Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

外部キーストアプロキシとの接続オプションを選択する

PDF
RSS
フォーカスモード
外部キーストアプロキシとの接続オプションを選択する - AWS Key Management Service
パブリックエンドポイント接続VPC エンドポイントサービス接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアを作成する前に、 が外部キーストアコンポーネントと AWS KMS 通信する方法を決定する接続オプションを選択します。選択した接続オプションによって、残りの計画プロセスが決まります。

外部キーストアを作成する場合は、 が外部キーストアプロキシと AWS KMS 通信する方法を決定する必要があります。この選択により、必要なコンポーネントとその設定方法が決まります。 は次の接続オプション AWS KMS をサポートします。パフォーマンスとセキュリティの目標に合ったオプションを選択します。

開始する前に、外部キーストアが必要であることを確認してください。ほとんどのお客様は、キーマテリアルでバックアップされた KMS AWS KMS キーを使用できます。

注記

外部キーストアプロキシが外部キーマネージャーに組み込まれている場合は、接続が事前に決められている可能性があります。ガイダンスについては、外部キーマネージャーまたは外部キーストアプロキシのドキュメントを参照してください。

外部キーストアプロキシの接続オプションは、稼働中の外部キーストアでも変更できます。ただし、中断を最小限に抑え、エラーを回避し、データを暗号化する暗号化キーに継続的にアクセスできるように、プロセスを慎重に計画して実行する必要があります。

パブリックエンドポイント接続

AWS KMS は、パブリックエンドポイントを使用してインターネット経由で外部キーストアプロキシ (XKS プロキシ) に接続します。

この接続オプションはセットアップと保守が簡単で、一部のキー管理モデルとも問題なく連携します。ただし、一部の組織のセキュリティ要件を満たしていない場合があります。

パブリックエンドポイント接続

要件

パブリックエンドポイント接続を選択する場合、以下が必要です。

  • 外部キーストアプロキシは、パブリックにルーティング可能なエンドポイントからアクセスできる必要があります。

  • プロキシ URI パス値が異なる場合は、複数の外部キーストアに同じパブリックエンドポイントを使用できます。

  • キーストアが異なる にある場合でも AWS リージョン、パブリックエンドポイント接続を持つ外部キーストアと、同じ 内の VPC エンドポイントサービス接続を持つ外部キーストアに同じエンドポイントを使用することはできません AWS アカウント。

  • 外部キーストアでサポートされている公開認証機関が発行した TLS 証明書を取得する必要があります。リストについては、「Trusted Certificate Authorities」(信頼された証明機関) を参照してください。

    TLS 証明書のサブジェクト共通名 (CN) は、外部キーストアプロキシのプロキシ URI エンドポイントのドメイン名と一致する必要があります。例えば、パブリックエンドポイントが https://myproxy.xks.example.com の場合、TLS、TLS 証明書の CN は、myproxy.xks.example.com または *.xks.example.com である必要があります。

  • AWS KMS と外部キーストアプロキシ間のファイアウォールで、プロキシのポート 443 との間のトラフィックが許可されていることを確認します。 はポート 443 で AWS KMS 通信します。この値は設定できません。

外部キーストアのすべての要件については、前提条件を構成するを参照してください。

VPC エンドポイントサービス接続

AWS KMS は、ユーザーが作成および設定する Amazon VPC エンドポイントサービスへのインターフェイスエンドポイントを作成して、外部キーストアプロキシ (XKS プロキシ) に接続します。ユーザーは、VPC エンドポイントサービスを作成し、VPC を外部キーマネージャーに接続する責任があります。

エンドポイントサービスの通信には、AWS Direct Connect を含むすべてのサポートされている Network-to-Amazon VPC オプションを使用できます。

この接続オプションは、セットアップと保守が複雑です。ただし AWS PrivateLink、 を使用します。これにより、 AWS KMS はパブリックインターネットを使用せずに Amazon VPC と外部キーストアプロキシにプライベートに接続できます。

外部キーストアプロキシは Amazon VPC にあります。

VPC エンドポイントサービス接続 - VPC 内の XKS プロキシ

または、外部キーストアプロキシを の外部に配置し AWS 、安全な通信のためにのみ Amazon VPC エンドポイントサービスを使用します AWS KMS。

VPC エンドポイントサービス接続 - 外の XKS プロキシ AWS

詳細はこちら:

  • 前提条件の組み合わせを含む、外部キーストアを作成するためのプロセスを確認します。外部キーストアを作成する際に、必要なコンポーネントがすべて揃っていることを確認するのに役立ちます。

  • 外部キーストア管理者およびユーザーが必要とする許可を含む、外部キーストアへのアクセスを制御する方法について説明します。

  • が外部キーストア AWS KMS に記録する Amazon CloudWatch メトリクスとディメンションについて説明します。パフォーマンスや運用上の問題の兆候を早期に検出するために、外部キーストアをモニタリングするアラームを作成することを強くお勧めします。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.