翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS CloudHSM キーストア
AWS CloudHSM キーストアは、[AWS CloudHSM クラスター](https://docs.aws.amazon.com/cloudhsm/latest/userguide/)によってバックアップされた[カスタムキーストア](key-store-overview.md#custom-key-store-overview)です。カスタムキーストア AWS KMS key で を作成すると、 は、ユーザーが所有および管理する AWS CloudHSM クラスターに KMS キーの抽出不可能なキーマテリアル AWS KMS を生成して保存します。カスタムキーストアで KMS キーを使用する際、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)はクラスター内の HSM で実行されます。この機能は、 の利便性と広範な統合 AWS KMS と、 内の AWS CloudHSM クラスターの追加コントロールを組み合わせたものです AWS アカウント。
AWS KMS は、カスタムキーストアを作成、使用、管理するためのコンソールと API の完全なサポートを提供します。任意の KMS キーを使用するのと同じ方法で、カスタムキーストア内の KMS キーを使用できます。例えば、KMS キーを使用して、データキーの生成やデータの暗号化を実行できます。カスタマーマネージドキーをサポートする AWS サービスで、カスタムキーストアの KMS キーを使用することもできます。
**カスタムキーストアは必要ですか?**
ほとんどのユーザーにとって、[FIPS 140-3 検証済み暗号化モジュール](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)で保護されているデフォルトの AWS KMS キーストアは、セキュリティ要件を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。
ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。
+ 単一テナント HSM または直接制御できる HSM における保護が明示的に要求されているキーがある。
+ キーマテリアルをすぐに削除する機能が必要です AWS KMS。
+ または とは独立して、キーのすべての使用を監査できる必要があります AWS KMS AWS CloudTrail。
**カスタムキーストアはどのように機能しますか?**
各カスタムキーストアは、 の AWS CloudHSM クラスターに関連付けられます AWS アカウント。カスタムキーストアをクラスターに接続すると、 は接続をサポートするネットワークインフラストラクチャ AWS KMS を作成します。次に、クラスター内の[専用暗号化ユーザーの](#concept-kmsuser)認証情報を使用して、クラスター内のキー AWS CloudHSM クライアントにログインします。
でカスタムキーストアを作成および管理 AWS KMS し、 で HSM クラスターを作成および管理します AWS CloudHSM。 AWS KMS カスタムキーストア AWS KMS keys で を作成するときは、 で KMS キーを表示および管理します AWS KMS。ただし、クラスターの他のキーに実行するのと同じように、 AWS CloudHSMでキーマテリアルを表示して管理することもできます。
![\[カスタムキーストアで KMS キーを管理する\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/kms-hsm-view.png)
カスタム[キーストアで によって生成されたキーマテリアルを使用して、対称暗号化 KMS](create-cmk-keystore.md) キーを作成できます。 AWS KMS 次に、同じ手法を使用して、キーストアの KMS キーに使用するカスタムキー AWS KMS ストアの KMS キーを表示および管理します。IAM ポリシーとキーポリシーを使用してアクセスを制御したり、タグやエイリアスを作成したり、KMS キーを有効および無効にしたり、キーの削除をスケジューリングルしたりできます。[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)に KMS キーを使用し、 と統合する AWS サービスで使用できます AWS KMS。
さらに、HSMs の作成と削除、バックアップの管理など、 AWS CloudHSM クラスターを完全に制御できます。 AWS CloudHSM クライアントとサポートされているソフトウェアライブラリを使用して、KMS キーのキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間、 AWS KMS はそれにアクセスできず、ユーザーはカスタムキーストアの KMS キーを暗号化オペレーションに使用することはできません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。
**開始方法**
AWS CloudHSM キーストアを作成および管理するには、 AWS KMS および の機能を使用します AWS CloudHSM。
1. 開始します AWS CloudHSM。[アクティブな AWS CloudHSM クラスターを作成するか](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、 AWS KMSのクラスターで[専用 crypto user (CU) アカウント](#concept-kmsuser)を作成します。
1. で AWS KMS、選択した AWS CloudHSM クラスターに関連付けられた[カスタムキーストアを作成します](create-keystore.md)。 は、カスタムキーストアを作成、表示、編集、削除できる完全な管理インターフェイス AWS KMS を提供します。
1. カスタムキーストアを使用する準備ができたら、[関連付けられた AWS CloudHSM クラスターに接続します](connect-keystore.md)。 は、接続をサポートするために必要なネットワークインフラストラクチャ AWS KMS を作成します。次に、専用 crypto user アカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。
1. これで、[カスタムキーストアで対称暗号化 KMS キーを作成](create-cmk-keystore.md)できるようになりました。カスタムキーストアを指定するだけで、KMS キーを作成できます。
どの時点で問題が発生しても、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、または [AWS Key Management Service ディスカッションフォーラム](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service)に質問を投稿してください。
**クォータ**
AWS KMS では、接続状態に関係なく、[キーストアと外部キーストアの両方を含む、各 およびリージョンに最大 10 個のカスタム](resource-limits.md)[キーストア](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)を使用できます。 AWS アカウント [AWS CloudHSM](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html)さらに、 [キーストアでの KMS AWS CloudHSM キーの使用](requests-per-second.md#rps-key-stores)にはリクエストクォータがあります AWS KMS 。
**料金**
AWS KMS カスタムキーストアのカスタムキーストアとカスタマーマネージドキーのコストについては、「 の[AWS Key Management Service 料金](https://aws.amazon.com/kms/pricing/)」を参照してください。 AWS CloudHSM クラスターと HSMs」を参照してください。 [AWS CloudHSM](https://aws.amazon.com/cloudhsm/pricing/)
**リージョン**
AWS KMS AWS リージョン AWS KMS は、アジアパシフィック (メルボルン)、中国 (北京)、中国 (寧夏)、欧州 (スペイン) を除く、 がサポートされているすべての で AWS CloudHSM キーストアをサポートしています。
**サポートされていない機能**
AWS KMS は、カスタムキーストアで以下の機能をサポートしていません。
+ [非対称 KMS キー](symmetric-asymmetric.md)
+ [HMAC KMS キー](hmac.md)
+ [インポートされたキーマテリアルを持つ KMS キー](importing-keys.md)
+ [自動キーローテーション](rotate-keys.md)
+ [マルチリージョンキー](multi-region-keys-overview.md)
## AWS CloudHSM キーストアの概念
このトピックでは、 AWS CloudHSM キーストアで使用される用語と概念の一部について説明します。
### AWS CloudHSM キーストア
*AWS CloudHSM キーストア*は、所有および管理する AWS CloudHSM クラスターに関連付けられた[カスタムキーストア](key-store-overview.md#custom-key-store-overview)です。 AWS CloudHSM クラスターは、[FIPS 140-2 または FIPS 140-3Level 3 ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html)で認定されたハードウェアセキュリティモジュール (HSMs) によってバックアップされます。
AWS CloudHSM キーストアで KMS キーを作成すると、 は関連する AWS CloudHSM クラスターに 256 ビットの永続的でエクスポート不可能な Advanced Encryption Standard (AES) 対称キー AWS KMS を生成します。このキーマテリアルは、HSM を非暗号化のままにしません。キーストアで KMS AWS CloudHSM キーを使用すると、暗号化オペレーションはクラスター内の HSMsで実行されます。
AWS CloudHSM キーストアは、 の便利で包括的なキー管理インターフェイス AWS KMS と、 の AWS CloudHSM クラスターによって提供される追加のコントロールを組み合わせます AWS アカウント。この統合機能により、クラスター、HSM、バックアップの管理など、キーマテリアルを保存する HSMs を完全に制御 AWS KMS しながら、 で HSMsキーを作成、管理、使用できます。 AWS KMS コンソールと APIs を使用して、キーストアとその KMS キーを管理 AWS CloudHSM できます。 AWS CloudHSM コンソール、APIs、クライアントソフトウェア、および関連するソフトウェアライブラリを使用して、関連するクラスターを管理することもできます。
AWS CloudHSM キーストア[の表示と管理](view-keystore.md)、[プロパティの編集](update-keystore.md)、関連する AWS CloudHSM クラスター[への接続](connect-keystore.md)と[切断](disconnect-keystore.md)を行うことができます。[キーストアを削除する必要がある場合は AWS CloudHSM](delete-keystore.md#delete-keystore-console)、まず AWS CloudHSM キーストア内の KMS キーを削除する必要があります。削除をスケジュールし、猶予期間が終了するまで待機します。キーストアを削除する AWS CloudHSM と、 からリソースが削除されますが AWS KMS、クラスターには影響 AWS CloudHSM しません。
### AWS CloudHSM クラスター
すべての AWS CloudHSM キーストアは 1 つの*AWS CloudHSM クラスター*に関連付けられています。 AWS CloudHSM キーストア AWS KMS key で を作成すると、 AWS KMS は関連するクラスターにキーマテリアルを作成します。 AWS CloudHSM キーストアで KMS キーを使用すると、関連付けられたクラスターで、暗号化オペレーションが実行されます。
各 AWS CloudHSM クラスターは、1 つの AWS CloudHSM キーストアにのみ関連付けることができます。選択したクラスターを別の AWS CloudHSM キーストアに関連付けることも、別の AWS CloudHSM キーストアに関連付けられているクラスターとバックアップ履歴を共有することもできません。クラスターは初期化されアクティブである必要があります。また、キーストアと同じ AWS アカウント およびリージョン AWS CloudHSM にある必要があります。新しいクラスターを作成することも、既存のクラスターを使用することもできます。クラスターを排他的に使用する AWS KMS 必要はありません。 AWS CloudHSM キーストアで KMS キーを作成するには、関連付けられたクラスターに少なくとも 2 つのアクティブな HSMsが含まれている必要があります。他のすべてのオペレーションでは、1 つの HSM しか必要ありません。
AWS CloudHSM キーストアの作成時に AWS CloudHSM クラスターを指定し、変更することはできません。ただし、バックアップ履歴を共有するクラスターは、元のクラスターに置き換えることができます。これにより、必要に応じてクラスターを削除し、バックアップの 1 つから作成したクラスターに置き換えることができます。関連する AWS CloudHSM クラスターを完全に制御することにより、ユーザーとキーを管理し、HSM を作成および削除して、バックアップを使用および管理できます。
AWS CloudHSM キーストアを使用する準備ができたら、関連する AWS CloudHSM クラスターに接続します。いつでもカスタムキーストアを接続および切断できます。カスタムキーストアが接続されている場合は、その KMS キーを作成して使用できます。切断されると、 AWS CloudHSM キーストアとその KMS キーを表示および管理できます。ただし、新しい KMS キーを作成したり、キーストアの KMS AWS CloudHSM キーを暗号化オペレーションに使用することはできません。
### `kmsuser` Crypto User
ユーザーに代わって、関連付けられた AWS CloudHSM クラスターでキーマテリアルを作成および管理するために、 は という名前のクラスターで専用の*AWS CloudHSM [暗号化ユーザー](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) (CU)* AWS KMS を使用します`kmsuser`。`kmsuser` CU は、クラスター内のすべての HSM に自動的に同期された標準の CU アカウントで、クラスターバッグに保存されます。
AWS CloudHSM キーストアを作成する前に、CloudHSM CLI [`kmsuser` のユーザー作成コマンドを使用してクラスターに CU アカウントを作成します](create-keystore.md#before-keystore)。 AWS CloudHSM [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html)次に[、 AWS CloudHSM キーストアを作成する](create-keystore.md)ときに、`kmsuser`アカウントのパスワードを指定します AWS KMS。[カスタムキーストアを接続する](connect-keystore.md)と、 は CU `kmsuser` としてクラスター AWS KMS にログインし、パスワードをローテーションします。 は`kmsuser`パスワードを安全に保存する前に AWS KMS 暗号化します。パスワードがローテーションされる際、新しいパスワードは同じ方法で暗号化されて保存されます。
