翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
外部キーストアの KMS キー
外部キーストアで KMS キーを作成、表示、管理、使用し、削除をスケジュールするには、他の KMS キーに使用する手順と極めてよく似た手順を使用します。ただし、外部キーストアに KMS キーを作成する場合は、外部キーストアと外部キーを指定します。外部キーストアで KMS キーを使用すると、指定された外部キーにより、外部キーマネージャーが暗号化および復号オペレーションを実行します。
AWS KMS は、外部キーマネージャーで暗号化キーを作成、表示、更新、削除することはできません。また、AWS KMS が外部キーマネージャーや外部キーに直接アクセスすることはありません。暗号化オペレーションのリクエストはすべて、外部キーストアプロキシによって仲介されます。外部キーストアで KMS キーを使用するには、KMS キーをホストする外部キーストアを、外部キーストアプロキシに接続する必要があります。
- サポートされている機能
-
このセクションで説明する手順に加えて、外部キーストアでは KMS キーを使用して次のことを実行できます。
-
KMS キーを有効および無効にします。これらのアクションは、外部キーマネージャーの外部キーには影響しません。
-
タグを割り当ててエイリアスを作成し、属性ベースのアクセス制御 (ABAC) を使用して KMS キーへのアクセスを承認します。
-
KMS キーを使用して以下の暗号化オペレーションを実行します。
非対称データキーペアを生成するオペレーション (GenerateDataKeyPair と GenerateDataKeyPairWithoutPlaintext) は、カスタムキーストアでサポートされていません。
-
AWS KMS を統合し
、カスタマーマネージドキーをサポートする AWS のサービスで KMS キーを使用します。
- サポートされていない 機能
-
-
外部キーストアは、対称暗号化 KMS キーのみをサポートしています。外部キーストアで HMAC KMS キーや非対称 KMS キーを作成することはできません。
-
外部キーストアの KMS キーでは、GenerateDataKeyPair および GenerateDataKeyPairWithoutPlaintext はサポートされていません。
-
AWS::KMS::Key CloudFormation テンプレートを、外部キーストアの作成や外部キーストア内の KMS キー作成に使用することはできません。
-
マルチリージョンキーは、外部キーストアではサポートされていません。
-
キーマテリアルがインポートされた KMS キーは、外部キーストアではサポートされていません。
-
自動キーローテーションは、カスタムキーストアの KMS キーではサポートされていません。
-
- 外部キーストアで KMS キーを使用する
-
リクエストで KMS キーを使用すると、キー ID、キー ARN、エイリアス、エイリアス ARN により KMS キーを識別します。外部キーストアを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。ただし、外部キーストアで KMS キーを使用すると、暗号化および複合化オペレーションは KMS キーに関連付けられた外部キーを使用して、外部キーマネージャーによって実行されます。
外部キーストアの KMS キーで暗号化された暗号文が標準の KMS キーで暗号化された暗号文と同等以上に安全であることを確認するために、AWS KMS は二重暗号化を使用します。データは最初に、AWS KMS キーマテリアルを使用して AWS KMS で暗号化されます。次に、KMS キーの外部キーを使用して、外部キーマネージャーによって暗号化されます。二重に暗号化された暗号文を復号するには、まず KMS キーの外部キーを使用して、外部キーマネージャーによって暗号文を復号します。次に、KMS キーの AWS KMS キーマテリアルを使用して、AWS KMS で復号します。
これを可能にするには、次の条件が必要です。
-
KMS キーのキーストアは
Enabledである必要があります。キーの状態を検索するには、AWS KMS コンソールのカスタマーマネージドキーの [ステータス] フィールド、または DescribeKey レスポンスのKeyStateフィールドを参照してください。 -
KMS キーをホストする外部キーストアは、その外部キーストアプロキシに接続する必要があります。つまり、外部キーストアの接続状態は
CONNECTEDである必要があります。接続状態は、AWS KMS コンソールの [External key stores] (外部キーストア) ページ、または DescribeCustomKeyStores レスポンスで確認できます。外部キーストアの接続状態は、AWS KMS コンソールの KMS キーの詳細ページにも表示されます。詳細ページで [Cryptographic configuration] (暗号化設定) タブを選択し、[Custom key store] (カスタムキーストア) セクションの [Connection state] (接続状態) フィールドを確認します。
接続状態が
DISCONNECTEDの場合、最初に接続する必要があります。接続状態がFAILEDの場合、問題を解決してから外部キーストアを切断し、接続する必要があります。手順については、「外部キーストアを接続および切断する」を参照してください。 -
外部キーストアプロキシが外部キーを検出できる必要があります。
-
外部キーを有効にして、暗号化と復号を実行する必要があります。
外部キーのステータスは、KMS キーの有効化や無効化など、KMS キーのキーステータスの変化とは無関係で、影響を受けません。同様に、外部キーを無効化または削除しても KMS キーのキーステータスは変わりませんが、関連する KMS キーを使用する暗号化オペレーションは失敗します。
これらの条件が満たされていない場合、暗号化オペレーションは失敗し、AWS KMS は
KMSInvalidStateException例外を返します。外部キーストアを再接続するか、外部キーマネージャーツールを使用して、外部キーを再設定または修復する必要がある場合があります。その他のヘルプについては、「外部キーストアのトラブルシューティング」を参照してください。外部キーストアで KMS キーを使用する場合、各外部キーストアの KMS キーは、暗号化オペレーションでカスタムキーストアのリクエストクォータを共有することに注意してください。クォータを超えた場合、AWS KMS は
ThrottlingExceptionを返します。カスタムキーストアのリクエストクォータの詳細については、「カスタムキーストアのリクエストクォータ」を参照してください。 -
- 詳細
-
-
外部キーストアの詳細については、「外部キーストア」を参照してください。
-
外部キーストアのキーマテリアルの詳細については、「外部キー」を参照してください。
-
外部キーストアで KMS キーを作成するには、「外部キーストアで KMS キーを作成する」を参照してください。
-
外部キーストアで KMS キーを特定して表示するには、「外部キーストアの KMS キーを特定する」を参照してください。
-
外部キーストアで KMS キーを削除する際の注意事項については、「外部キーストア からの KMS キーの削除」を参照してください。
-
