AWS CloudHSM キーストアの作成 - AWS Key Management Service
前提条件を構成するAWS CloudHSM キーストアを作成する (コンソール)AWS CloudHSM キーストアを作成する (API)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアの作成

アカウントに 1 つまたは複数の AWS CloudHSM キーストアを作成できます。各 AWS CloudHSM キーストアは、同じ AWS アカウント およびリージョン内の 1 つの AWS CloudHSM クラスターに関連付けられます。 AWS CloudHSM キーストアを作成するときは、事前に前提条件を構成する必要があります。次に、 AWS CloudHSM キーストアを使用する前に、キーストアを AWS CloudHSM クラスターに接続する必要があります。

注記

既存の切断 AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて使用してキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成しません。また、例外をスローしたり、エラーを表示したりすることはありません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。

ヒント

AWS CloudHSM キーストアをすぐに接続する必要はありません。使用する準備ができるまで切断された状態にしておくことができます。ただし、正しく設定されていることを確認するために、接続して、接続状態を表示してから、切断するとよいかも知れません。

前提条件を構成する

各 AWS CloudHSM キーストアは AWS CloudHSM クラスターによってバックアップされます。 AWS CloudHSM キーストアを作成するには、別のキーストアにまだ関連付けられていないアクティブな AWS CloudHSM クラスターを指定する必要があります。また、 を使用してユーザーに代わってキーを作成および管理HSMs AWS KMS できる専用の暗号化ユーザー (CU) をクラスターに作成する必要があります。

AWS CloudHSM キーストアを作成する前に、次の操作を行います。

AWS CloudHSM クラスターを選択する

すべての AWS CloudHSM キーストアは、厳密に 1 つの AWS CloudHSM クラスター に関連付けられます。 AWS CloudHSM キーストアAWS KMS keysで を作成すると、 は の ID や Amazon リソースネーム (ARN) などのKMSキーメタデータ AWS KMS を作成します AWS KMS。次に、関連付けられたクラスターHSMsの にキーマテリアルを作成します。新しいクラスターを作成する AWS CloudHSMことも、既存のクラスターを使用 AWS KMS することもできます。クラスターへの排他的アクセスは必要ありません。

選択した AWS CloudHSM クラスターは、 AWS CloudHSM キーストアに永続的に関連付けられます。 AWS CloudHSM キーストアを作成したら、関連付けられたクラスターのクラスター ID を変更できますが、指定するクラスターは元のクラスターとバックアップ履歴を共有する必要があります。無関係なクラスターを使用するには、新しい AWS CloudHSM キーストアを作成する必要があります。

選択する AWS CloudHSM クラスターには、次の特性が必要です。

  • クラスターがアクティブである必要があります

    クラスターを作成して初期化し、プラットフォーム用の AWS CloudHSM クライアントソフトウェアをインストールしてから、クラスターをアクティブ化する必要があります。手順については、「AWS CloudHSM ユーザーガイド」の「AWS CloudHSMの開始方法」を参照してください。

  • クラスターは、キーストアと同じアカウントとリージョンに存在する必要があります。 AWS CloudHSM あるリージョンの AWS CloudHSM キーストアを別のリージョンのクラスターに関連付けることはできません。複数のリージョンにキーインフラストラクチャを作成するには、各リージョンに AWS CloudHSM キーストアとクラスターを作成する必要があります。

  • クラスターを同じアカウントおよびリージョン内の別のカスタムキーストアに関連付けることはできません。アカウントとリージョンの各 AWS CloudHSM キーストアは、異なる AWS CloudHSM クラスターに関連付ける必要があります。カスタムキーストアに関連付け済みのクラスターまたは関連付け済みのクラスターとバックアップ履歴を共有するクラスターを指定することはできません。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 AWS CloudHSM コンソールまたは DescribeClustersオペレーションを使用します。

