キーストアで KMS AWS CloudHSM キーを作成する - AWS Key Management Service
CloudHSM キーストアに新しい KMS キーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーストアで KMS AWS CloudHSM キーを作成する

AWS CloudHSM キーストアを作成したら、キーストア AWS KMS keys で を作成できます。これらは、 が AWS KMS 生成するキーマテリアルを持つ対称暗号化 KMS キーである必要があります。カスタムキーストアで非対称 KMS キーHMAC KMS キー、またはインポートされたキーマテリアルを持つ KMS キーを作成することはできません。カスタムキーストア内の対称暗号化 KMS キーを使用して、非対称データキーペアを生成することもできません。

キーストアで KMS AWS CloudHSM キーを作成するには、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続し、クラスターに異なるアベイラビリティーゾーンに少なくとも 2 つのアクティブな HSMs が含まれている必要があります。接続ステータスと HSM の数を確認するには、AWS CloudHSM キーストアのページを AWS Management Consoleに表示します。API オペレーションを使用する場合は、DescribeCustomKeyStores オペレーションを使用して、 AWS CloudHSM キーストアが接続されていることを確認します。クラスターとそのアベイラビリティーゾーン内のアクティブな HSMs の数を確認するには、 AWS CloudHSM DescribeClusters オペレーションを使用します。

AWS CloudHSM キーストアで KMS キーを作成すると、 AWS KMS は KMS キーを作成します AWS KMS。ただし、関連付けられた AWS CloudHSM クラスターに KMS キーのキーマテリアルが作成されます。具体的には、 はkmsuser、作成した CU としてクラスターに AWS KMS サインインします。次に、クラスター内に永続的で抽出不可能な 256 ビットの Advanced Encryption Standard (AES) 対称キーが作成され、 AWS KMS がキーラベルの属性値を設定します。これはクラスター内で、KMS キーの Amazon リソースネーム (ARN) にのみ表示されます。 

コマンドが成功すると、新しいKMS キーのキーステータスEnabled になり、そのオリジンは AWS_CLOUDHSM になります。作成後に KMS キーのオリジンを変更することはできません。 AWS KMS コンソールで、または DescribeKey オペレーションを使用して AWS CloudHSM キーストアで KMS キーを表示すると、キー ID、キーの状態、作成日などの一般的なプロパティを確認できます。カスタムキーストア ID と AWS CloudHSM クラスター ID (オプション) を確認することもできます。

AWS CloudHSM キーストアで KMS キーを作成しようとすると失敗する場合は、エラーメッセージを使用して原因を特定してください。 AWS CloudHSM キーストアが接続されていない (CustomKeyStoreInvalidStateException)、または関連付けられた AWS CloudHSM クラスターに、このオペレーションに必要な 2 つのアクティブな HSMs がない () ことを示している可能性がありますCloudHsmClusterInvalidConfigurationException。ヘルプについては、を参照してください カスタムキーストアのトラブルシューティング

AWS CloudHSM キーストアに KMS キーを作成する オペレーションの AWS CloudTrail ログの例については、「」を参照してくださいCreateKey

CloudHSM キーストアに新しい KMS キーを作成する

対称暗号化 KMS キーは、コンソールの AWS CloudHSM キーストアで AWS KMS 作成することも、CreateKey オペレーションを使用して作成することもできます。

キーストアに対称暗号化 KMS AWS CloudHSM キーを作成するには、次の手順に従います。

注記

エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. [Create key] (キーの作成) を選択します。

  5. [対称] を選択します。

  6. [Key usage] (キーの使用) では、[Encrypt and decrypt] (暗号化および復号化) オプションがすでに選択されています。この設定は変更しないでください。

  7. [Advanced options (詳細オプション)] を選択します。

  8. [キーマテリアルのオリジン] で、[AWS CloudHSM キーストア] を選択します。

    キーストアにマルチリージョン AWS CloudHSM キーを作成することはできません。

  9. [Next (次へ)] を選択します。

  10. 新しい KMS AWS CloudHSM キーの キーストアを選択します。新しい AWS CloudHSM キーストアを作成するには、カスタムキーストアの作成を選択します。

    選択する AWS CloudHSM キーストアのステータスは Connected である必要があります。関連付けられた AWS CloudHSM クラスターはアクティブで、異なるアベイラビリティーゾーンに少なくとも 2 つのアクティブな HSMs が含まれている必要があります。

    AWS CloudHSM キーストアの接続については、「」を参照してくださいAWS CloudHSM キーストアを切断する。HSM の追加については、AWS CloudHSM ユーザーガイドHSM の追加を参照してください。

  11. [Next (次へ)] を選択します。

  12. KMS キーのエイリアスおよびオプションの説明を入力します。

  13. (オプション)。[Add Tags] (タグの追加) ページで、KMS キーを識別または分類するタグを追加します。

    AWS リソースにタグを追加すると、 は使用量とコストをタグ別に集計したコスト配分レポート AWS を生成します。タグは、KMS キーへのアクセスの制御にも使用できます。KMS キーのタグ付けについては、のタグ AWS KMS および の ABAC AWS KMS を参照してください。