AWS KMS AWS CloudHSM キーストアが接続され`kmsuser`ている限り、 はログインしたままになります。この CU アカウントは他の目的では使用しないでください。ただし、`kmsuser` CU アカウントの最終的な制御は保持されます。`kmsuser` が所有する[キーはいつでも検索することができます](find-key-material.md)。必要に応じて、[カスタムキーストアの切断](disconnect-keystore.md)、`kmsuser` パスワードの変更、[ としてのクラスターへログイン`kmsuser`](fix-keystore.md#fix-login-as-kmsuser)、`kmsuser` が所有するキーの表示と管理を行うことができます。
`kmsuser` CU アカウントの作成手順については、「[`kmsuser` Crypto User を作成する](create-keystore.md#before-keystore)」を参照してください。
### キーストアの KMS AWS CloudHSM キー
AWS KMS または AWS KMS API を使用して、 AWS CloudHSM キーストア AWS KMS keys に を作成できます。KMS キーで使用するのと同じ方法を使用します。唯一の違いは、 AWS CloudHSM キーストアを識別し、キーマテリアルのオリジンが AWS CloudHSM クラスターであることを指定する必要があることです。
[AWS CloudHSM キーストアに KMS キーを作成する](create-cmk-keystore.md) AWS KMS と、 は に KMS キー AWS KMS を作成し、関連付けられたクラスターに 256 ビットの永続的でエクスポート不可能な Advanced Encryption Standard (AES) 対称キーマテリアルを生成します。暗号化オペレーションで AWS KMS キーを使用する場合、オペレーションは AWS CloudHSM クラスターベースの AES キーを使用してクラスターで実行されます。は異なるタイプの対称キーと非対称キー AWS CloudHSM をサポートしていますが、 AWS CloudHSM キーストアは AES 対称暗号化キーのみをサポートします。
AWS KMS コンソールの AWS CloudHSM キーストアで KMS キーを表示し、コンソールオプションを使用してカスタムキーストア ID を表示できます。[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用して、 AWS CloudHSM キーストア ID と AWS CloudHSM クラスター ID を検索することもできます。
キーストアの KMS AWS CloudHSM キーは、 の KMS キーと同様に機能します AWS KMS。認可されたユーザーは、KMS キーの使用と管理のために同じアクセス許可が必要です。同じコンソールプロシージャと API オペレーションを使用して、 キーストアの KMS AWS CloudHSM キーを表示および管理します。これには、KMS キーの有効化と無効化、タグとエイリアスの作成と使用、IAM ポリシーとキーポリシーの設定と変更が含まれます。暗号化オペレーションには AWS CloudHSM キーストアの KMS キーを使用し、カスタマーマネージドキーの使用をサポートする[統合 AWS サービス](service-integration.md)で使用できます。ただし、[自動キーローテーション](rotate-keys.md)を有効にしたり、キーストアの KMS キーに AWS CloudHSM キー[マテリアルをインポート](importing-keys.md)したりすることはできません。
また、同じプロセスを使用して、 キーストア内の KMS AWS CloudHSM キー[の削除をスケジュール](deleting-keys.md#delete-cmk-keystore)します。待機期間が終了すると、 AWS KMS は KMS キーを KMS から削除します。次に、関連付けられた AWS CloudHSM クラスターから KMS キーのキーマテリアルを削除するよう最善を尽くします。ただし、クラスターとそのバックアップから、手動で[孤立したキーマテリアルを削除する](fix-keystore.md#fix-keystore-orphaned-key)必要があります。
# AWS CloudHSM キーストアへのアクセスを制御する
IAM ポリシーを使用して、 AWS CloudHSM キーストアと AWS CloudHSM クラスターへのアクセスを制御します。キーポリシー、IAM ポリシー、権限を使用して、 AWS CloudHSM キーストア AWS KMS keys 内の へのアクセスを制御できます。ユーザー、グループ、およびロールには、実行する可能性が高いタスクに必要なアクセス許可のみを与えることをお勧めします。
AWS CloudHSM キーストアをサポートするために、 にはクラスターに関する情報 AWS CloudHSM を取得するためのアクセス許可 AWS KMS が必要です。また、キーストアを AWS CloudHSM クラスターに接続する AWS CloudHSM ネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。詳細については、「[AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する](authorize-kms.md)」を参照してください。
AWS CloudHSM キーストアを設計するときは、キーストアを使用および管理しているプリンシパルに必要なアクセス許可のみがあることを確認してください。次のリストは、 AWS CloudHSM キーストアマネージャーとユーザーに最低限必要なアクセス許可を示しています。
+ AWS CloudHSM キーストアを作成および管理するプリンシパルには、 AWS CloudHSM キーストア API オペレーションを使用するための次のアクセス許可が必要です。
+ `cloudhsm:DescribeClusters`
+ `kms:CreateCustomKeyStore`
+ `kms:ConnectCustomKeyStore`
+ `kms:DeleteCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `iam:CreateServiceLinkedRole`
+ キーストアに関連付けられている AWS CloudHSM AWS CloudHSM クラスターを作成および管理するプリンシパルには、 AWS CloudHSM クラスターを作成および初期化するためのアクセス許可が必要です。これには、仮想プライベートクラウド (VPC) の作成または使用、サブネットの作成、Amazon EC2 インスタンスの作成権限が含まれます。また、HSM の作成と削除、およびバックアップの管理が必要な場合もあります。必要なアクセス許可のリストについては、「AWS CloudHSM ユーザーガイド」の「[Identity and access management for AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html)」を参照してください。
+ AWS CloudHSM キーストア AWS KMS keys で を作成および管理するプリンシパルには、 で KMS キーを作成および管理するプリンシパルと同じ[アクセス許可](create-keys.md#create-key-permissions)が必要です AWS KMS。[キーストアの KMS キーのデフォルトキーポリシー](key-policy-default.md)は、 の KMS キーのデフォルトキーポリシーと同じです AWS KMS。 AWS CloudHSM タグとエイリアスを使用して KMS キーへのアクセスを制御する[属性ベースのアクセスコントロール](abac.md) (ABAC) は、 AWS CloudHSM キーストアの KMS キーでも有効です。
+ [暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)に AWS CloudHSM キーストアの KMS キーを使用するプリンシパルには、[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) などの KMS キーを使用して暗号化オペレーションを実行するアクセス許可が必要です。これらのアクセス許可は、キーポリシー、IAM ポリシーで付与できます。ただし、 AWS CloudHSM キーストアで KMS キーを使用するための追加のアクセス許可は必要ありません。
# AWS CloudHSM キーストアを作成する
アカウントに 1 つまたは複数の AWS CloudHSM キーストアを作成できます。各 AWS CloudHSM キーストアは、同じ AWS アカウント およびリージョン内の 1 つの AWS CloudHSM クラスターに関連付けられます。 AWS CloudHSM キーストアを作成するときは、事前に[前提条件を構成する](#before-keystore)必要があります。次に、 AWS CloudHSM キーストアを使用する前に、そのキーストアを AWS CloudHSM クラスター[に接続](connect-keystore.md)する必要があります。
**注意事項**
KMS は IPv6 経由で AWS CloudHSM キーストアと通信できません。
既存の*切断* AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて含むキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成せず、例外をスローしたり、エラーを表示したりしません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。
AWS CloudHSM キーストアをすぐに接続する必要はありません。使用する準備ができるまで切断された状態にしておくことができます。ただし、正しく設定されていることを確認するために、[接続](connect-keystore.md)して、[接続状態を表示](view-keystore.md)してから、[切断](disconnect-keystore.md)するとよいかも知れません。
**Topics**
+ [前提条件を構成する](#before-keystore)
+ [新しい AWS CloudHSM キーストアを作成する](#create-hsm-keystore)
## 前提条件を構成する
各 AWS CloudHSM キーストアは AWS CloudHSM クラスターによってバックアップされます。 AWS CloudHSM キーストアを作成するには、別のキーストアにまだ関連付けられていないアクティブな AWS CloudHSM クラスターを指定する必要があります。また、 を使用してユーザーに代わってキーを作成および管理 AWS KMS できるクラスターの HSMs に、専用の暗号化ユーザー (CU) を作成する必要があります。
AWS CloudHSM キーストアを作成する前に、次の操作を行います。
** AWS CloudHSM クラスターを選択する**
すべての AWS CloudHSM キーストアは[、1 つの AWS CloudHSM クラスターにのみ関連付け](keystore-cloudhsm.md#concept-cluster)られます。 AWS CloudHSM キーストア AWS KMS keys で を作成すると、 は ID や Amazon リソースネーム (ARN) などの KMS キーメタデータ AWS KMS を作成します AWS KMS。その後で、関連付けられたクラスターの HSM でキーマテリアルを作成します。[新しいクラスターを作成する AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)ことも、既存のクラスターを使用することもできます。クラスターへの排他的アクセス AWS KMS は必要ありません。
選択した AWS CloudHSM クラスターは、 AWS CloudHSM キーストアに永続的に関連付けられます。 AWS CloudHSM キーストアを作成したら、関連付けられた[クラスターのクラスター ID を変更できます](update-keystore.md)が、指定するクラスターはバックアップ履歴を元のクラスターと共有する必要があります。無関係なクラスターを使用するには、新しい AWS CloudHSM キーストアを作成する必要があります。
選択する AWS CloudHSM クラスターには、次の特性が必要です。
+ **クラスターがアクティブである必要があります**。
クラスターを作成して初期化し、プラットフォーム用の AWS CloudHSM クライアントソフトウェアをインストールしてから、クラスターをアクティブ化する必要があります。手順については、「AWS CloudHSM ユーザーガイド」の「[Getting started with AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)」を参照してください。
+ **相互 TLS (mTLS) が有効化されていません。**
KMS はクラスターに対する mTLS をサポートしません。この設定は有効にしないでください。
+ **クラスターは、キーストアと同じアカウントとリージョンに存在する必要があります**。 AWS CloudHSM あるリージョンの AWS CloudHSM キーストアを別のリージョンのクラスターに関連付けることはできません。複数のリージョンにキーインフラストラクチャを作成するには、各リージョンに AWS CloudHSM キーストアとクラスターを作成する必要があります。
+ **クラスターを同じアカウントおよびリージョン内の別のカスタムキーストアに関連付ける**ことはできません。アカウントとリージョンの各 AWS CloudHSM キーストアは、異なる AWS CloudHSM クラスターに関連付ける必要があります。カスタムキーストアに関連付け済みのクラスターまたは関連付け済みのクラスターとバックアップ履歴を共有するクラスターを指定することはできません。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 AWS CloudHSM コンソールまたは [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。
[AWS CloudHSM クラスターを別のリージョンにバックアップ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html)する場合、そのクラスターは別のクラスターと見なされ、そのリージョン内のカスタムキーストアにバックアップを関連付けることができます。ただし、2 つのカスタムキーストアの KMS キーは、同じバッキングキーがあっても相互運用できません。 はメタデータを暗号文に AWS KMS バインドするため、暗号化した KMS キーでのみ復号できます。
+ クラスターは、リージョンの **2 つ以上のアベイラビリティーゾーン**で[プライベートサブネット](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html)を使用して設定する必要があります。 AWS CloudHSM はすべてのアベイラビリティーゾーンでサポートされていないため、リージョン内のすべてのアベイラビリティーゾーンにプライベートサブネットを作成することをお勧めします。既存のクラスターのサブネットを再構成することはできませんが、クラスター構成の異なるサブネットを持つ[バックアップからクラスターを作成](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)することはできます。
