翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM キーストアを接続する
<a name="connect-keystore"></a>

新しい AWS CloudHSM キーストアは接続されていません。 AWS CloudHSM キーストア AWS KMS keys で を作成して使用する前に、関連する AWS CloudHSM クラスターに接続する必要があります。 AWS CloudHSM キーストアはいつでも接続および切断でき、[その接続状態を表示できます](view-keystore.md#view-keystore-console)。

 AWS CloudHSM キーストアを接続する必要はありません。 AWS CloudHSM キーストアは無期限に切断状態のままにして、使用する必要がある場合にのみ接続できます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。

**注記**  
AWS CloudHSM キーストアは、キーストアが接続されていないか、明示的に切断した場合にのみ接続`DISCONNECTED`状態になります。 AWS CloudHSM キーストアの接続状態が `CONNECTED`で、使用に問題がある場合は、関連付けられた AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSMs が含まれていることを確認してください。接続障害については、[カスタムキーストアのトラブルシューティング](fix-keystore.md) を参照してください。

 AWS CloudHSM キーストアを接続すると、 は関連する AWS CloudHSM クラスター AWS KMS を見つけて接続し、[`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) として AWS CloudHSM クライアントにログインしてから、 AWS CloudHSM キーストアが接続されている限り AWS CloudHSM 、クライアントにログインした `kmsuser` password. AWS KMS remains をローテーションします。

接続を確立するために、 はクラスターの Virtual Private Cloud (VPC) `kms-<custom key store ID>`に という名前[のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) AWS KMS を作成します。セキュリティグループには、クラスターセキュリティグループからのインバウンドトラフィックを許可する単一のルールがあります。 は、クラスターのプライベートサブネットの各アベイラビリティーゾーンに [Elastic Network Interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) AWS KMS も作成します。 は、ENIs をクラスター`kms-<cluster ID>`のセキュリティグループとセキュリティグループ AWS KMS に追加します。各 ENI の説明は `KMS managed ENI for cluster <cluster-ID>` です。

接続プロセスは、完了するまでに長い時間 (最長 20 分) がかかる場合があります。

 AWS CloudHSM キーストアを接続する前に、キーストアが要件を満たしていることを確認します。
+ 関連付けられた AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内の HSMs の数を確認するには、 AWS CloudHSM コンソールでクラスターを表示するか、[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。必要に応じて、[HSM を追加](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html)できます。
+ クラスターには [`kmsuser`Crypto User](create-keystore.md#kmsuser-concept) (CU) アカウントが必要ですが、 AWS CloudHSM キーストアを接続するときにその CU をクラスターにログインすることはできません。ログアウトのヘルプについては、「[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)」を参照してください。
+  AWS CloudHSM キーストアの接続状態を `DISCONNECTING`または にすることはできません`FAILED`。接続状態を表示するには、 AWS KMS コンソールまたは [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) レスポンスを使用します。接続ステータスが `FAILED` の場合、カスタムキーストアを切断し、問題を解決してから接続します。

接続障害については、[接続障害の修復方法](fix-keystore.md#fix-keystore-failed) を参照してください。

 AWS CloudHSM キーストアが接続されたら、[そこに KMS キーを作成し](create-cmk-keystore.md)、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)で既存の KMS キーを使用できます。

## AWS CloudHSM キーストアに接続して再接続する
<a name="connect-hsm-keystore"></a>

 AWS CloudHSM キーストアは、 AWS KMS コンソールで、または [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) オペレーションを使用して接続または再接続できます。

### AWS KMS コンソールの使用
<a name="connect-keystore-console"></a>

で AWS CloudHSM キーストアを接続するには AWS マネジメントコンソール、カスタム AWS CloudHSM キーストアページから**キーストア**を選択します。この接続処理には、完了までに最大で 20 分かかります。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。

1. 接続する AWS CloudHSM キーストアの行を選択します。

    AWS CloudHSM キーストアの接続状態が**失敗**の場合、接続する前に[カスタムキーストアを切断](disconnect-keystore.md#disconnect-keystore-console)する必要があります。

1. **[Key store actions]** (キーストアアクション) メニューから **[Connect]** (接続) を選択します。

AWS KMS はカスタムキーストアの接続プロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、 AWS CloudHSM クラスターに `kmsuser` CU としてログインして、`kmsuser` パスワードをローテーションします。操作が完了すると、接続状態が **[接続済み]** に変わります。

オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。接続を再試行する前に、 AWS CloudHSM キーストア[の接続状態を確認します](view-keystore.md)。状態が **[失敗]** になっている場合は、[カスタムキーストアを切断](disconnect-keystore.md#disconnect-keystore-console)してからキーストアをもう一度接続する必要があります。ヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。

**次の手順**: [キーストアに KMS AWS CloudHSM キーを作成する](create-cmk-keystore.md)

### AWS KMS API の使用
<a name="connect-keystore-api"></a>

切断された AWS CloudHSM キーストアを接続するには、[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html) オペレーションを使用します。関連付けられた AWS CloudHSM クラスターには少なくとも 1 つのアクティブな HSM が含まれている必要があり、接続状態を にすることはできません`FAILED`。

接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続ステータスを判断するときは、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) のレスポンスを確認します。

このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

 AWS CloudHSM キーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの **[Custom key stores]** (カスタムキーストア) ページで確認できます。またはパラメータなしで [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使って確認することもできます。この例を実行する前に、例の ID を有効な ID に置き換えます。

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

 AWS CloudHSM キーストアが接続されていることを確認するには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、`CustomKeyStoreId` または `CustomKeyStoreName` パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。`CONNECTED` の `ConnectionState` 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。

**注記**  
キーストアと外部 AWS CloudHSM キーストアを区別するために、 `CustomKeyStoreType`フィールドが`DescribeCustomKeyStores`レスポンスに追加されました。

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

`ConnectionState` 値が [FAILED] の場合、`ConnectionErrorCode` 要素が失敗の原因を示します。この場合、 AWS CloudHSM クラスター ID の アカウントで クラスター AWS KMS が見つかりませんでした`cluster-1a23b4cdefg`。クラスターを削除した場合、元のクラスターの[バックアップから復元する](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)ことができ、その後でカスタムキーストアの[クラスター ID を編集](update-keystore.md)できます。接続エラーコードの対処方法については「[接続障害の修復方法](fix-keystore.md#fix-keystore-failed)」を参照してください。

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```