AWS CloudHSM キーストアの表示 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアの表示

各アカウントとリージョンの AWS CloudHSM キーストアは、AWS KMS コンソール、またはDescribeCustomKeyStores オペレーションを使用することで表示できます。

AWS マネジメントコンソール で AWS CloudHSM キーストアを表示すると、以下を確認できます。

  • カスタムキーストアの名前と ID

  • 関連付け済み AWS CloudHSM クラスターの ID

  • クラスター内の HSM の数

  • 現在の接続ステータス

Disconnected の接続ステータス ([Status]) 値は、カスタムキーストアが新しく、まだ接続されたことがないこと、または AWS CloudHSM クラスターから意図的に切断されたことを示します。ただし、接続されているカスタムキーストアで KMS キーの使用を試みると失敗する場合は、カスタムキーストアまたはその AWS CloudHSM クラスターに問題がある可能性があります。ヘルプについては、「失敗した KMS キーを修正するには」を参照してください。

指定されたアカウントとリージョンで AWS CloudHSM キーストアを表示するには、以下の手順に従います。

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[AWS CloudHSM key stores] (AWS CloudHSM キーストア) の順に選択します。

表示をカスタマイズするには、[Create key store (キーストアを作成)] ボタンの下に表示される歯車アイコンをクリックします。

AWS CloudHSM キーストアを表示するときは、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) 出力を特定のカスタムキーストアに制限できます。AWS CloudHSM キーストアでは、出力は、カスタムキーストアの ID と名前、カスタムキーストアのタイプ、関連付けられた AWS CloudHSM クラスターの ID、接続ステータスから構成されています。接続状態はエラーを示す場合、出力にエラーの理由を説明するエラーコードも含まれています。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

たとえば、次のコマンドは、アカウントとリージョンのすべてのカスタムキーストアを返します。Limit パラメータと Marker パラメータを使用して、出力のカスタムキーストアをページ分割できます。

$ aws kms describe-custom-key-stores

次のコマンド例では、CustomKeyStoreName パラメータを使用して ExampleCloudHSMKeyStore というフレンドリ名の唯一のカスタムキーストアを取得します。各コマンドで CustomKeyStoreName パラメータまたは CustomKeyStoreId パラメータのどちらかを使用できますが、両方を使用することはできません。

次の出力例は、AWS CloudHSM クラスターに接続されている AWS CloudHSM カスタムキーストアを表します。

注記

AWS CloudHSM キーストアと外部のキーストアを区別するために、DescribeCustomKeyStores レスポンスに CustomKeyStoreType フィールドが追加されました。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}

DisconnectedConnectionState は、カスタムキーストアが接続されたことがないこと、または意図的に AWS CloudHSM クラスターから切断されたことを示します。ただし、KMS キーを、接続済みの AWS CloudHSM キーストアで使うことに失敗した場合は、AWS CloudHSM キーストアかその AWS CloudHSM クラスターに問題があることを示している可能性があります。ヘルプについては、「失敗した KMS キーを修正するには」を参照してください。

カスタムキーストアの ConnectionStateFAILED である場合、DescribeCustomKeyStores レスポンスには、エラーの理由を説明する ConnectionErrorCode 要素が含まれています。

たとえば、次の出力では、INVALID_CREDENTIALS 値は、kmsuser パスワードが無効であるために、カスタムキーストアの接続に失敗したことを示しています。このエラーやその他の接続エラーに関するヘルプについては、「」を参照してください カスタムキーストアのトラブルシューティング

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
詳細はこちら: