翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM キーストアを作成する
<a name="create-keystore"></a>

アカウントに 1 つまたは複数の AWS CloudHSM キーストアを作成できます。各 AWS CloudHSM キーストアは、同じ AWS アカウント およびリージョン内の 1 つの AWS CloudHSM クラスターに関連付けられます。 AWS CloudHSM キーストアを作成するときは、事前に[前提条件を構成する](#before-keystore)必要があります。次に、 AWS CloudHSM キーストアを使用する前に、そのキーストアを AWS CloudHSM クラスター[に接続](connect-keystore.md)する必要があります。

**注意事項**  
KMS は IPv6 経由で AWS CloudHSM キーストアと通信できません。  
既存の*切断* AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて含むキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成せず、例外をスローしたり、エラーを表示したりしません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。  
 AWS CloudHSM キーストアをすぐに接続する必要はありません。使用する準備ができるまで切断された状態にしておくことができます。ただし、正しく設定されていることを確認するために、[接続](connect-keystore.md)して、[接続状態を表示](view-keystore.md)してから、[切断](disconnect-keystore.md)するとよいかも知れません。

**Topics**
+ [前提条件を構成する](#before-keystore)
+ [新しい AWS CloudHSM キーストアを作成する](#create-hsm-keystore)

## 前提条件を構成する
<a name="before-keystore"></a>

各 AWS CloudHSM キーストアは AWS CloudHSM クラスターによってバックアップされます。 AWS CloudHSM キーストアを作成するには、別のキーストアにまだ関連付けられていないアクティブな AWS CloudHSM クラスターを指定する必要があります。また、 を使用してユーザーに代わってキーを作成および管理 AWS KMS できるクラスターの HSMs に、専用の暗号化ユーザー (CU) を作成する必要があります。

 AWS CloudHSM キーストアを作成する前に、次の操作を行います。

** AWS CloudHSM クラスターを選択する**  
すべての AWS CloudHSM キーストアは[、1 つの AWS CloudHSM クラスターにのみ関連付け](keystore-cloudhsm.md#concept-cluster)られます。 AWS CloudHSM キーストア AWS KMS keys で を作成すると、 は ID や Amazon リソースネーム (ARN) などの KMS キーメタデータ AWS KMS を作成します AWS KMS。その後で、関連付けられたクラスターの HSM でキーマテリアルを作成します。[新しいクラスターを作成する AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)ことも、既存のクラスターを使用することもできます。クラスターへの排他的アクセス AWS KMS は必要ありません。  
選択した AWS CloudHSM クラスターは、 AWS CloudHSM キーストアに永続的に関連付けられます。 AWS CloudHSM キーストアを作成したら、関連付けられた[クラスターのクラスター ID を変更できます](update-keystore.md)が、指定するクラスターはバックアップ履歴を元のクラスターと共有する必要があります。無関係なクラスターを使用するには、新しい AWS CloudHSM キーストアを作成する必要があります。  
選択する AWS CloudHSM クラスターには、次の特性が必要です。  
+ **クラスターがアクティブである必要があります**。

  クラスターを作成して初期化し、プラットフォーム用の AWS CloudHSM クライアントソフトウェアをインストールしてから、クラスターをアクティブ化する必要があります。手順については、「AWS CloudHSM ユーザーガイド」の「[Getting started with AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)」を参照してください。
+ **相互 TLS (mTLS) が有効化されていません。**

  KMS はクラスターに対する mTLS をサポートしません。この設定は有効にしないでください。
+ **クラスターは、キーストアと同じアカウントとリージョンに存在する必要があります**。 AWS CloudHSM あるリージョンの AWS CloudHSM キーストアを別のリージョンのクラスターに関連付けることはできません。複数のリージョンにキーインフラストラクチャを作成するには、各リージョンに AWS CloudHSM キーストアとクラスターを作成する必要があります。
+ **クラスターを同じアカウントおよびリージョン内の別のカスタムキーストアに関連付ける**ことはできません。アカウントとリージョンの各 AWS CloudHSM キーストアは、異なる AWS CloudHSM クラスターに関連付ける必要があります。カスタムキーストアに関連付け済みのクラスターまたは関連付け済みのクラスターとバックアップ履歴を共有するクラスターを指定することはできません。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 AWS CloudHSM コンソールまたは [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。

  [AWS CloudHSM クラスターを別のリージョンにバックアップ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html)する場合、そのクラスターは別のクラスターと見なされ、そのリージョン内のカスタムキーストアにバックアップを関連付けることができます。ただし、2 つのカスタムキーストアの KMS キーは、同じバッキングキーがあっても相互運用できません。 はメタデータを暗号文に AWS KMS バインドするため、暗号化した KMS キーでのみ復号できます。
+ クラスターは、リージョンの **2 つ以上のアベイラビリティーゾーン**で[プライベートサブネット](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html)を使用して設定する必要があります。 AWS CloudHSM はすべてのアベイラビリティーゾーンでサポートされていないため、リージョン内のすべてのアベイラビリティーゾーンにプライベートサブネットを作成することをお勧めします。既存のクラスターのサブネットを再構成することはできませんが、クラスター構成の異なるサブネットを持つ[バックアップからクラスターを作成](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)することはできます。
**重要**  
 AWS CloudHSM キーストアを作成したら、その AWS CloudHSM クラスター用に設定されたプライベートサブネットを削除しないでください。がクラスター設定内のすべてのサブネットを見つける AWS KMS ことができない場合、[カスタムキーストアへの接続](connect-keystore.md)の試行は`SUBNET_NOT_FOUND`接続エラー状態で失敗します。詳細については、「[接続障害の修復方法](fix-keystore.md#fix-keystore-failed)」を参照してください。
+ [クラスターのセキュリティグループ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) には、ポート 2223～2225 で IPv4 経由の TCP トラフィックを許可するインバウンドルールとアウトバウンドルールを含める必要があります。インバウンドルールの **Source** とアウトバウンドルールの **Destination** は、セキュリティグループ ID と一致している必要があります。これらのルールは、クラスターの作成時にデフォルトで設定されます。変更または削除しないでください。
+ **クラスターは、異なるアベイラビリティーゾーンの少なくとも 2 つのアクティブな HSM** を含む必要があります。HSMs の数を確認するには、 AWS CloudHSM コンソールまたは [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。必要に応じて、[HSM を追加](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm)できます。

**信頼アンカー証明書を見つける**  
カスタムキーストアを作成するときは、 AWS CloudHSM クラスターのトラストアンカー証明書を にアップロードする必要があります AWS KMS。 は AWS CloudHSM 、キーストアを関連する AWS CloudHSM クラスターに接続するためにトラストアンカー証明書 AWS KMS を必要とします。  
すべてのアクティブな AWS CloudHSM クラスターには*トラストアンカー証明書*があります。[クラスターを初期化](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)する際、この証明書を生成し、`customerCA.crt` ファイルに保存して、クラスターに接続するホストにコピーしてください。

**の`kmsuser`暗号化ユーザーを作成する AWS KMS**  <a name="kmsuser-concept"></a>
 AWS CloudHSM キーストアを管理するには、選択したクラスターの [`kmsuser` Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) アカウント AWS KMS にログインします。 AWS CloudHSM キーストアを作成する前に、CU `kmsuser` を作成する必要があります。次に、 AWS CloudHSM キーストアを作成するときに、 のパスワードを `kmsuser` に提供します AWS KMS。 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続するたびに、 は として AWS KMS ログイン`kmsuser`し、`kmsuser`パスワードをローテーションします。  
`kmsuser` CU を作成するとき、`2FA` オプションを指定しないでください。その場合、 AWS KMS はログインできず、 AWS CloudHSM キーストアはこの AWS CloudHSM クラスターに接続できません。2FA を指定すると、元に戻すことはできません。代わりに、CU を削除して再作成する必要があります。
**注意事項**  
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。  
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。

1. 「*AWS CloudHSM ユーザーガイド*」の「[CloudHSM コマンドラインインターフェイス (CLI) の使用開始](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html)」トピックに記載されている使用開始手順に従ってください。

1. [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) コマンドを使用して、`kmsuser` という名前の CU を作成します。

   パスワードは 7〜32 の英数字で構成する必要があります。大文字と小文字が区別され、特殊文字を含めることはできません。

   次のコマンド例では、`kmsuser` CU を作成します。

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## 新しい AWS CloudHSM キーストアを作成する
<a name="create-hsm-keystore"></a>