    AWS CloudHSM クラスターを別のリージョン にバックアップする場合、そのクラスターは別のクラスターと見なされ、バックアップをそのリージョンのカスタムキーストアに関連付けることができます。ただし、2 つのカスタムKMSキーストアのキーは、同じバッキングキーを持っていても相互運用できません。メタデータを暗号文に AWS KMS バインドするため、暗号化したKMSキーでのみ復号できます。

  • クラスターは、リージョンの 2 つ以上のアベイラビリティーゾーンプライベートサブネットを使用して設定する必要があります。 AWS CloudHSM はすべてのアベイラビリティーゾーンでサポートされているわけではないため、リージョン内のすべてのアベイラビリティーゾーンにプライベートサブネットを作成することをお勧めします。既存のクラスターのサブネットを再構成することはできませんが、クラスター構成の異なるサブネットを持つバックアップからクラスターを作成することはできます。

    重要

    AWS CloudHSM キーストアを作成したら、その AWS CloudHSM クラスター用に設定されたプライベートサブネットを削除しないでください。がクラスター設定内のすべてのサブネットを検出 AWS KMS できない場合、カスタムキーストアへの接続の試行はSUBNET_NOT_FOUND接続エラー状態で失敗します。詳細については、「接続障害の修復方法」を参照してください。

  • クラスターのセキュリティグループ (cloudhsm-cluster-<cluster-id>-sg) には、ポート 2223-2225 でのTCPトラフィックを許可するインバウンドルールとアウトバウンドルールを含める必要があります。インバウンドルールの Source とアウトバウンドルールの Destination は、セキュリティグループ ID と一致している必要があります。これらのルールは、クラスターの作成時にデフォルトで設定されます。変更または削除しないでください。

  • クラスターには、異なるアベイラビリティーゾーンで少なくとも 2 つのアクティブな が含まれている必要がありますHSMs。の数を確認するにはHSMs、 AWS CloudHSM コンソールまたは DescribeClustersオペレーションを使用します。必要に応じて、 を追加できますHSM

信頼アンカー証明書を見つける

カスタムキーストアを作成するときは、 AWS CloudHSM クラスターの信頼アンカー証明書を にアップロードする必要があります AWS KMS。 は、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続するために信頼アンカー証明書 AWS KMS を必要とします。

すべてのアクティブな AWS CloudHSM クラスターには、信頼アンカー証明書 があります。クラスターを初期化する際、この証明書を生成し、customerCA.crt ファイルに保存して、クラスターに接続するホストにコピーしてください。

kmsuser暗号化ユーザーを作成する AWS KMS

AWS CloudHSM キーストアを管理するには、選択したクラスターの kmsuser Crypto User (CU) アカウント AWS KMS にログインします。 AWS CloudHSM キーストアを作成する前に、CU kmsuser を作成する必要があります。次に、 AWS CloudHSM キーストアを作成するときに、 のパスワードを kmsuserに提供します AWS KMS。 AWS CloudHSM キーストアを関連付けられた AWS CloudHSM クラスターに接続するたびに、 は として AWS KMS ログインkmsuserし、kmsuserパスワードをローテーションします。

重要

kmsuser CU を作成するとき、2FA オプションを指定しないでください。その場合、 AWS KMS はログインできず、 AWS CloudHSM キーストアをこの AWS CloudHSM クラスターに接続できません。2FA を指定すると、元に戻すことはできません。代わりに、CU を削除して再作成する必要があります。

kmsuser CU を作成するには、次の手順に従います。

  1. AWS CloudHSM ユーザーガイド「クラウドHSM管理ユーティリティの開始方法 (CMU)」トピックの説明に従って cloudhsm_mgmt_util を開始します。

  2. cloudhsm_mgmt_util の createUser コマンドを使用して、 という名前の CU を作成しますkmsuser

    注記

    パスワードは 7〜32 の英数字で構成する必要があります。大文字と小文字が区別され、特殊文字を含めることはできません。

    たとえば、次のコマンド例では、パスワードが kmsPswdkmsuser CU を作成します。

    aws-cloudhsm> createUser CU kmsuser kmsPswd

AWS CloudHSM キーストアを作成する (コンソール)

