翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コントロールの目的 4: HSMsおよび POI PIN 承認デバイスへのキーロードは、安全な方法で処理されます。
<a name="pin-compliance-control-4"></a>

*要件 12:* コンポーネントまたは共有からキーをロードする責任があります。HSM メインキーの管理は、サービスの PIN 評価の一部として評価されました。 AWS Payment Cryptography は、個々の共有またはコンポーネントからキーをロードしません。「[暗号化の詳細](cryptographic-details.md)」セクションを参照してください。

*要件 13 および 14:* サービスからのインポート前とエクスポート後の転送のキー保護を記述する必要があります。

*要件 15:* AWS Payment Cryptography は、サービス内のすべてのキーのキーチェック値と、パブリックキーの整合性保証を提供します。アプリケーションは、これらのチェックを使用して、サービスへのインポートまたはサービスからのエクスポート後にキーを検証する責任があります。検証メカニズムが設定されていることを確認する手順を文書化する必要があります。

要件 15-2 では、パブリックキーの整合性と信頼性を保護する方法でロードする必要があります。[ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey) は [GetParametersForImport](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetParametersForImport) とともに、提供された署名証明書の検証を提供します。提供された証明書が自己署名の場合、認証は安全なファイル交換などの別のメカニズムで提供する必要があります。

*要件 16:* 手順のドキュメントでは、キーをサービスにロードする方法を指定する必要があります。API を使用したキーのインポートの手順には、キーのインポート許可を持つロールの使用と、キーをロードするスクリプトやその他のコードの実行の承認を含める必要があります。 AWS CloudTrail ログには、すべての [ImportKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey) イベントが含まれます。ログ記録メカニズムをドキュメントに含める必要があります。このサービスは、正しいキーロードを検証するために、すべてのキーのキーチェック値を提供します。