**重要**
AWS CloudHSM キーストアを作成したら、その AWS CloudHSM クラスター用に設定されたプライベートサブネットを削除しないでください。がクラスター設定内のすべてのサブネットを見つける AWS KMS ことができない場合、[カスタムキーストアへの接続](connect-keystore.md)の試行は`SUBNET_NOT_FOUND`接続エラー状態で失敗します。詳細については、「[接続障害の修復方法](fix-keystore.md#fix-keystore-failed)」を参照してください。
+ [クラスターのセキュリティグループ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster--sg`) には、ポート 2223~2225 で IPv4 経由の TCP トラフィックを許可するインバウンドルールとアウトバウンドルールを含める必要があります。インバウンドルールの **Source** とアウトバウンドルールの **Destination** は、セキュリティグループ ID と一致している必要があります。これらのルールは、クラスターの作成時にデフォルトで設定されます。変更または削除しないでください。
+ **クラスターは、異なるアベイラビリティーゾーンの少なくとも 2 つのアクティブな HSM** を含む必要があります。HSMs の数を確認するには、 AWS CloudHSM コンソールまたは [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。必要に応じて、[HSM を追加](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm)できます。
**信頼アンカー証明書を見つける**
カスタムキーストアを作成するときは、 AWS CloudHSM クラスターのトラストアンカー証明書を にアップロードする必要があります AWS KMS。 は AWS CloudHSM 、キーストアを関連する AWS CloudHSM クラスターに接続するためにトラストアンカー証明書 AWS KMS を必要とします。
すべてのアクティブな AWS CloudHSM クラスターには*トラストアンカー証明書*があります。[クラスターを初期化](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)する際、この証明書を生成し、`customerCA.crt` ファイルに保存して、クラスターに接続するホストにコピーしてください。
**の`kmsuser`暗号化ユーザーを作成する AWS KMS**
AWS CloudHSM キーストアを管理するには、選択したクラスターの [`kmsuser` Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) アカウント AWS KMS にログインします。 AWS CloudHSM キーストアを作成する前に、CU `kmsuser` を作成する必要があります。次に、 AWS CloudHSM キーストアを作成するときに、 のパスワードを `kmsuser` に提供します AWS KMS。 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続するたびに、 は として AWS KMS ログイン`kmsuser`し、`kmsuser`パスワードをローテーションします。
`kmsuser` CU を作成するとき、`2FA` オプションを指定しないでください。その場合、 AWS KMS はログインできず、 AWS CloudHSM キーストアはこの AWS CloudHSM クラスターに接続できません。2FA を指定すると、元に戻すことはできません。代わりに、CU を削除して再作成する必要があります。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
1. 「*AWS CloudHSM ユーザーガイド*」の「[CloudHSM コマンドラインインターフェイス (CLI) の使用開始](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html)」トピックに記載されている使用開始手順に従ってください。
1. [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) コマンドを使用して、`kmsuser` という名前の CU を作成します。
パスワードは 7〜32 の英数字で構成する必要があります。大文字と小文字が区別され、特殊文字を含めることはできません。
次のコマンド例では、`kmsuser` CU を作成します。
```
aws-cloudhsm > user create --username kmsuser --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
## 新しい AWS CloudHSM キーストアを作成する
[前提条件を組み立て](#before-keystore)た後、 AWS KMS コンソールで、または [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) オペレーションを使用して、新しい AWS CloudHSM キーストアを作成できます。
### AWS KMS コンソールの使用
で AWS CloudHSM キーストアを作成するときに AWS マネジメントコンソール、ワークフローの一部として[前提条件](#before-keystore)を追加および作成できます。ただし、プロセスは事前に構成しておくとより迅速になります。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。
1. **[キーストアの作成]** を選択します。
1. カスタムキーストアのわかりやすい名前を入力します。名前は、アカウント内のすべてのカスタムキーストアの間で、一意でなければなりません。
**重要**
このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
1. AWS CloudHSM キーストアの [AWS CloudHSM クラスター](keystore-cloudhsm.md#concept-cluster)を選択します。または、新しい AWS CloudHSM クラスターを作成するには、**クラスターの作成 AWS CloudHSM **リンクを選択します。
メニューには、 AWS CloudHSM キーストアにまだ関連付けられていないアカウントとリージョンの AWS CloudHSM クラスターが表示されます。クラスターは、カスタムキーストアとの関連付けの[要件を満たす](#before-keystore)必要があります。
1. **ファイルの選択**を選択し、選択した AWS CloudHSM クラスターのトラストアンカー証明書をアップロードします。これは、[クラスターを初期化する](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)際に作成した `customerCA.crt` ファイルです。
1. 選択したクラスターで作成した [`kmsuser` Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) のパスワードを入力します。
1. **[作成]** を選択します。
プロシージャが成功すると、新しい AWS CloudHSM キーストアがアカウントとリージョンの AWS CloudHSM キーストアのリストに表示されます。正常に完了しなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。
既存の*切断* AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて含むキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成しません。また、例外をスローしたり、エラーを表示したりしません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。
**次へ**: 新しい AWS CloudHSM キーストアは自動的に接続されません。 AWS CloudHSM キーストア AWS KMS keys で を作成する前に、[カスタムキーストアを関連するクラスターに接続](connect-keystore.md)する必要があります。 AWS CloudHSM
### AWS KMS API の使用
[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) オペレーションを使用して、アカウントとリージョンの AWS CloudHSM クラスターに関連付けられた新しい AWS CloudHSM キーストアを作成できます。これらの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用できます。
`CreateCustomKeyStore` オペレーションでは、次のパラメータ値が必要です。
+ CustomKeystorename — アカウント内で一意のカスタムキーストアのフレンドリ名。
**重要**
このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
+ CloudHsmClusterId – AWS CloudHSM キーストア[の要件を満たす](#before-keystore) AWS CloudHSM クラスターのクラスター ID。
+ KeyStorePassword — 指定したクラスター内の `kmsuser` CU アカウントのパスワード。
+ TrustAnchorCertificate — [クラスターを初期化した](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html)際に作成した `customerCA.crt` ファイルの内容。
次の例では、架空のクラスター ID を使用します。コマンドを実行する前に、有効なクラスター ID と置き換えます。
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleCloudHSMKeyStore \
--cloud-hsm-cluster-id cluster-1a23b4cdefg \
--key-store-password kmsPswd \
--trust-anchor-certificate
```
を使用している場合は AWS CLI、その内容の代わりにトラストアンカー証明書ファイルを指定できます。次の例では、`customerCA.crt` ファイルはルートディレクトリにあります。
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleCloudHSMKeyStore \
--cloud-hsm-cluster-id cluster-1a23b4cdefg \
--key-store-password kmsPswd \
--trust-anchor-certificate file://customerCA.crt
```
オペレーションが正常に終了したら、次のレスポンス例に示すように、`CreateCustomKeyStore` はカスタムキーストア ID を返します。
```
{
"CustomKeyStoreId": cks-1234567890abcdef0
}
```
オペレーションが失敗した場合は、例外で示されているエラーを修正して、もう一度試してください。その他のヘルプについては、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。
既存の*切断* AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて含むキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成せず、例外をスローしたり、エラーを表示したりしません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。
**次**へ: AWS CloudHSM キーストアを使用するには、[そのキーストアを AWS CloudHSM クラスターに接続します](connect-keystore.md)。
# AWS CloudHSM キーストアを表示する
AWS KMS コンソールまたは [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用して、各アカウントとリージョンの AWS CloudHSM キーストアを表示できます。
## AWS KMS コンソールの使用
で AWS CloudHSM キーストアを表示すると AWS マネジメントコンソール、以下が表示されます。
+ カスタムキーストアの名前と ID
+ 関連付けられた AWS CloudHSM クラスターの ID
+ クラスター内の HSM の数
+ 現在の接続ステータス
**Disconnected** の接続状態 (**ステータス**) 値は、カスタムキーストアが新しく、接続されていないか、[AWS CloudHSM クラスターから意図的に切断](disconnect-keystore.md)されたことを示します。ただし、接続されたカスタムキーストアで KMS キーを使用しようとしても失敗した場合、カスタムキーストアまたはその AWS CloudHSM クラスターに問題がある可能性があります。ヘルプについては、「[失敗した KMS キーを修正するには](fix-keystore.md#fix-cmk-failed)」を参照してください。
特定のアカウントとリージョンの AWS CloudHSM キーストアを表示するには、次の手順を使用します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。
表示をカスタマイズするには、[**Create key store (キーストアを作成)**] ボタンの下に表示される歯車アイコンをクリックします。
## AWS KMS API の使用
AWS CloudHSM キーストアを表示するには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、`CustomKeyStoreId` または `CustomKeyStoreName` パラメータのどちらかを使用して (両方は使用できません) 出力を特定のカスタムキーストアに制限できます。 AWS CloudHSM キーストアの場合、出力はカスタムキーストア ID と名前、カスタムキーストアタイプ、関連付けられた AWS CloudHSM クラスターの ID、および接続状態で構成されます。接続状態はエラーを示す場合、出力にエラーの理由を説明するエラーコードも含まれています。
このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。
たとえば、次のコマンドは、アカウントとリージョンのすべてのカスタムキーストアを返します。`Limit` パラメータと `Marker` パラメータを使用して、出力のカスタムキーストアをページ分割できます。
```
$ aws kms describe-custom-key-stores
```
次のコマンド例では、`CustomKeyStoreName` パラメータを使用して `ExampleCloudHSMKeyStore` というフレンドリ名の唯一のカスタムキーストアを取得します。各コマンドで `CustomKeyStoreName` パラメータまたは `CustomKeyStoreId` パラメータのどちらかを使用できますが、両方を使用することはできません。
