翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 外部キーストアの KMS キー 外部キーストアで KMS キーを作成、表示、管理、使用し、削除をスケジュールするには、他の KMS キーに使用する手順と極めてよく似た手順を使用します。ただし、外部キーストアに KMS キーを作成する場合は、[外部キーストア](keystore-external.md#concept-external-key-store)と[外部キー](keystore-external.md#concept-external-key)を指定します。外部キーストアで KMS キーを使用すると、指定された外部キーにより、外部キーマネージャーが[暗号化および復号オペレーション](keystore-external.md#xks-how-it-works)を実行します。 AWS KMS は、外部キーマネージャーで暗号化キーを作成、表示、更新、または削除することはできません。 は、外部キーマネージャーまたは外部キーに直接アクセス AWS KMS することはありません。暗号化オペレーションのリクエストはすべて、[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)によって仲介されます。外部キーストアで KMS キーを使用するには、KMS キーをホストする外部キーストアを、外部キーストアプロキシに[接続](xks-connect-disconnect.md)する必要があります。 **サポートされている機能** このセクションで説明する手順に加えて、外部キーストアでは KMS キーを使用して次のことを実行できます。 + [キーポリシー](key-policies.md)、[IAM ポリシー](iam-policies.md)、[グラント](grants.md)を使用して、KMS キーへのアクセスを管理します。 + KMS キーを[有効および無効](enabling-keys.md)にします。これらのアクションは、外部キーマネージャーの外部キーには影響しません。 + [タグ](tagging-keys.md)を割り当てて[エイリアス](kms-alias.md)を作成し、[属性ベースのアクセス制御](abac.md) (ABAC) を使用して KMS キーへのアクセスを承認します。 + KMS キーを使用して以下の暗号化オペレーションを実行します。 + [暗号化](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 非対称データキーペアを生成するオペレーション ([GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) と [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)) は、カスタムキーストアでサポートされていません。 + [AWS KMSを統合し](https://aws.amazon.com/kms/features/#AWS_Service_Integration)、[カスタマーマネージドキー](concepts.md#customer-mgn-key)をサポートするAWS のサービス で KMS キーを使用します。 **サポートされていない 機能** + 外部キーストアは、[対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)のみをサポートしています。外部キーストアで HMAC KMS キーや非対称 KMS キーを作成することはできません。 + 外部キーストアの KMS キーでは、[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) および [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) はサポートされていません。 + [AWS::KMS::Key CloudFormation テンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)を、外部キーストアの作成や外部キーストア内の KMS キー作成に使用することはできません。 + [マルチリージョンキー](multi-region-keys-overview.md)は、外部キーストアではサポートされていません。 + [キーマテリアルがインポートされた](importing-keys.md) KMS キーは、外部キーストアではサポートされていません。 + [自動キーローテーション](rotate-keys.md)は、カスタムキーストアの KMS キーではサポートされていません。 ** 外部キーストアで KMS キーを使用する** リクエストで KMS キーを使用すると、[キー ID、キー ARN、エイリアス、エイリアス ARN](concepts.md#key-id) により KMS キーを識別します。外部キーストアを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。ただし、外部キーストアで KMS キーを使用すると、暗号化および複合化オペレーションは KMS キーに関連付けられた外部キーを使用して、外部キーマネージャーによって実行されます。 外部キーストアの KMS キーによって暗号化された暗号文が、標準の KMS キーによって暗号化された暗号文と少なくとも同じくらい安全であることを確認するために、 は[二重暗号化](keystore-external.md#concept-double-encryption) AWS KMS を使用します。データは、まず AWS KMS キーマテリアル AWS KMS を使用して で暗号化されます。次に、KMS キーの外部キーを使用して、外部キーマネージャーによって暗号化されます。二重に暗号化された暗号文を復号するには、まず KMS キーの外部キーを使用して、外部キーマネージャーによって暗号文を復号します。次に、KMS AWS KMS キーのキーマテリアル AWS KMS を使用して で復号されます。 これを可能にするには、次の条件が必要です。 + KMS キーの[キーストア](key-state.md)は `Enabled` である必要があります。キーの状態を検索するには、[AWS KMS コンソール](finding-keys.md#viewing-console-details)のカスタマーマネージドキーの **[ステータス]** フィールド、または [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) レスポンスの `KeyState` フィールドを参照してください。 + KMS キーをホストする外部キーストアは、その[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)に接続する必要があります。つまり、外部キーストアの[接続状態](xks-connect-disconnect.md#xks-connection-state)は `CONNECTED` である必要があります。 接続状態は、 AWS KMS コンソールの**外部キーストア**ページまたは [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) レスポンスで確認できます。外部キーストアの接続状態は、 AWS KMS コンソールの KMS キーの詳細ページにも表示されます。詳細ページで **[Cryptographic configuration]** (暗号化設定) タブを選択し、**[Custom key store]** (カスタムキーストア) セクションの **[Connection state]** (接続状態) フィールドを確認します。 接続状態が `DISCONNECTED` の場合、最初に接続する必要があります。接続状態が `FAILED` の場合、問題を解決してから外部キーストアを切断し、接続する必要があります。手順については、「[外部キーストアを接続および切断する](xks-connect-disconnect.md)」を参照してください。 + 外部キーストアプロキシが外部キーを検出できる必要があります。 + 外部キーを有効にして、暗号化と復号を実行する必要があります。 外部キーのステータスは、KMS キーの有効化や無効化など、KMS キーの[キーステータス](key-state.md)の変化とは無関係で、影響を受けません。同様に、外部キーを無効化または削除しても KMS キーのキーステータスは変わりませんが、関連する KMS キーを使用する暗号化オペレーションは失敗します。 これらの条件が満たされない場合、暗号化オペレーションは失敗し、`KMSInvalidStateException`例外 AWS KMS を返します。[外部キーストアを再接続](xks-connect-disconnect.md)するか、外部キーマネージャーツールを使用して、外部キーを再設定または修復する必要がある場合があります。その他のヘルプについては、「[外部キーストアのトラブルシューティング](xks-troubleshooting.md)」を参照してください。 外部キーストアで KMS キーを使用する場合、各外部キーストアの KMS キーは、暗号化オペレーションで[カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)を共有することに注意してください。クォータを超えると、 は AWS KMS を返します`ThrottlingException`。カスタムキーストアのリクエストクォータの詳細については、「[カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)」を参照してください。 **詳細情報** + 外部キーストアの詳細については、「[外部キーストア](keystore-external.md)」を参照してください。 + 外部キーストアのキーマテリアルの詳細については、「[外部キー](keystore-external.md#concept-external-key)」を参照してください。 + 外部キーストアで KMS キーを作成するには、「[外部キーストアで KMS キーを作成する](create-xks-keys.md)」を参照してください。 + 外部キーストアで KMS キーを特定して表示するには、「[外部キーストアの KMS キーを特定する](identify-key-types.md#view-xks-key)」を参照してください。 + 外部キーストアで KMS キーを削除する際の注意事項については、[「外部キーストア からの KMS キーの削除](deleting-keys.md#delete-xks-key)」を参照してください。