[前提条件を組み立て](#before-keystore)た後、 AWS KMS コンソールで、または [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) オペレーションを使用して、新しい AWS CloudHSM キーストアを作成できます。

### AWS KMS コンソールの使用
<a name="create-keystore-console"></a>

で AWS CloudHSM キーストアを作成するときに AWS マネジメントコンソール、ワークフローの一部として[前提条件](#before-keystore)を追加および作成できます。ただし、プロセスは事前に構成しておくとより迅速になります。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。

1. **[キーストアの作成]** を選択します。

1. カスタムキーストアのわかりやすい名前を入力します。名前は、アカウント内のすべてのカスタムキーストアの間で、一意でなければなりません。
**重要**  
このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

1.  AWS CloudHSM キーストアの [AWS CloudHSM クラスター](keystore-cloudhsm.md#concept-cluster)を選択します。または、新しい AWS CloudHSM クラスターを作成するには、**クラスターの作成 AWS CloudHSM **リンクを選択します。

   メニューには、 AWS CloudHSM キーストアにまだ関連付けられていないアカウントとリージョンの AWS CloudHSM クラスターが表示されます。クラスターは、カスタムキーストアとの関連付けの[要件を満たす](#before-keystore)必要があります。

1. **ファイルの選択**を選択し、選択した AWS CloudHSM クラスターのトラストアンカー証明書をアップロードします。これは、[クラスターを初期化する](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)際に作成した `customerCA.crt` ファイルです。

1. 選択したクラスターで作成した [`kmsuser` Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) のパスワードを入力します。

1. **[作成]** を選択します。

プロシージャが成功すると、新しい AWS CloudHSM キーストアがアカウントとリージョンの AWS CloudHSM キーストアのリストに表示されます。正常に完了しなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。

既存の*切断* AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて含むキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成しません。また、例外をスローしたり、エラーを表示したりしません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。

**次へ**: 新しい AWS CloudHSM キーストアは自動的に接続されません。 AWS CloudHSM キーストア AWS KMS keys で を作成する前に、[カスタムキーストアを関連するクラスターに接続](connect-keystore.md)する必要があります。 AWS CloudHSM 

### AWS KMS API の使用
<a name="create-keystore-api"></a>

[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) オペレーションを使用して、アカウントとリージョンの AWS CloudHSM クラスターに関連付けられた新しい AWS CloudHSM キーストアを作成できます。これらの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用できます。

`CreateCustomKeyStore` オペレーションでは、次のパラメータ値が必要です。
+ CustomKeystorename — アカウント内で一意のカスタムキーストアのフレンドリ名。
**重要**  
このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
+ CloudHsmClusterId – AWS CloudHSM キーストア[の要件を満たす](#before-keystore) AWS CloudHSM クラスターのクラスター ID。
+ KeyStorePassword — 指定したクラスター内の `kmsuser` CU アカウントのパスワード。
+ TrustAnchorCertificate — [クラスターを初期化した](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html)際に作成した `customerCA.crt` ファイルの内容。

次の例では、架空のクラスター ID を使用します。コマンドを実行する前に、有効なクラスター ID と置き換えます。

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

を使用している場合は AWS CLI、その内容の代わりにトラストアンカー証明書ファイルを指定できます。次の例では、`customerCA.crt` ファイルはルートディレクトリにあります。

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

オペレーションが正常に終了したら、次のレスポンス例に示すように、`CreateCustomKeyStore` はカスタムキーストア ID を返します。

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

オペレーションが失敗した場合は、例外で示されているエラーを修正して、もう一度試してください。その他のヘルプについては、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。

既存の*切断* AWS CloudHSM された AWS CloudHSM キーストアと同じプロパティ値をすべて含むキーストアを作成しようとすると、 AWS KMS は新しい AWS CloudHSM キーストアを作成せず、例外をスローしたり、エラーを表示したりしません。代わりに、 は重複を再試行の結果である可能性が高いものとして AWS KMS 認識し、既存の AWS CloudHSM キーストアの ID を返します。

**次**へ: AWS CloudHSM キーストアを使用するには、[そのキーストアを AWS CloudHSM クラスターに接続します](connect-keystore.md)。