次の出力例は、クラスター AWS CloudHSM に接続されている AWS CloudHSM キーストアを表します。
**注記**
キーストアと外部 AWS CloudHSM キーストアを区別するために、 `CustomKeyStoreType`フィールドが`DescribeCustomKeyStores`レスポンスに追加されました。
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
"CustomKeyStores": [
{
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "CONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
}
]
}
```
`ConnectionState` の `Disconnected`は、カスタムキーストアが接続されたことがないか、[AWS CloudHSM クラスターから意図的に切断](disconnect-keystore.md)されたことを示します。ただし、接続されたキーストアで KMS AWS CloudHSM キーを使用しようとしても失敗した場合、 AWS CloudHSM キーストアまたはその AWS CloudHSM クラスターに問題がある可能性があります。ヘルプについては、「[失敗した KMS キーを修正するには](fix-keystore.md#fix-cmk-failed)」を参照してください。
カスタムキーストアの `ConnectionState` が `FAILED` である場合、`DescribeCustomKeyStores` レスポンスには、エラーの理由を説明する `ConnectionErrorCode` 要素が含まれています。
たとえば、次の出力では、`INVALID_CREDENTIALS` 値は、[`kmsuser` パスワードが無効である](fix-keystore.md#fix-keystore-password)ために、カスタムキーストアの接続に失敗したことを示しています。このエラーやその他の接続エラーに関するヘルプについては、「」を参照してください [カスタムキーストアのトラブルシューティング](fix-keystore.md)。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
{
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS",
"ConnectionState": "FAILED",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"CreationDate": "1.499288695918E9",
"TrustAnchorCertificate": ""
}
]
}
```
**詳細はこちら:**
+ [外部キーストアを表示する](view-xks-keystore.md)
+ [キーストア内の KMS AWS CloudHSM キーを特定する](identify-key-types.md#identify-key-hsm-keystore)
+ [を使用した AWS KMS API コールのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)
# AWS CloudHSM キーストア設定の編集
既存の AWS CloudHSM キーストアの設定を変更できます。カスタムキーストアは AWS CloudHSM 、クラスターを切断する必要があります。
AWS CloudHSM キーストア設定を編集するには:
1. カスタムキーストアの AWS CloudHSM クラスターから、[カスタムキーストアを切断します](disconnect-keystore.md)。
カスタムキーストアが切断されている間は、カスタムキーストアに AWS KMS keys (KMS キー) を作成することはできません。また、カスタムキーストアに含まれる KMS キーを[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)に使用することはできません。
1. 1 つ以上の AWS CloudHSM キーストア設定を編集します。
カスタムキーストアで次の設定を編集できます。
カスタムキーストアのわかりやすい名前。
新しい分かりやすい名前を入力します。新しい名前は、 内のすべてのカスタムキーストア間で一意である必要があります AWS アカウント。
このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
関連付けられたクラスターの AWS CloudHSM クラスター ID。
この値を編集して、関連する AWS CloudHSM クラスターを元のクラスターに置き換えます。この機能を使用して、 AWS CloudHSM クラスターが破損または削除された場合にカスタムキーストアを修復できます。
バックアップ履歴を元の AWS CloudHSM クラスターと共有し、異なるアベイラビリティーゾーン内の 2 つのアクティブな HSMs を含むカスタムキーストアとの関連付け[の要件を満たす](create-keystore.md#before-keystore) クラスターを指定します。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。編集機能を使用してカスタムキーストアを無関係な AWS CloudHSM クラスターと関連付けることはできません。
[`kmsuser` Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) の現在のパスワード。
クラスター内の CU `kmsuser` の AWS KMS 現在のパスワードを指定します AWS CloudHSM 。このアクションは、 AWS CloudHSM クラスター内の CU `kmsuser` のパスワードを変更しません。
AWS CloudHSM クラスターで CU `kmsuser` のパスワードを変更する場合は、この機能を使用して新しい`kmsuser`パスワードを指示 AWS KMS します。それ以外の場合、 AWS KMS はクラスターにログインできず、カスタムキーストアをクラスターに接続しようとするすべての試行は失敗します。
1. [カスタムキーストアを AWS CloudHSM クラスターに再接続します](connect-keystore.md)。
## キーストア設定を編集する
AWS CloudHSM キーストアの設定は、 AWS KMS コンソールまたは [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) オペレーションを使用して編集できます。
### AWS KMS コンソールの使用
AWS CloudHSM キーストアを編集するときは、設定可能な値のいずれか または を変更できます。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。
1. 編集する AWS CloudHSM キーストアの行を選択します。
**[接続の状態]** 列の値が **[切断済み]** になっていない場合は、カスタムキーストアを切断してから編集する必要があります。(**[Key store actions]** (キーストアアクション) メニューから **[Disconnect]** (切断) を選択します)。
AWS CloudHSM キーストアが切断されている間は、 AWS CloudHSM キーストアとその KMS キーを管理できますが、 AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。
1. **[Key store actions]** (キーストアアクション) メニューから **[Edit]** (編集) を選択します。
1. 次のいずれかのアクションを実行します。
+ カスタムキーストアの新しいわかりやすい名前を入力します。
+ 関連するクラスターの AWS CloudHSM クラスター ID を入力します。
+ 関連付けられた AWS CloudHSM クラスター内の`kmsuser`暗号化ユーザーの現在のパスワードを入力します。
1. **[保存]** を選択します。
プロシージャが正常に完了すると、編集した設定を説明するメッセージが表示されます。正常に行われなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。
1. [カスタムキーストアを再接続します。](connect-keystore.md)
AWS CloudHSM キーストアを使用するには、編集後に再接続する必要があります。 AWS CloudHSM キーストアは切断されたままにすることができます。ただし、切断されている間は、 AWS CloudHSM キーストアで KMS キーを作成したり、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)で AWS CloudHSM キーストアで KMS キーを使用したりすることはできません。
### AWS KMS API の使用
AWS CloudHSM キーストアのプロパティを変更するには、[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) オペレーションを使用します。同じコマンドで、カスタムキーストアの複数のプロパティを変更できます。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。変更が有効になっていることを確認するには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。
このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。
まず、[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) を使用して[カスタムキーストアをクラスターから切断](disconnect-keystore.md)します。 AWS CloudHSM 例のカスタムキーストア ID cks-1234567890abcdef0 を実際の ID に置き換えます。
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
最初の例では、[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) を使用してキー AWS CloudHSM ストアのフレンドリ名を に変更します`DevelopmentKeys`。コマンドは `CustomKeyStoreId`パラメータを使用して AWS CloudHSM キーストアを識別し、 `CustomKeyStoreName`を使用してカスタムキーストアの新しい名前を指定します。
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```
次の の例では、 AWS CloudHSM キーストアに関連付けられているクラスターを、同じクラスターの別のバックアップに変更します。コマンドは `CustomKeyStoreId`パラメータを使用して AWS CloudHSM キーストアを識別し、 `CloudHsmClusterId`パラメータを使用して新しいクラスター ID を指定します。
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```
次の例では、現在の`kmsuser`パスワードが AWS KMS であることを示しています`ExamplePassword`。コマンドは `CustomKeyStoreId`パラメータを使用して AWS CloudHSM キーストアを識別し、 `KeyStorePassword`パラメータを使用して現在のパスワードを指定します。
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```
最後のコマンドは、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに再接続します。カスタムキーストアは切断された状態のままにできますが、新しい KMS キーを作成したり、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)で既存の KMS キーを使用したりする前に接続する必要があります。カスタムキーストア ID 例を実際の ID と置き換えます。
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
# AWS CloudHSM キーストアを接続する
新しい AWS CloudHSM キーストアは接続されていません。 AWS CloudHSM キーストア AWS KMS keys で を作成して使用する前に、関連する AWS CloudHSM クラスターに接続する必要があります。 AWS CloudHSM キーストアはいつでも接続および切断でき、[その接続状態を表示できます](view-keystore.md#view-keystore-console)。
AWS CloudHSM キーストアを接続する必要はありません。 AWS CloudHSM キーストアは無期限に切断状態のままにして、使用する必要がある場合にのみ接続できます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。
**注記**
AWS CloudHSM キーストアは、キーストアが接続されていないか、明示的に切断した場合にのみ接続`DISCONNECTED`状態になります。 AWS CloudHSM キーストアの接続状態が `CONNECTED`で、使用に問題がある場合は、関連付けられた AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSMs が含まれていることを確認してください。接続障害については、[カスタムキーストアのトラブルシューティング](fix-keystore.md) を参照してください。
AWS CloudHSM キーストアを接続すると、 は関連する AWS CloudHSM クラスター AWS KMS を見つけて接続し、[`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) として AWS CloudHSM クライアントにログインしてから、 AWS CloudHSM キーストアが接続されている限り AWS CloudHSM 、クライアントにログインした `kmsuser` password. AWS KMS remains をローテーションします。
接続を確立するために、 はクラスターの Virtual Private Cloud (VPC) `kms-`に という名前[のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) AWS KMS を作成します。セキュリティグループには、クラスターセキュリティグループからのインバウンドトラフィックを許可する単一のルールがあります。 は、クラスターのプライベートサブネットの各アベイラビリティーゾーンに [Elastic Network Interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) AWS KMS も作成します。 は、ENIs をクラスター`kms-`のセキュリティグループとセキュリティグループ AWS KMS に追加します。各 ENI の説明は `KMS managed ENI for cluster ` です。
接続プロセスは、完了するまでに長い時間 (最長 20 分) がかかる場合があります。
AWS CloudHSM キーストアを接続する前に、キーストアが要件を満たしていることを確認します。
+ 関連付けられた AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内の HSMs の数を確認するには、 AWS CloudHSM コンソールでクラスターを表示するか、[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。必要に応じて、[HSM を追加](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html)できます。
