翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 顧客オペレーション
<a name="cryptographic-details-customerops"></a>

 AWS Payment Cryptography は、PCI 標準に基づく HSM の物理的なコンプライアンスについて全責任を負います。また、このサービスは安全なキーストアを提供し、PCI 標準で許可され、作成またはインポート中にユーザーが指定した目的にのみキーを使用できるようにします。サービスのセキュリティとコンプライアンス機能を活用するには、キー属性とアクセスを設定する責任があります。

**Topics**
+ [キーの生成](#w2aac39c25b7)
+ [キーのインポート](#w2aac39c25b9)
+ [キーをエクスポートする](#w2aac39c25c11)
+ [キーの削除](#w2aac39c25c13)
+ [キーローテーション](#w2aac39c25c15)

## キーの生成
<a name="w2aac39c25b7"></a>

キーを作成する際には、ポリシーに準拠したキーの使用を強制するためにサービスが使用する属性を設定します。
+ アルゴリズムとキーの長さ 
+ 使用方法 
+ 有効性と有効期限 

属性ベースのアクセス制御 (ABAC) に使用されるタグは、特定のパートナーが使用するキーを制限するために使用されます。また、アプリケーションも作成時に設定する必要があります。タグを削除または変更できるロールを制限するポリシーを必ず含めてください。

キーを作成する前に、キーを使用および管理できるロールを決定するポリシーが設定されていることを確認する必要があります。

**注記**  
CreateKey コマンドの IAM ポリシーを使用して、キー生成の二重制御を実施および実証できます。

## キーのインポート
<a name="w2aac39c25b9"></a>

キーをインポートする場合、キーを準拠して使用するための属性は、キーブロック内の暗号的にバインドされた情報を使用してサービスによって設定されます。基本的なキーコンテキストを設定するメカニズムは、ソース HSM で作成され、共有または非対称 [KEK](terminology.md#terms.kek) で保護されたキーブロックを使用することです。これは PCI PIN の要件と一致し、ソースアプリケーションの使用方法、アルゴリズム、およびキー強度を維持します。

キーブロック内の情報に加えて、重要なキー属性、タグ、アクセス制御ポリシーをインポート時に設定する必要があります。

 暗号文を使用してキーをインポートしても、ソースアプリケーションからキー属性が転送されることはありません。このメカニズムを使用して属性を適切に設定する必要があります。

 多くの場合、キーはクリアテキストを使用して交換され、キー管理者が送信した後、安全なルームで二重制御で取り込まれます。これは AWS Payment Cryptography では直接サポートされていません。API は、お客様の HSM でインポートできる証明書付きのパブリックキーをエクスポートして、サービスでインポート可能なキーブロックをエクスポートします。これにより、独自の HSM を使用してクリアテキストコンポーネントを読み込むことができます。

キーチェック値 (KCV) を使用して、インポートされたキーがソースキーと一致することを確認する必要があります。

ImportKey API の IAM ポリシーを使用して、キーインポートの二重制御を実施し、実証することができます。

## キーをエクスポートする
<a name="w2aac39c25c11"></a>

パートナーやオンプレミスアプリケーションとキーを共有するには、キーのエクスポートが必要な場合があります。エクスポートにキーブロックを使用すると、暗号化されたキーマテリアルとの基本的なキーコンテキストが維持されます。

キータグを使用すると、同じタグと値を共有するキーの KEK へのエクスポートを制限できます。

 AWS Payment Cryptography は、クリアテキストのキーコンポーネントを提供または表示しません。そのためには、キーカストディアンが PCI PTS HSM または ISO 13491 でテストされたセキュア暗号デバイス (SCD) に直接アクセスして表示または印刷する必要があります。SCD に非対称 KEK または対称 KEK を設定して、二重制御のもとでクリアテキストキーコンポーネントの作成を行うことができます。

キーチェック値 (KCV) を使用して、宛先 HSM によってインポートされたものがソースキーと一致することを確認する必要があります。

## キーの削除
<a name="w2aac39c25c13"></a>

キー削除 API を使用して、設定した一定期間後にキーを削除するようにスケジュールできます。削除前であれば、キーは回復可能です。キーが削除されると、サービスから完全に削除されます。

DeleteKey API の IAM ポリシーを使用して、キー削除の二重制御を実施し、実証することができます。

## キーローテーション
<a name="w2aac39c25c15"></a>

 キーローテーションの効果は、キーエイリアスを使用して新しいキーを作成またはインポートし、その新しいキーを参照するようにキーエイリアスを変更することで実装できます。管理方法によっては、古いキーは削除されるか、無効になります。