で AWS CloudHSM キーストアを作成する場合 AWS Management Console、ワークフローの一部として前提条件を追加および作成できます。ただし、プロセスは事前に構成しておくとより迅速になります。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. [キーストアの作成] を選択します。

  5. カスタムキーストアのわかりやすい名前を入力します。名前は、アカウント内のすべてのカスタムキーストアの間で、一意でなければなりません。

    重要

    このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、 CloudTrail ログやその他の出力でプレーンテキストで表示される場合があります。

  6. AWS CloudHSM キーストアの AWS CloudHSM クラスターを選択します。または、新しい AWS CloudHSM クラスターを作成するには、クラスターの作成 AWS CloudHSM リンクを選択します。

    メニューには、 AWS CloudHSM キーストアにまだ関連付けられていないアカウントとリージョンの AWS CloudHSM クラスターが表示されます。クラスターは、カスタムキーストアとの関連付けの要件を満たす必要があります。

  7. ファイルを選択 を選択し、選択した AWS CloudHSM クラスターの信頼アンカー証明書をアップロードします。これは、クラスターを初期化する際に作成した customerCA.crt ファイルです。

  8. 選択したクラスターで作成した kmsuser Crypto User (CU) のパスワードを入力します。

  9. [Create] (作成) を選択します。

手順が成功すると、新しい AWS CloudHSM キーストアがアカウントとリージョンの AWS CloudHSM キーストアのリストに表示されます。正常に完了しなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

既存の切断 AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて使用してキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成しません。また、例外をスローしたり、エラーを表示したりすることはありません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。

次の : 新しい AWS CloudHSM キーストアは自動的に接続されません。 AWS CloudHSM キーストア AWS KMS keys で を作成する前に、カスタムキーストアを関連する AWS CloudHSM クラスターに接続する必要があります。

AWS CloudHSM キーストアを作成する (API)

CreateCustomKeyStore オペレーションを使用して、アカウントとリージョンの AWS CloudHSM クラスターに関連付けられた新しい AWS CloudHSM キーストアを作成できます。これらの例では AWS Command Line Interface (AWS CLI) を使用していますが、サポートされている任意のプログラミング言語を使用できます。

CreateCustomKeyStore オペレーションでは、次のパラメータ値が必要です。

  • CustomKeyStoreName - アカウント内で一意のカスタムキーストアのわかりやすい名前。

    重要

    このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、 CloudTrail ログやその他の出力でプレーンテキストで表示される場合があります。

  • CloudHsmClusterId – AWS CloudHSM キーストアの要件を満たす AWS CloudHSM クラスターのクラスター ID。

  • KeyStorePassword – 指定されたクラスター内の kmsuser CU アカウントのパスワード。

  • TrustAnchorCertificate – クラスター を初期化したときに作成したcustomerCA.crtファイルの内容。

次の例では、架空のクラスター ID を使用します。コマンドを実行する前に、有効なクラスター ID と置き換えます。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

を使用している場合は AWS CLI、その内容の代わりにトラストアンカー証明書ファイルを指定できます。次の例では、customerCA.crt ファイルはルートディレクトリにあります。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

オペレーションが正常に終了したら、次のレスポンス例に示すように、CreateCustomKeyStore はカスタムキーストア ID を返します。

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

オペレーションが失敗した場合は、例外で示されているエラーを修正して、もう一度試してください。その他のヘルプについては、「カスタムキーストアのトラブルシューティング」を参照してください。

既存の切断 AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて使用してキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成しません。また、例外をスローしたり、エラーを表示したりすることはありません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。

次の : AWS CloudHSM キーストアを使用するには、キーストアを AWS CloudHSM クラスター に接続します