+ クラスターには [`kmsuser`Crypto User](create-keystore.md#kmsuser-concept) (CU) アカウントが必要ですが、 AWS CloudHSM キーストアを接続するときにその CU をクラスターにログインすることはできません。ログアウトのヘルプについては、「[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)」を参照してください。
+ AWS CloudHSM キーストアの接続状態を `DISCONNECTING`または にすることはできません`FAILED`。接続状態を表示するには、 AWS KMS コンソールまたは [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) レスポンスを使用します。接続ステータスが `FAILED` の場合、カスタムキーストアを切断し、問題を解決してから接続します。
接続障害については、[接続障害の修復方法](fix-keystore.md#fix-keystore-failed) を参照してください。
AWS CloudHSM キーストアが接続されたら、[そこに KMS キーを作成し](create-cmk-keystore.md)、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)で既存の KMS キーを使用できます。
## AWS CloudHSM キーストアに接続して再接続する
AWS CloudHSM キーストアは、 AWS KMS コンソールで、または [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) オペレーションを使用して接続または再接続できます。
### AWS KMS コンソールの使用
で AWS CloudHSM キーストアを接続するには AWS マネジメントコンソール、カスタム AWS CloudHSM キーストアページから**キーストア**を選択します。この接続処理には、完了までに最大で 20 分かかります。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。
1. 接続する AWS CloudHSM キーストアの行を選択します。
AWS CloudHSM キーストアの接続状態が**失敗**の場合、接続する前に[カスタムキーストアを切断](disconnect-keystore.md#disconnect-keystore-console)する必要があります。
1. **[Key store actions]** (キーストアアクション) メニューから **[Connect]** (接続) を選択します。
AWS KMS はカスタムキーストアの接続プロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、 AWS CloudHSM クラスターに `kmsuser` CU としてログインして、`kmsuser` パスワードをローテーションします。操作が完了すると、接続状態が **[接続済み]** に変わります。
オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。接続を再試行する前に、 AWS CloudHSM キーストア[の接続状態を確認します](view-keystore.md)。状態が **[失敗]** になっている場合は、[カスタムキーストアを切断](disconnect-keystore.md#disconnect-keystore-console)してからキーストアをもう一度接続する必要があります。ヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。
**次の手順**: [キーストアに KMS AWS CloudHSM キーを作成する](create-cmk-keystore.md)
### AWS KMS API の使用
切断された AWS CloudHSM キーストアを接続するには、[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) オペレーションを使用します。関連付けられた AWS CloudHSM クラスターには少なくとも 1 つのアクティブな HSM が含まれている必要があり、接続状態を にすることはできません`FAILED`。
接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続ステータスを判断するときは、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) のレスポンスを確認します。
このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。
AWS CloudHSM キーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの **[Custom key stores]** (カスタムキーストア) ページで確認できます。またはパラメータなしで [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使って確認することもできます。この例を実行する前に、例の ID を有効な ID に置き換えます。
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
AWS CloudHSM キーストアが接続されていることを確認するには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、`CustomKeyStoreId` または `CustomKeyStoreName` パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。`CONNECTED` の `ConnectionState` 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。
**注記**
キーストアと外部 AWS CloudHSM キーストアを区別するために、 `CustomKeyStoreType`フィールドが`DescribeCustomKeyStores`レスポンスに追加されました。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```
`ConnectionState` 値が [FAILED] の場合、`ConnectionErrorCode` 要素が失敗の原因を示します。この場合、 AWS CloudHSM クラスター ID の アカウントで クラスター AWS KMS が見つかりませんでした`cluster-1a23b4cdefg`。クラスターを削除した場合、元のクラスターの[バックアップから復元する](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)ことができ、その後でカスタムキーストアの[クラスター ID を編集](update-keystore.md)できます。接続エラーコードの対処方法については「[接続障害の修復方法](fix-keystore.md#fix-keystore-failed)」を参照してください。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
"ConnectionErrorCode": "CLUSTER_NOT_FOUND"
],
}
```
# AWS CloudHSM キーストアを切断する
AWS CloudHSM キーストアを切断すると、 は AWS CloudHSM クライアントから AWS KMS ログアウトし、関連付けられた AWS CloudHSM クラスターから切断して、接続をサポートするために作成したネットワークインフラストラクチャを削除します。
AWS CloudHSM キーストアが切断されている間は、 AWS CloudHSM キーストアとその KMS キーを管理できますが、 AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。`PendingDeletion` でない限り、キーストアの接続ステータスは `DISCONNECTED` で、カスタムキーストアの KMS キーの[キーステータス](key-state.md)は `Unavailable` です。 AWS CloudHSM キーストアはいつでも再接続できます。
**注記**
AWS CloudHSM キーストアは、キーストアが接続されていないか、明示的に切断した場合にのみ接続`DISCONNECTED`状態になります。 AWS CloudHSM キーストアの接続状態が `CONNECTED`で、使用に問題がある場合は、関連付けられた AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSMs が含まれていることを確認してください。接続障害については、[カスタムキーストアのトラブルシューティング](fix-keystore.md) を参照してください。
カスタムキーストアを切断すると、そのキーストアの KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護された[データキー](data-keys.md)により暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービスに影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「[使用できない KMS キーがデータキーに及ぼす影響](unusable-kms-keys.md)」を参照してください。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
カスタムキーストアの切断の影響をより正確に推定するには、カスタムキーストアで [KMS キーを識別](find-cmk-in-keystore.md)し、[その過去の使用状況を特定](deleting-keys-determining-usage.md)します。
AWS CloudHSM キーストアは、次のような理由で切断できます。
+ パスワードを**ローテーション`kmsuser`する。** AWS KMS は AWS CloudHSM クラスターに接続するたびに `kmsuser` パスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。
+ AWS CloudHSM クラスター**内の KMS キーのキーマテリアルを監査**するには。カスタムキーストアを切断すると、 は AWS CloudHSM クライアントの[`kmsuser`暗号化ユーザーアカウント](keystore-cloudhsm.md#concept-kmsuser)から AWS KMS ログアウトします。これにより、クラスターに `kmsuser` CU としてログインし、KMS キーのキーマテリアルを監査および管理することができます。
+ AWS CloudHSM キーストアで**すべての KMS キーをただちに無効にするには** または [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) オペレーションを使用して、 AWS CloudHSM キーストアで [KMS キーを無効化および再有効化](enabling-keys.md)できます。 AWS マネジメントコンソール これらのオペレーションは迅速に完了しますが、一度に処理される KMS キーは 1 つです。 AWS CloudHSM キーストアを切断すると、キーストア内のすべての KMS キーのキー状態が AWS CloudHSM すぐに に変更され`Unavailable`、暗号化オペレーションで使用されなくなります。
+ **失敗した接続試行を修復するには**。 AWS CloudHSM キーストアの接続が失敗した場合 (カスタムキーストアの接続状態が `FAILED`)、再度接続を試みる前に AWS CloudHSM キーストアを切断する必要があります。
## AWS CloudHSM キーストアを切断する
AWS KMS コンソールで、または [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) オペレーションを使用して、 AWS CloudHSM キーストアを切断できます。
### AWS KMS コンソールを使用して切断する
AWS KMS コンソールで接続された AWS CloudHSM キーストアを切断するには、カスタム AWS CloudHSM キーストアページから**キーストア**を選択します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。
1. 切断する外部キーストアの行を選択します。
1. **[Key store actions]** (キーストアアクション) メニューから **[Disconnect]** (切断) を選択します。
操作が完了すると、接続状態が **[切断]** から **[切断済み]** に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。
### AWS KMS API を使用して切断する
接続された AWS CloudHSM キーストアを切断するには、[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) オペレーションを使用します。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。
このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。
この例では、 AWS CloudHSM キーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
AWS CloudHSM キーストアが切断されていることを確認するには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、`CustomKeyStoreId` または `CustomKeyStoreName` パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。`ConnectionState` の値は、このサンプル AWS CloudHSM キーストアが AWS CloudHSM クラスターに接続されていない`DISCONNECTED`ことを示します。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "DISCONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
],
}
```
# AWS CloudHSM キーストアを削除する
AWS CloudHSM キーストアを削除すると、 AWS KMS は、 AWS CloudHSM クラスターとの関連付けに関する情報など、 AWS CloudHSM キーストアに関するすべてのメタデータを KMS から削除します。このオペレーションは、 AWS CloudHSM クラスター、その HSMs、またはそのユーザーには影響しません。同じ AWS CloudHSM クラスターに関連付けられている新しい AWS CloudHSM キーストアを作成できますが、削除オペレーションを元に戻すことはできません。
削除できるのは、 AWS CloudHSM クラスターから切断され、 が含まれていない AWS CloudHSM キーストアのみです AWS KMS keys。カスタムキーストアを削除する前に、次の手順を実行します。
