の新しいマテリアルを追加するには)

      • キーマテリアルを再インポートする (キーマテリアルテーブルのアクションメニューから使用可能)

    注記

    マルチリージョンキーの場合、まず新しいキーマテリアルをプライマリリージョンキーにインポートする必要があります。次に、同じキーマテリアルを各レプリカリージョンキーにインポートします。

    プライマリマルチリージョンキーの場合、キーマテリアルテーブルには、すべてのレプリカリージョン (「0 of 3 imported」など) のインポートステータスを表示するレプリカのインポート状態列が含まれます。レプリカのインポート状態値を選択して、各レプリカリージョンのインポートステータスを示すモーダルを開きます。モーダルは、新しいキーマテリアルがインポートされていないレプリカリージョンのキーマテリアルのインポートリンクを提供します。

  9. キーマテリアルをダウンロードし、トークンをインポートし、キーマテリアルを暗号化した場合は、[次へ] を選択します。

    注記

    マルチリージョンキーの場合、まず新しいキーマテリアルをプライマリリージョンキーにインポートする必要があります。その後、レプリカリージョンキーに同じキーマテリアルをインポートできます。

  10. [暗号化されたキーマテリアルとインポートトークン] セクションで、次の操作を行います。

    1. [ラップされたキーマテリアル] で、[ファイルを選択] を選択します。次に、ラップされた (暗号化された) キーマテリアルを含むファイルをアップロードします。

    2. [トークンのインポート] で、[ファイルを選択] を選択します。ダウンロードしたインポートトークンを含むファイルをアップロードします。

  11. [有効期限オプション] セクションで、キーマテリアルの有効期限が切れているかどうかを判断します。有効期限の日時を設定するには、[キーマテリアルの有効期限] を選択し、カレンダーを使用して日付と時刻を選択します。現在の日付から 365 日後を上限として、日付を指定できます。

  12. 対称暗号化キーの場合、インポートするキーマテリアルの説明を指定できます (オプション)。

  13. [キーマテリアルのインポート] を選択します。

キーマテリアルのインポート (AWS KMS API)

キーマテリアルをインポートするには、ImportKeyMaterial オペレーションを使用します。次の例では AWS CLI を使用しますが、サポートされているすべてのプログラミング言語を使用できます。

この例を使用するには:

  1. 1234abcd-12ab-34cd-56ef-1234567890ab を、公開キーとインポートトークンをダウンロードしたときに指定した KMS キーのキー ID と置き換えます。KMS キーを識別するには、そのキー ID またはキー ARN を使用します。このオペレーションにエイリアス名エイリアス ARN を使用することはできません。

  2. EncryptedKeyMaterial.bin を、暗号化されたキーマテリアルを含むファイル名に置き換えます。

  3. ImportToken.bin を、インポートトークンを含むファイル名に置き換えます。

  4. インポートしたキーマテリアルを有効期限切れにする場合は、expiration-model パラメータの値をデフォルトの KEY_MATERIAL_EXPIRES に変更するか、expiration-model パラメータを省略します。次に valid-to パラメータの値を、キーマテリアルを有効期限切れにする日時に置き換えます。リクエストの時点から 365 日後までの日時を設定できます。

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00

    インポートしたキーマテリアルを有効期限切れにしたくない場合は、expiration-model パラメータを KEY_MATERIAL_DOES_NOT_EXPIRE に設定し、コマンドの valid-to パラメータを省略します。

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE

  5. 以前 KMS キーに関連付けられていない新しいキーマテリアルをインポートする場合は、 ImportType パラメータを NEW_KEY_MATERIAL に設定します。このオプションは、対称暗号化キーでのみ使用できます。これらのキーについては、次のコマンドライン例に示すように、オプションの KeyMaterialDescription パラメータを使用して、インポートされたキーマテリアルの説明を設定することもできます。

    $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
    --import-token fileb://ImportToken.bin \
    --expiration-model KEY_MATERIAL_EXPIRES \
    --valid-to 2023-06-17T12:00:00-08:00 \
    --import-type NEW_KEY_MATERIAL \
    --key-material-description "Q2 2025 Rotation"

  6. マルチリージョンキーの場合、キーマテリアルの説明はプライマリリージョンキーでのみ設定または変更できます。 は、キーマテリアルの説明をレプリカリージョンキー AWS KMS に自動的に伝達します。

ヒント

コマンドが成功しない場合は、KMSInvalidStateException または NotFoundException が表示されることがあります。リクエストは再試行できます。