  14. [Next (次へ)] を選択します。

  15. [Key administrators] (キー管理者) セクションで、KMS キーを管理できる IAM ユーザーとロールを選択します。詳細については、「KMS キーの管理をキー管理者に許可する」を参照してください。

    メモ

    IAM ポリシーでは、KMS キーを使用するアクセス許可を他の IAM ユーザーおよびロールに付与できます。

    IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。

    AWS KMS コンソールは、ステートメント識別子 の下のキーポリシーにキー管理者を追加します"Allow access for Key Administrators"。このステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。

  16. (オプション) これらのキー管理者がこの KMS キーを削除できないようにするには、ページの下部にある [Allow key administrators to delete this key] (キー管理者がこのキーを削除できるようにする) チェックボックスをオフにします。

  17. [Next (次へ)] を選択します。

  18. このアカウントセクションで、暗号化オペレーションで KMS キー AWS アカウント を使用できるこの IAM ユーザーとロールを選択します。詳細については、「KMS キーの使用をキーユーザーに許可する」を参照してください。

    メモ

    IAM ベストプラクティスでは、長期の認証情報を持つ IAM ユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAM ロールを使用してください。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。

    AWS KMS コンソールは、ステートメント識別子 "Allow use of the key"および のキーポリシーにキーユーザーを追加します"Allow attachment of persistent resources"。これらのステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。

  19. (オプション) 暗号化オペレーションにこの KMS キーを使用すること AWS アカウント を他の に許可できます。これを行うには、ページの下部にある「その他の AWS アカウント」セクションで「別の を追加 AWS アカウント」を選択し、外部アカウントの AWS アカウント ID を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。

    注記

    他の の管理者は、ユーザーの IAM ポリシーを作成して KMS キーへのアクセスを許可 AWS アカウント する必要があります。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

  20. [Next (次へ)] を選択します。

  21. キーのキーポリシーステートメントを確認します。キーポリシーを変更するには、編集を選択します。

  22. [Next (次へ)] を選択します。

  23. 選択したキー設定を確認します。戻って、すべての設定を変更することもできます。

  24. 終了したら、[Finish] (完了) を選択し、キーを作成します。

手順が成功すると、選択したキーストアに新しい KMS AWS CloudHSM キーが表示されます。新しい KMS キーの名前またはエイリアスを選択すると、詳細ページの暗号化設定タブに KMS キーのオリジン (AWS CloudHSM)、カスタムキーストアの名前、ID、タイプ、 AWS CloudHSM クラスターの ID が表示されます。手順が失敗すると、失敗を説明するエラーメッセージが表示されます。

ヒント

カスタムキーストアで KMS キーをより簡単に識別できるようにするには、[Customer managed keys (カスタマーマネージドキー)] ページで、[Custom key store ID (カスタムキーストア ID)] 列を表示に追加します。右上隅にある歯車アイコンをクリックし、[Custom key store ID (カスタムキーストア ID)] を選択します。詳細については、「コンソールの表示をカスタマイズする」を参照してください。

キーストアに AWS CloudHSM 新しい AWS KMS key (KMS キー) CreateKey オペレーションを使用します。CustomKeyStoreId パラメータを使用してカスタムキーストアを識別し、AWS_CLOUDHSMOrigin 値を指定します。

また、キーポリシーを指定するために Policy パラメータが必要になる場合もあります。キーポリシー (PutKeyPolicy) を変更したり、 説明タグ などのオプション要素をいつでも追加したりできます。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

次の例では、DescribeCustomKeyStores オペレーションを呼び出して、 AWS CloudHSM キーストアが関連付けられた AWS CloudHSM クラスターに接続されていることを確認します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。特定の AWS CloudHSM キーストアのみを記述するには、その CustomKeyStoreIdまたは CustomKeyStoreNameパラメータを使用します (両方ではありません)。

このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。

注記

Description フィールドまたは Tags フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

次のコマンド例では、DescribeClusters オペレーションを使用して、 ExampleKeyStore (cluster-1a23b4cdefg) に関連付けられている AWS CloudHSM クラスターに少なくとも 2 つのアクティブな HSMs があることを確認します。クラスターにある HSM が 2 つに満たない場合、CreateKey オペレーションは失敗します。

$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}

このコマンド例では、CreateKey オペレーションを使用して キーストアに KMS AWS CloudHSM キーを作成します。キーストアで KMS AWS CloudHSM キーを作成するには、キーストアのカスタム AWS CloudHSM キーストア ID を指定し、 Originの値を指定する必要がありますAWS_CLOUDHSM

レスポンスには、カスタムキーストアと AWS CloudHSM クラスターの IDs が含まれます。

このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}