+ いずれの[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)でも、キーストア内で KMS キーを一切使用する必要がないことを確認します。次に、キーストアからのすべての KMS キーの[削除をスケジュール](deleting-keys.md#delete-cmk-keystore)します。キーストアで KMS AWS CloudHSM キーを検索する方法については、「」を参照してください[キーストアで KMS AWS CloudHSM キーを検索する](find-cmk-in-keystore.md)。
+ すべての KMS キーが削除されたことを確認します。キーストアで KMS AWS CloudHSM キーを表示するには、「」を参照してください[キーストア内の KMS AWS CloudHSM キーを特定する](identify-key-types.md#identify-key-hsm-keystore)。
+ [AWS CloudHSM キーストアをクラスターから切断](disconnect-keystore.md)します AWS CloudHSM 。
AWS CloudHSM キーストアを削除する代わりに、関連付けられた AWS CloudHSM クラスターから[切断すること](disconnect-keystore.md)を検討してください。 AWS CloudHSM キーストアが切断されている間は、 AWS CloudHSM キーストアとその を管理できます AWS KMS keys。ただし、キーストアで KMS AWS CloudHSM キーを作成または使用することはできません。 AWS CloudHSM キーストアはいつでも再接続できます。
## AWS CloudHSM キーストアを削除する
AWS CloudHSM キーストアは、 AWS KMS コンソールで、または [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html) オペレーションを使用して削除できます。
### AWS KMS コンソールの使用
で AWS CloudHSM キーストアを削除するには AWS マネジメントコンソール、カスタム AWS CloudHSM キーストアページから**キーストア**を選択します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。
1. 削除する AWS CloudHSM キーストアを表す行を見つけます。 AWS CloudHSM キーストア**の接続状態**が**切断**されていない場合は、削除する前に[AWS CloudHSM キーストアを切断](disconnect-keystore.md)する必要があります。
1. **[Key store actions]** (キーストアアクション) メニューから **[Delete]** (削除) を選択します。
オペレーションが完了すると、成功メッセージが表示され、 AWS CloudHSM キーストアはキーストアリストに表示されなくなります。オペレーションが正常に行われなかった場合、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。
### AWS KMS API の使用
AWS CloudHSM キーストアを削除するには、[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html) オペレーションを使用します。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。
まず、 AWS CloudHSM キーストアに が含まれていないことを確認します AWS KMS keys。KMS キーが含まれているカスタムキーストアを削除することはできません。最初のコマンド例では、[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) と [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) を使用して、サンプル *cks-1234567890abcdef0* カスタム AWS CloudHSM キーストア ID を持つキーストア AWS KMS keys で を検索します。この場合、コマンドは KMS キーを返しません。KMS キーが存在する場合は、[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) オペレーションを使用して、各 KMS キーの削除をスケジュールします。
------
#### [ Bash ]
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
------
#### [ PowerShell ]
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
------
次に、 AWS CloudHSM キーストアを切断します。このコマンド例では、[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) オペレーションを使用して AWS CloudHSM 、クラスターから AWS CloudHSM キーストアを切断します。このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。
------
#### [ Bash ]
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
------
#### [ PowerShell ]
```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```
------
カスタムキーストアが切断された後、 [DeleteCustomKeyStore オペレーションを使用して、カスタムキーストア](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html) を削除できます。
------
#### [ Bash ]
```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
------
#### [ PowerShell ]
```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```
------
# カスタムキーストアのトラブルシューティング
AWS CloudHSM キーストアは、利用可能で回復力があるように設計されています。ただし、 AWS CloudHSM キーストアを運用し続けるために修復する必要があるエラー条件がいくつかあります。
**Topics**
+ [使用できない KMS キーを修正するには](#fix-unavailable-cmks)
+ [失敗した KMS キーを修正するには](#fix-cmk-failed)
+ [接続障害の修復方法](#fix-keystore-failed)
+ [暗号化オペレーションの失敗に対応するには](#fix-keystore-communication)
+ [無効な `kmsuser` 認証情報の修正方法](#fix-keystore-password)
+ [孤立したキーマテリアルを削除する方法](#fix-keystore-orphaned-key)
+ [KMS キーの削除されたキーマテリアルを復旧するには](#fix-keystore-recover-backing-key)
+ [`kmsuser` としてログインする方法](#fix-login-as-kmsuser)
## 使用できない KMS キーを修正するには
[キーストアの のキー状態](key-state.md)は通常 です`Enabled`。 AWS KMS keys AWS CloudHSM すべての KMS キーと同様に、キーストアで KMS キーを無効にするか、削除をスケジュールすると、 AWS CloudHSM キーの状態が変更されます。ただし、他の KMS キーとは異なり、カスタムキーストアの KMS キーには、`Unavailable` の[キーステータス](key-state.md)もあります。
`Unavailable` のキーステータスには、KMS キーが、意図的に[切断](disconnect-keystore.md)されたカスタムキーストアの内部に存在し、再接続の試み (実行している場合) に失敗したことを示しています。KMS キーは使用できませんが、KMS キーを表示および管理することはできます。ただし、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)で使用することはできません。
KMS キーのキーステータスを確認するには、[**Customer managed keys**] (カスタマーマネージドキー) ページで、KMS キーの [**Status**] (ステータス) フィールドを表示します。または、 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用して、レスポンスの `KeyState` 要素を表示します。詳細については、「[キーの特定と表示](viewing-keys.md)」を参照してください。
切断されたカスタムキーストアの KMS キーは、`Unavailable` または `PendingDeletion` のキーステータスとなります。カスタムキーストアが切断されている場合でも、カスタムキーストアからの削除がスケジュールされている KMS キーのキーステータスは `Pending Deletion` になります。これにより、カスタムキーストアに再接続することなく、スケジュールされたキーの削除をキャンセルできます。
使用できない KMS キーを修正するには、[カスタムキーストアを再接続します](disconnect-keystore.md)。カスタムキーストアを再接続すると、カスタムキーストア内の KMS キーのキーステータスは、`Enabled` や `Disabled` などの以前のステータスに自動的に復元されます。削除保留中の KMS キーは `PendingDeletion` ステータスのままです。ただし、問題が解決しない間は、[使用できない KMS キーを有効および無効にしても](enabling-keys.md)、キーステータスは変更されません。有効または無効のアクションは、キーが使用可能になったときにのみ適用されます。
接続の失敗に関するヘルプについては、「[接続障害の修復方法](#fix-keystore-failed)」を参照してください。
## 失敗した KMS キーを修正するには
AWS CloudHSM キーストアでの KMS キーの作成と使用に関する問題は、 AWS CloudHSM キーストア、関連する AWS CloudHSM クラスター、KMS キー、またはそのキーマテリアルの問題が原因で発生する可能性があります。
AWS CloudHSM キーストアが AWS CloudHSM クラスターから切断されると、カスタムキーストアの KMS キーのキー状態は になります`Unavailable`。切断されたキーストアで KMS AWS CloudHSM キーを作成するすべてのリクエストは`CustomKeyStoreInvalidStateException`例外を返します。データキーを暗号化、復号、再暗号化、または生成するすべてのリクエストは、`KMSInvalidStateException` 例外を返します。問題を解決するには、[AWS CloudHSM キーストアを再接続します](connect-keystore.md)。
ただし、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)のために AWS CloudHSM キーストアで KMS キーを使用しようとする`Enabled`と、キーの状態が で AWS CloudHSM 、キーストアの接続状態が であっても失敗する可能性があります`Connected`。これは、以下のいずれかの条件によって発生する可能性があります。
+ KMS キーのキーマテリアルが、関連付けられた AWS CloudHSM クラスターから削除された可能性があります。調査するには、KMS キーのキーマテリアルの[キー ID を探し](find-handle-for-cmk-id.md)、必要に応じて[キーマテリアルの復旧](#fix-keystore-recover-backing-key)を試みます。
+ AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスターからすべての HSMs が削除されました。暗号化オペレーションで キーストアで KMS AWS CloudHSM キーを使用するには、その AWS CloudHSM クラスターに少なくとも 1 つのアクティブな HSM が含まれている必要があります。 AWS CloudHSM クラスター内の HSMs の数と状態を確認するには、 [AWS CloudHSM コンソールまたは DescribeClusters オペレーションを使用します](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html)。 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) HSM をクラスターに追加するには、 AWS CloudHSM コンソールまたは [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html) オペレーションを使用します。
+ AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが削除されました。この問題を解決するには、元のクラスターのバックアップ、または元のクラスターの作成に使用されたバックアップなど、元のクラスターに関連する[バックアップからクラスターを作成](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)します。次に、カスタムキーストアの設定で、[クラスター ID を編集](update-keystore.md)します。手順については、「[KMS キーの削除されたキーマテリアルを復旧するには](#fix-keystore-recover-backing-key)」を参照してください。
+ カスタムキーストアに関連付けられた AWS CloudHSM クラスターには、使用可能な PKCS \$111 セッションがありませんでした。通常これは、トラフィックの処理に追加のセッションが必要な大規模なバーストトラフィックが起きている間に発生します。PKCS \$111 セッションに関するエラーメッセージで `KMSInternalException` に応答するときは、リクエストをいったん取り消してから、改めて試行します。
## 接続障害の修復方法
[AWS CloudHSM キーストアをクラスターに接続](connect-keystore.md)しようとしてもオペレーションが失敗した場合、 AWS CloudHSM キーストアの接続状態は に変わります`FAILED`。 AWS CloudHSM AWS CloudHSM キーストアの接続状態を確認するには、 AWS KMS コンソールまたは [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。
また、簡単に検出できるクラスター設定エラーが原因で接続の試行がすぐに失敗することがあります。この場合、接続ステータスは `DISCONNECTED` のままです。これらのエラーは、試行が失敗した理由を説明するエラーメッセージまたは [例外](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) を返します。例外の説明と[クラスターの要件](create-keystore.md#before-keystore)を確認し、問題を修正し、必要に応じて[AWS CloudHSM キーストアを更新](update-keystore.md)して、再度接続を試みます。
接続ステータスが `FAILED` の場合は、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを実行してレスポンスの `ConnectionErrorCode` 要素を確認します。
