Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

AWS CloudHSM キーストアを接続する

PDF
RSS
フォーカスモード
AWS CloudHSM キーストアを接続する - AWS Key Management Service
AWS CloudHSM キーストアに接続して再接続する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

新しい AWS CloudHSM キーストアが接続されていません。 AWS CloudHSM キーストア AWS KMS keys で を作成して使用する前に、関連付けられた AWS CloudHSM クラスターに接続する必要があります。 AWS CloudHSM キーストアはいつでも接続および切断でき、その接続状態を表示できます

AWS CloudHSM キーストアを接続する必要はありません。 AWS CloudHSM キーストアは無期限に切断状態のままにして、使用する必要がある場合にのみ接続できます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。

注記

AWS CloudHSM キーストアは、キーストアが接続されていないか、明示的に切断した場合にのみ接続DISCONNECTED状態になります。 AWS CloudHSM キーストアの接続状態が CONNECTEDであっても、使用できない場合は、関連付けられた AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSMs が含まれていることを確認してください。接続障害については、カスタムキーストアのトラブルシューティング を参照してください。

AWS CloudHSM キーストアを接続すると、 は関連付けられた AWS CloudHSM クラスター AWS KMS を見つけて接続し、kmsuserCrypto User (CU) として AWS CloudHSM クライアントにログインしてから、 AWS CloudHSM キーストアが接続されている限り、 AWS CloudHSM クライアントにログインした kmsuser password. AWS KMS remains をローテーションします。

接続を確立するために、 はクラスターの Virtual Private Cloud (VPC) kms-<custom key store ID>に という名前のセキュリティグループ AWS KMS を作成します。セキュリティグループには、クラスターセキュリティグループからのインバウンドトラフィックを許可する単一のルールがあります。 AWS KMS また、 は、クラスターのプライベートサブネットの各アベイラビリティーゾーンに Elastic Network Interface (ENI) を作成します。 は、ENIsをクラスターkms-<cluster ID>のセキュリティグループとセキュリティグループ AWS KMS に追加します。各 ENI の説明は KMS managed ENI for cluster <cluster-ID> です。

接続プロセスは、完了するまでに長い時間 (最長 20 分) がかかる場合があります。

AWS CloudHSM キーストアを接続する前に、キーストアが要件を満たしていることを確認します。

  • 関連付けられた AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内の HSMs の数を確認するには、 AWS CloudHSM コンソールでクラスターを表示するか、DescribeClusters オペレーションを使用します。必要に応じて、HSM を追加できます。

  • クラスターには kmsuserCrypto User (CU) アカウントが必要ですが、 AWS CloudHSM キーストアを接続するときにその CU をクラスターにログインすることはできません。ログアウトのヘルプについては、「ログアウトして再接続する方法」を参照してください。

  • AWS CloudHSM キーストアの接続状態を DISCONNECTINGまたは にすることはできませんFAILED。接続状態を表示するには、 AWS KMS コンソールまたは DescribeCustomKeyStores レスポンスを使用します。接続ステータスが FAILED の場合、カスタムキーストアを切断し、問題を解決してから接続します。

接続障害については、接続障害の修復方法 を参照してください。

AWS CloudHSM キーストアが接続されたら、そこに KMS キーを作成し暗号化オペレーションで既存の KMS キーを使用できます。

AWS CloudHSM キーストアに接続して再接続する

AWS KMS コンソールで、または ConnectCustomKeyStore オペレーションを使用して、 AWS CloudHSM キーストアに接続または再接続できます。

で AWS CloudHSM キーストアを接続するには AWS Management Console、カスタム AWS CloudHSM キーストアページからキーストアを選択します。この接続処理には、完了までに最大で 20 分かかります。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 接続する AWS CloudHSM キーストアの行を選択します。

    AWS CloudHSM キーストアの接続状態が失敗の場合は、接続する前にカスタムキーストアを切断する必要があります。

  5. [Key store actions] (キーストアアクション) メニューから [Connect] (接続) を選択します。

AWS KMS は、カスタムキーストアの接続プロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、 AWS CloudHSM クラスターに kmsuser CU としてログインして、kmsuser パスワードをローテーションします。操作が完了すると、接続状態が [接続済み] に変わります。

オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。再度接続を試みる前に、 AWS CloudHSM キーストアの接続状態を確認してください。状態が [失敗] になっている場合は、カスタムキーストアを切断してからキーストアをもう一度接続する必要があります。ヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

次の手順: キーストアで KMS AWS CloudHSM キーを作成する

で AWS CloudHSM キーストアを接続するには AWS Management Console、カスタム AWS CloudHSM キーストアページからキーストアを選択します。この接続処理には、完了までに最大で 20 分かかります。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 接続する AWS CloudHSM キーストアの行を選択します。

    AWS CloudHSM キーストアの接続状態が失敗の場合は、接続する前にカスタムキーストアを切断する必要があります。

  5. [Key store actions] (キーストアアクション) メニューから [Connect] (接続) を選択します。

AWS KMS は、カスタムキーストアの接続プロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、 AWS CloudHSM クラスターに kmsuser CU としてログインして、kmsuser パスワードをローテーションします。操作が完了すると、接続状態が [接続済み] に変わります。

オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。再度接続を試みる前に、 AWS CloudHSM キーストアの接続状態を確認してください。状態が [失敗] になっている場合は、カスタムキーストアを切断してからキーストアをもう一度接続する必要があります。ヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

次の手順: キーストアで KMS AWS CloudHSM キーを作成する

切断された AWS CloudHSM キーストアを接続するには、ConnectCustomKeyStore オペレーションを使用します。関連付けられた AWS CloudHSM クラスターには少なくとも 1 つのアクティブな HSM が含まれている必要があり、接続状態を にすることはできませんFAILED

接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続ステータスを判断するときは、DescribeCustomKeyStores のレスポンスを確認します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

AWS CloudHSM キーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの [Custom key stores] (カスタムキーストア) ページで確認できます。またはパラメータなしで DescribeCustomKeyStores オペレーションを使って確認することもできます。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM キーストアが接続されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTEDConnectionState 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。

注記

キーストアと外部 AWS CloudHSM キーストアを区別するために、 CustomKeyStoreTypeフィールドがDescribeCustomKeyStoresレスポンスに追加されました。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

ConnectionState 値が [FAILED] の場合、ConnectionErrorCode 要素が失敗の原因を示します。この場合、 AWS CloudHSM クラスター ID の アカウントで クラスター AWS KMS が見つかりませんでしたcluster-1a23b4cdefg。クラスターを削除した場合、元のクラスターのバックアップから復元することができ、その後でカスタムキーストアのクラスター ID を編集できます。接続エラーコードの対処方法については「接続障害の修復方法」を参照してください。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

切断された AWS CloudHSM キーストアを接続するには、ConnectCustomKeyStore オペレーションを使用します。関連付けられた AWS CloudHSM クラスターには少なくとも 1 つのアクティブな HSM が含まれている必要があり、接続状態を にすることはできませんFAILED

接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続ステータスを判断するときは、DescribeCustomKeyStores のレスポンスを確認します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

AWS CloudHSM キーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの [Custom key stores] (カスタムキーストア) ページで確認できます。またはパラメータなしで DescribeCustomKeyStores オペレーションを使って確認することもできます。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM キーストアが接続されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTEDConnectionState 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。

注記

キーストアと外部 AWS CloudHSM キーストアを区別するために、 CustomKeyStoreTypeフィールドがDescribeCustomKeyStoresレスポンスに追加されました。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

ConnectionState 値が [FAILED] の場合、ConnectionErrorCode 要素が失敗の原因を示します。この場合、 AWS CloudHSM クラスター ID の アカウントで クラスター AWS KMS が見つかりませんでしたcluster-1a23b4cdefg。クラスターを削除した場合、元のクラスターのバックアップから復元することができ、その後でカスタムキーストアのクラスター ID を編集できます。接続エラーコードの対処方法については「接続障害の修復方法」を参照してください。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.