キーペアを管理する - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーペアを管理する

PGP キーを管理するには、 を使用します AWS Secrets Manager。

注記

シークレットネームには、Transfer FamilyのサーバーIDが含まれます。つまり、PGP キー情報を AWS Secrets Manager保存する「前」に、サーバーを特定または作成しておく必要があります。

1つのキーとパスフレーズをすべてのユーザーに使いたい場合は、PGP キーブロック情報を秘密名 aws/transfer/server-id/@pgp-defaultserver-id は Transfer Family サーバーの ID)の下に保存することができます。Transfer Family は、 がワークフローを実行しているユーザーuser-nameと一致するキーがない場合、このデフォルトキーを使用します。

特定のユーザーのキーを作成できます。この場合、シークレット名の形式は です。 はaws/transfer/server-id/user-name、Transfer Family サーバーのワークフローを実行しているユーザーuser-nameと一致します。

注記

Transfer Family サーバー 1 台につき、1 ユーザーにつき最大 3 つの PGP 秘密鍵を保存できます。

PGP 鍵を復号化に使用するように設定するには

  1. 使用している GPG のバージョンに応じて、次のいずれかのコマンドを実行して、Curve 25519 暗号化アルゴリズムを使用しない PGP キーペアを生成します。

    • GnuPG バージョン 2.3.0 以降を使用している場合は、次のコマンドを実行します。

      gpg --full-gen-key

      RSA を選ぶこともできるし、ECC を選んだ場合は楕円曲線に NISTBrainPool を選ぶこともできます。代わりに gpg --gen-key を実行する場合は、ECC Curve 25519 暗号化アルゴリズムを使用するキーペアを作成します。このアルゴリズムは、現在 PGP キーではサポートされていません。

    • バージョン 2.3.0 より前の GnuPG では、RSA がデフォルトの暗号化タイプであるため、次のコマンドを使用できます。

      gpg --gen-key
    重要

    キー生成プロセス中に、パスフレーズと E メールアドレスを指定する必要があります。これらの値は必ず書き留めておいてください。この手順の AWS Secrets Manager 後半でキーの詳細を に入力するときに、パスフレーズを指定する必要があります。また、次のステップでプライベートキーをエクスポートする場合も、同じメールアドレスを指定する必要があります。

  2. 以下のコマンドを実行してプライベートキーをエクスポートします。このコマンドを使うには、private.pgp を秘密鍵ブロックを保存するファイル名に、marymajor@example.com をキーペアを生成したときに使った電子メールアドレスに置き換えます。

    gpg --output private.pgp --armor --export-secret-key marymajor@example.com

  3. AWS Secrets Manager を使用して PGP キーを保存します。

    1. にサインイン AWS Management Console し、https://console.aws.amazon.com/secretsmanager/ で AWS Secrets Manager コンソールを開きます。

    2. 左側のナビゲーションペインで [サーバー] を選択します。

    3. [シークレット]ページで、[新しいシークレットの保存]を選択します。

    4. [シークレットタイプの選択] ページの[シークレットタイプ] で[その他のシークレットタイプ] を選択します。

    5. [キー/値のペア] セクションで、[キー/値] タブを選択します。

      • キーPGPPrivateKeyと入力します。

        注記

        PGPPrivateKey 文字列は正確に入力する必要があります。文字の前や間にスペースを入れないでください。

      • 」 — 秘密鍵のテキストを値フィールドに貼り付けます。プライベートキーのテキストは、この手順の前半でキーをエクスポートしたときに指定したファイル (private.pgp など) にあります。キーは -----BEGIN PGP PRIVATE KEY BLOCK----- で始まり、-----END PGP PRIVATE KEY BLOCK----- で終わります。

        注記

        テキストブロックには秘密鍵のみが含まれ、公開鍵も含まれていないことを確認してください。

    6. [行を追加] を選択し、[キー/値のペア] セクションで [キー/値] タブを選択します。

      • キーPGPPassphraseと入力します。

        注記

        PGPPassphrase 文字列は正確に入力する必要があります。文字の前や間にスペースを入れないでください。

      • 」 — PGP キーペアを生成したときに使用したパスフレーズを入力します。

      PGP キーを管理するために入力したキーと値を示す AWS Secrets Manager コンソール。
      注記

      最大 3 セットのキーとパスフレーズを追加できます。2 つ目のセットを追加するには、2 つの新しい行を追加し、キーには PGPPrivateKey2PGPPassphrase2 を入力し、別のプライベートキーとパスフレーズを貼り付けます。3 番目のセットを追加するには、キー値は PGPPrivateKey3PGPPassphrase3 でなければなりません。

    7. [次へ] を選択します。

    8. [シークレットの設定] ページで、シークレットの名前と説明を入力します。

      • デフォルトキー、つまり Transfer Family のすべてのユーザーが使用できるキーを作成する場合は、aws/transfer/server-id/@pgp-default と入力します。server-idを、復号ステップを持つワークフローを含むサーバーの ID に置き換えます。

      • 特定の Transfer Family ユーザーが使用するキーを作成する場合は、aws/transfer/server-id/user-name と入力します。server-id を復号ステップを持つワークフローを含むサーバーの ID に置き換え、user-name をワークフローを実行しているユーザー名に置き換えます。user-name は、Transfer Family サーバーが使用している ID プロバイダーに保存されます。

    9. [次へ] を選択し、[ローテーションの設定] ページのデフォルトを受け入れます。次いで、[次へ] を選択します。

    10. [レビュー] ページで [ストア] を選択し、シークレットを作成して保存します。

次のスクリーンショットは、特定の Transfer Family サーバのユーザ marymajor の詳細を示している。この例では、3 つのキーとそれに対応するパスフレーズが表示されています。

Transfer Family サーバーとユーザーの 3 つのキーとパスフレーズを含むシークレットの詳細ページを示す AWS Secrets Manager コンソール。