**注記**
AWS CloudHSM キーストアの接続状態が の場合`FAILED`、再接続を試みる前に[AWS CloudHSM キーストアを切断](disconnect-keystore.md)する必要があります。 AWS CloudHSM キーストアを`FAILED`接続状態に接続することはできません。
+ `CLUSTER_NOT_FOUND` は、指定された AWS CloudHSM クラスター ID を持つ クラスターが AWS KMS に見つからないことを示します。これは、誤ったクラスター ID が API オペレーションに提供されたか、クラスターが削除されて置き換えられなかったために発生する可能性があります。このエラーを修正するには、 AWS CloudHSM コンソールや [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションなどを使用して、クラスター ID を確認します。クラスタが削除された場合は、元の [バックアップからクラスタを作成します](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) 。次に、[AWS CloudHSM キーストアを切断](disconnect-keystore.md)し、[AWS CloudHSM キーストアクラスター ID 設定を編集](update-keystore.md)して、[AWS CloudHSM キーストアをクラスターに再接続](connect-keystore.md)します。
+ `INSUFFICIENT_CLOUDHSM_HSMS` は、関連付けられた AWS CloudHSM クラスターに HSMsが含まれていないことを示します。クラスターに接続するには、少なくとも 1 つの HSM を持っている必要があります。クラスター内の HSM の数を調べるには、 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。このエラーを解決するには、クラスターに [少なくとも 1 つの HSM を追加します](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) 。複数の HSM を追加する場合は、別のアベイラビリティーゾーンでそれらを作成することをお勧めします。
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET` は、 AWS CloudHSM クラスターに関連付けられた少なくとも 1 つのプライベートサブネットに使用可能な IP アドレスがないため、 が AWS CloudHSM キーストアをクラスターに接続 AWS KMS できなかったことを示します。 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) AWS CloudHSM キーストア接続には、関連付けられたプライベートサブネットごとに 1 つの空き IP アドレスが必要ですが、2 つが推奨されます。
既存のサブネットに [IP アドレスを追加できません](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (CIDR ブロック)。可能であれば、未使用の EC2 インスタンスや Elastic Network Interface など、サブネット内の IP アドレスを使用している他のリソースを移動または削除します。それ以外の場合は、[より多くの空きアドレス空間](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing)を持つ新規または既存のプライベートサブネットを使用して、クラスターの[最近のバックアップからクラスターを作成できます](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)。 AWS CloudHSM 次に、新しいクラスターを AWS CloudHSM キーストアに関連付けるには、[カスタムキーストアを切断](disconnect-keystore.md)し、 AWS CloudHSM キーストアの[クラスター ID を新しいクラスターの ID に変更](update-keystore.md)して、再度接続を試みます。
**ヒント**
[`kmsuser` パスワードのリセット](#fix-keystore-password)を回避するには、 AWS CloudHSM クラスターの最新のバックアップを使用します。
+ `INTERNAL_ERROR` は、内部エラーのために がリクエストを完了 AWS KMS できなかったことを示します。リクエストを再試行します。`ConnectCustomKeyStore` リクエストの場合は、再度接続を試みる前に AWS CloudHSM キーストアを切断します。
+ `INVALID_CREDENTIALS` は、正しい`kmsuser`アカウントパスワードがないため、関連付けられた AWS CloudHSM クラスターにログイン AWS KMS できないことを示します。このエラーのヘルプについては、「[無効な `kmsuser` 認証情報の修正方法](#fix-keystore-password)」を参照してください。
+ `NETWORK_ERRORS` は通常、一時的なネットワークの問題を示します。[AWS CloudHSM キーストアを切断](disconnect-keystore.md)し、数分待ってから、もう一度接続を試みます。
+ `SUBNET_NOT_FOUND` は、 AWS CloudHSM クラスター設定の少なくとも 1 つのサブネットが削除されたことを示します。がクラスター設定内のすべてのサブネットを検出 AWS KMS できない場合、 は AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続しようとして失敗します。
このエラーを修正するには、同じ[クラスターの最近のバックアップからクラスターを作成します](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)。 AWS CloudHSM (このプロセスでは、VPC とプライベートサブネットを持つ新しいクラスター設定が作成されます)。新しいクラスターが [カスタムキーストアの要件](create-keystore.md#before-keystore)を満たしていることを確認し、新しいクラスター ID を書き留めます。次に、新しいクラスターを AWS CloudHSM キーストアに関連付けるには、[カスタムキーストアを切断](disconnect-keystore.md)し、 AWS CloudHSM キーストアの[クラスター ID を新しいクラスターの ID に変更](update-keystore.md)して、再度接続を試みます。
**ヒント**
[`kmsuser` パスワードのリセット](#fix-keystore-password)を回避するには、 AWS CloudHSM クラスターの最新のバックアップを使用します。
+ `USER_LOCKED_OUT` は、失敗したパスワードの試行回数が多すぎるため、[`kmsuser` Crypto User (CU) アカウント](keystore-cloudhsm.md#concept-kmsuser)が関連付けられた AWS CloudHSM クラスターからロックアウトされたことを示します。このエラーのヘルプについては、「[無効な `kmsuser` 認証情報の修正方法](#fix-keystore-password)」を参照してください。
このエラーを修正するには、[AWS CloudHSM キーストアを切断](disconnect-keystore.md)し、CloudHSM CLI の[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) コマンドを使用して`kmsuser`アカウントのパスワードを変更します。次に、[カスタムキーストアの `kmsuser` のパスワード設定](update-keystore.md)を編集し、接続し直してみてください。ヘルプについては、「[無効な `kmsuser` 認証情報の修正方法](#fix-keystore-password) トピック」で説明されている手順を使用してください。
+ `USER_LOGGED_IN` は、CU `kmsuser` アカウントが関連付けられた AWS CloudHSM クラスターにログインしていることを示します。これにより AWS KMS 、 は`kmsuser`アカウントのパスワードをローテーションしてクラスターにログインできなくなります。このエラーを修正するには、クラスターから `kmsuser` CU をログアウトします。クラスターにログインするように`kmsuser`パスワードを変更した場合は、 キーストアのパスワード値も更新する必要があります AWS CloudHSM 。ヘルプについては、「[ログアウトして再接続する方法](#login-kmsuser-2)」を参照してください。
+ `USER_NOT_FOUND` は、 が関連付けられた AWS CloudHSM クラスターで CU `kmsuser` アカウントを見つけ AWS KMS られないことを示します。このエラーを修正するには、クラスターに [CU `kmsuser` アカウントを作成し](create-keystore.md#kmsuser-concept)、[キーストアのキーストアパスワード値を更新します](update-keystore.md)。 AWS CloudHSM ヘルプについては、「[無効な `kmsuser` 認証情報の修正方法](#fix-keystore-password)」を参照してください。
## 暗号化オペレーションの失敗に対応するには
カスタムキーストアで KMS キーを使用する暗号化オペレーションは、`KMSInvalidStateException` で失敗することがあります。次のエラーメッセージには `KMSInvalidStateException` が関連することがあります。
| |
| --- |
| KMS は CloudHSM クラスターと通信できません。これは一時的なネットワークの問題である可能性があります。このエラーが繰り返し表示される場合は、 AWS CloudHSM クラスターの VPC のネットワーク ACLs とセキュリティグループのルールが正しいことを確認します。 |
+ これは HTTPS 400 エラーですが、一時的なネットワークの問題が原因である可能性があります。対応するには、まずリクエストを再試行します。それでも失敗する場合は、ネットワークコンポーネントの設定を調べます。このエラーはほとんどの場合、発信トラフィックをブロックしているファイアウォールルールや VPC セキュリティグループルールなど、ネットワークコンポーネントの誤った設定が原因です。例えば、KMS は IPv6 を介して AWS CloudHSM クラスターと通信できません。前提条件の詳細については、「[AWS CloudHSM キーストアを作成する](create-keystore.md)」を参照してください。
| |
| --- |
| kmsuser がロックアウトされているため、KMS は AWS CloudHSM クラスターと通信できません。このエラーが繰り返し表示される場合は、 AWS CloudHSM キーストアを切断し、kmsuser アカウントのパスワードをリセットします。カスタムキーストアの kmsuser のパスワードを更新して、リクエストを再試行してください。 |
+ このエラーメッセージは、失敗したパスワードの試行回数が多すぎるため、[`kmsuser` Crypto User (CU) アカウント](keystore-cloudhsm.md#concept-kmsuser)が関連付けられた AWS CloudHSM クラスターからロックアウトされたことを示します。このエラーのヘルプについては、「[切断してログインする方法](#login-kmsuser-1)」を参照してください。
## 無効な `kmsuser` 認証情報の修正方法
[AWS CloudHSM キーストアを接続すると](connect-keystore.md)、 は [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) として関連する AWS CloudHSM クラスター AWS KMS にログインします。 AWS CloudHSM キーストアが切断されるまでログインしたままになります。[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 応答は次の例に示すように、`FAILED` の `ConnectionState`、および `INVALID_CREDENTIALS` の `ConnectionErrorCode` 値を示しています。
AWS CloudHSM キーストアを切断して`kmsuser`パスワードを変更すると、 AWS KMS は CU `kmsuser` アカウントの認証情報を使用して AWS CloudHSM クラスターにログインできません。その結果、 AWS CloudHSM キーストアの接続試行はすべて失敗します。`DescribeCustomKeyStores` レスポンスは、次の例に示すように、`INVALID_CREDENTIALS` の `FAILED` と `ConnectionErrorCode` の値の `ConnectionState` を示します。
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
また、誤ったパスワードでクラスターにログインしようとして 5 回失敗すると、 AWS CloudHSM はユーザーアカウントをロックします。このクラスターにログインするには、アカウントのパスワードを変更する必要があります。
が `kmsuser`CU としてクラスターにログインしようとしたときにロックアウトレスポンス AWS KMS を取得すると、 AWS CloudHSM キーストアの接続リクエストは失敗します。[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 応答には、次の例に示すように、`FAILED` の `ConnectionState`、および `USER_LOCKED_OUT` の `ConnectionErrorCode` 値が含まれます。
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
これらの条件を修復するには、次の手順を実行します。
1. [AWS CloudHSM キーストアを切断](disconnect-keystore.md)します。
1. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを実行し、レスポンスの `ConnectionErrorCode` 要素の値を表示します。
+ `ConnectionErrorCode` の値が `INVALID_CREDENTIALS` の場合は、`kmsuser` アカウントの現在のパスワードを特定します。必要に応じて、CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) コマンドを使用して、パスワードを既知の値に設定します。
+ `ConnectionErrorCode` 値が `USER_LOCKED_OUT` の場合、CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) コマンドを使用して `kmsuser` パスワードを変更する必要があります。
1. [`kmsuser` パスワード設定を編集して](update-keystore.md)、クラスター内の現在の `kmsuser` パスワードと一致させます。このアクションは、 AWS KMS にクラスターにログインするために使用するパスワードを指示します。クラスターの `kmsuser` パスワードは変更されません。
1. [カスタムキーストアを接続します](connect-keystore.md)。
## 孤立したキーマテリアルを削除する方法
AWS CloudHSM キーストアから KMS キーの削除をスケジュールした後、関連する AWS CloudHSM クラスターから対応するキーマテリアルを手動で削除する必要がある場合があります。
AWS CloudHSM キーストアで KMS キーを作成する AWS KMS と、 は で KMS キーメタデータ AWS KMS を作成し、関連付けられた AWS CloudHSM クラスターでキーマテリアルを生成します。 AWS CloudHSM キーストアで KMS キーの削除をスケジュールすると、待機期間の後、 は KMS キーメタデータ AWS KMS を削除します。次に、 AWS KMS は AWS CloudHSM クラスターから対応するキーマテリアルを削除するために最善を尽くします。 AWS CloudHSM キーストアから切断された場合や`kmsuser`パスワードが変更された場合など、 がクラスターにアクセス AWS KMS できない場合、試行は失敗する可能性があります。 AWS KMS はクラスターバックアップからキーマテリアルを削除しようとしません。
AWS KMS は、 AWS CloudTrail ログの`DeleteKey`イベントエントリでクラスターからキーマテリアルを削除しようとした結果を報告します。この結果は、次のエントリ例に示されているように、`additionalEventData` 要素の `backingKeysDeletionStatus` 要素に表示されます。エントリには、KMS キー ARN、 AWS CloudHSM クラスター ID、キーマテリアルの ID (`backing-key-id`) も含まれます。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
次の手順は、関連付けられた AWS CloudHSM クラスターから孤立したキーマテリアルを削除する方法を示しています。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明に従って[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html)します[切断してログインする方法](#login-kmsuser-1)。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
1. CloudHSM CLI の [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) コマンドを使用して、クラスター内の HSM から キーを削除します。
AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、 `customKeyStoreId`および を含む `additionalEventData`フィールドが含まれます`backingKey`。`backingKeyId` フィールドで返される値は、CloudHSM キーの `id` 属性です。CloudTrail ログ内で特定された孤立したキーマテリアルを削除するには、**[key delete]** オペレーションを `id` でフィルタリングすることをお勧めします。
AWS CloudHSM は`backingKeyId`、値を 16 進値として認識します。`id` でフィルタリングするには、`backingKeyId` の先頭に `Ox` を付加する必要があります。例えば、CloudTrail ログ内の `backingKeyId` が `1a2b3c45678abcdef` の場合、`0x1a2b3c45678abcdef` でフィルタリングします。
次の例では、クラスター内の HSM から特定のキーを削除します。`backing-key-id` は CloudTrail ログエントリにリストされています。このコマンドを実行する前に、サンプル `backing-key-id` をお使いのアカウントにある有効な値に置き換えてください。
```
aws-cloudhsm key delete --filter attr.id="0x"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
1. 「」の説明に従って、ログアウトして AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](#login-kmsuser-2)。
## KMS キーの削除されたキーマテリアルを復旧するには
のキーマテリアルが削除され AWS KMS key た場合、KMS キーは使用できず、KMS キーで暗号化されたすべての暗号文を復号することはできません。これは、キーストア内の KMS キーの AWS CloudHSM キーマテリアルが関連付けられた AWS CloudHSM クラスターから削除された場合に発生する可能性があります。ただし、キーマテリアルを復元することは可能な場合もあります。
AWS CloudHSM キーストアで AWS KMS key (KMS キー) を作成すると、 AWS KMS は関連付けられた AWS CloudHSM クラスターにログインし、KMS キーのキーマテリアルを作成します。また、 AWS CloudHSM キーストアが接続されている限り、パスワードのみを知っている値に変更し、ログインしたままになります。キー所有者、つまりキーを作成した CU のみがキーを削除できるため、誤って HSM からキーが削除されることはありません。
ただし、KMS キーのキーマテリアルがクラスター内の HSM から削除されると、KMS キーのキーステータスは最終的に `UNAVAILABLE` に変わります。暗号化オペレーションに KMS キーを使用しようとすると、`KMSInvalidStateException` の例外によりオペレーションは失敗します。最も重大なのは、KMS キーで暗号化されたデータが復号できないことです。
特定の状況では、キーマテリアルを含む [バックアップからクラスターを作成することで、](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) 削除されたキーマテリアルを回復できます。この方法は、キーが存在していて削除される前に少なくとも 1 つのバックアップが作成された場合にのみ機能します。
キーマテリアルを復旧するには、次の手順を実行します。
1. キーマテリアルが格納されているクラスターバックアップを見つけます。バックアップには、クラスターとその暗号化されたデータをサポートするために必要なすべてのユーザーとキーも含まれている必要があります。
[DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html) オペレーションを使用して、クラスタのバックアップを一覧表示します。バックアップのタイムスタンプを使用すると、バックアップの選択に役立ちます。 AWS CloudHSM キーストアに関連付けられているクラスターに出力を制限するには、次の例に示すように、 `Filters`パラメータを使用します。
```
$ aws cloudhsmv2 describe-backups --filters clusterIds=
{
"Backups": [
{
"ClusterId": "cluster-1a23b4cdefg",
"BackupId": "backup-9g87f6edcba",
"CreateTimestamp": 1536667238.328,
"BackupState": "READY"
},
...
]
}
```
1. [選択したバックアップからクラスタを作成します](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)。バックアップに削除されたキーおよびクラスターに必要な他のユーザーとキーが含まれていることを確認します。
1. [AWS CloudHSM キーストアを切断](disconnect-keystore.md)して、そのプロパティを編集できるようにします。
1. AWS CloudHSM キーストアの[クラスター ID を編集](update-keystore.md)します。バックアップから作成したクラスターのクラスター ID を入力します。クラスターは元のクラスターとバックアップ履歴を共有するため、新しいクラスター ID が有効である必要があります。
1. [AWS CloudHSM キーストアを再接続します](connect-keystore.md)。
## `kmsuser` としてログインする方法
キーストアの AWS CloudHSM クラスターで AWS CloudHSM キーマテリアルを作成および管理するために、 AWS KMS は [`kmsuser`Crypto User (CU) アカウント](keystore-cloudhsm.md#concept-kmsuser)を使用します。クラスターに [CU `kmsuser` アカウントを作成し](create-keystore.md#before-keystore)、 AWS CloudHSM キーストアの作成 AWS KMS 時に にパスワードを指定します。
一般的に、 は`kmsuser`アカウント AWS KMS を管理します。ただし、一部のタスクでは、 AWS CloudHSM キーストアを切断し、CU としてクラスターにログインし、[CloudHSM コマンドラインインターフェイス (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) `kmsuser` を使用する必要があります。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
このトピックでは、[AWS CloudHSM キーストアを切断して としてログイン](#login-kmsuser-1)し`kmsuser`、 AWS CloudHSM コマンドラインツールを実行し、[AWS CloudHSM キーストアをログアウトして再接続する](#login-kmsuser-2)方法について説明します。
**Topics**
+ [切断してログインする方法](#login-kmsuser-1)
+ [ログアウトして再接続する方法](#login-kmsuser-2)
### 切断してログインする方法
関連するクラスターに `kmsuser` Crypto User (CU) としてログインする必要がある際には、次の手順を実行します。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
1. まだ切断されていない場合は、 AWS CloudHSM キーストアを切断します。 AWS KMS コンソールまたは AWS KMS API を使用できます。
AWS CloudHSM キーが接続されている間、 AWS KMS は としてログインします`kmsuser`。これにより、`kmsuser` としてログインしたり、`kmsuser` パスワードを変更することができなくなります。
例えば、このコマンドは、 [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) を使用して、サンプルキーストアを切断します。サンプル AWS CloudHSM キーストア ID を有効なキーストア ID に置き換えます。
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. **[login]** コマンドを使用して、管理者としてログインします。「*AWS CloudHSM ユーザーガイド*」の「[CloudHSM CLI の使用](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)」セクションに記載されている手順を使用します。
```
aws-cloudhsm > login --username admin --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
1. CloudHSM CLI の[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) コマンドを使用して、`kmsuser`アカウントのパスワードを既知のパスワードに変更します ( AWS CloudHSM キーストアを接続するとパスワードがAWS KMS ローテーションされます)。パスワードは 7〜32 の英数字で構成する必要があります。大文字と小文字が区別され、特殊文字を含めることはできません。
1. 設定したパスワードを使用して `kmsuser` としてログインします。詳細な手順については、「*AWS CloudHSM ユーザーガイド*」の「[CloudHSM CLI の使用](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)」のセクションを参照してください。
```
aws-cloudhsm > login --username kmsuser --role crypto-user
Enter password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
### ログアウトして再接続する方法
`kmsuser` Crypto User (CU) ユーザーとしてログアウトしてキーストアを再接続する際には、次の手順を使用します。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
1. タスクを実行後、CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) コマンドを使用してログアウトします。ログアウトしないと、 AWS CloudHSM キーストアの再接続は失敗します。
```
aws-cloudhsm logout
{
"error_code": 0,
"data": "Logout successful"
}
```
1. カスタムキーストアの [`kmsuser` パスワード設定を編集します](update-keystore.md)。
これにより AWS KMS 、クラスター`kmsuser`内の の現在のパスワードが通知されます。このステップを省略すると、 は としてクラスターにログイン AWS KMS できず`kmsuser`、カスタムキーストアの再接続の試行はすべて失敗します。 AWS KMS コンソールまたは [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) オペレーションの `KeyStorePassword`パラメータを使用できます。
たとえば、このコマンドは現在のパスワードが AWS KMS であることを に指示します`tempPassword`。例のパスワードを実際のパスワードに置き換えます。
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
```
1. AWS KMS キーストアを AWS CloudHSM クラスターに再接続します。サンプル AWS CloudHSM キーストア ID を有効なキーストア ID に置き換えます。接続プロセス中に、 は`kmsuser`パスワードを自分だけが知っている値 AWS KMS に変更します。
[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) オペレーションはすばやく返されますが、接続プロセスに長時間かかる場合があります。最初のレスポンスは、接続プロセスの成功を示していません。
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用して、 AWS CloudHSM キーストアが接続されていることを確認します。サンプル AWS CloudHSM キーストア ID を有効なキーストア ID に置き換えます。
この例では、接続状態フィールドは、 AWS CloudHSM キーストアが接続されたことを示しています。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```