外部キーストアの作成

AWS アカウント とリージョンで、それぞれ 1 つ以上の外部キーストアを作成できます。各外部キーストアは、AWS の外部にある外部キーマネージャー、および AWS KMS と外部キーマネージャーとの通信を仲介する外部キーストアプロキシ (XKS プロキシ) に関連付けられている必要があります。詳細については、「外部キーストアの計画」を参照してください。開始する前に、外部キーストアが必要であることを確認してください。ほとんどのお客様は、AWS KMS キーマテリアルによってバックアップされた KMS キーを使用できます。

外部キーストアを作成するときは、事前に前提条件を構成する必要があります。作成中に、外部キーストアのプロパティを指定します。最も重要なことは、AWS KMS の外部キーストアが、外部キーストアプロキシへの接続に、パブリックエンドポイントまたは VPC エンドポイントサービスを使用するのかどうかを示すことです。また、プロキシの URI エンドポイントや、AWS KMS が API リクエストをプロキシに送信するプロキシエンドポイント内のパスなど、接続の詳細も指定します。

追加の考慮事項

すべての新しい外部キーストアは、切断された状態で作成されます。外部キーストアに KMS キーを作成するときは、外部キーストアを外部キーストアプロキシに接続しておく必要があります。外部キーストアのプロパティを変更するには、外部キーストアの設定を編集します。

前提条件を構成する

外部キーストアを作成する前に、必要なコンポーネント、例えば、外部キーストアのサポートに使用する外部キーマネージャーや、AWS KMS リクエストを外部キーマネージャーが理解できるフォーマットに変換する外部キーストアプロキシなどを、組み立てておく必要があります。

以下のコンポーネントは、すべての外部キーストアに必要です。これらのコンポーネントの他に、選択した外部キーストアプロキシ接続オプションをサポートするコンポーネントを、指定する必要があります。

外部キーマネージャー

各外部キーストアには 1 つ以上の外部キーマネージャーインスタンスが必要です。これには、物理的または仮想的なハードウェアセキュリティモジュール (HSM)、またはキー管理ソフトウェアを使用できます。

キーマネージャーは 1 つだけ使用できますが、冗長性を確保するために、暗号化キーを共有する、関連付けられたキーマネージャーインスタンスを 2 つ以上用意しておくことが推奨されます。外部キーストアでは、外部キーマネージャーを独占的に使用する必要はありません。ただし、外部キーマネージャーには、リソースを保護するために外部キーストアの KMS キーを使用している AWS サービスから届く、予想される頻度での暗号化と復号化のリクエストを処理できる能力が必要です。外部キーマネージャーは、1 秒あたり最大 1,800 件のリクエストを処理し、各リクエストで 250 ミリ秒のタイムアウト内に応答するように設定する必要があります。外部キーマネージャーを AWS リージョン に近い場所に配置し、ネットワークラウンドトリップタイム（RTT）を 35 ミリ秒以下にすることが推奨されます。

外部キーストアプロキシで許可されている場合は、外部キーストアプロキシに関連付ける外部キーマネージャーを変更できますが、新しい外部キーマネージャーは、同じキーマテリアルを持つバックアップまたはスナップショットでなければなりません。KMS キーに関連付ける外部キーが、外部キーストアプロキシで使用できなくなった場合、AWS KMS は、KMS キーで暗号化された暗号文を復号することはできません。

外部キーマネージャーは、外部キーストアプロキシからアクセスできなければなりません。プロキシからのGetHealthStatusレスポンスで、すべての外部キーマネージャーインスタンスが であると報告された場合Unavailable、外部キーストアの作成はすべて で失敗しますXksProxyUriUnreachableException。

外部キーストアプロキシ

ユーザーは、AWS KMS 外部キーストアプロキシ API 仕様の設計要件に従う外部キーストアプロキシ (XKS プロキシ) を指定する必要があります。ユーザーは、外部キーストアプロキシを開発または購入することができ、外部キーマネージャーが提供するまたはそこに組み込まれる外部キーストアプロキシを使用することもできます。AWS KMS では、外部キーストアプロキシを、1 秒あたり最大 1,800 件のリクエストを処理し、各リクエストの 250 ミリ秒のタイムアウト内に応答するよう設定しておくことが推奨されています。外部キーマネージャーを AWS リージョン に近い場所に配置し、ネットワークラウンドトリップタイム（RTT）を 35 ミリ秒以下にすることが推奨されます。　

外部キーストアプロキシは複数の外部キーストアに使用できますが、各外部キーストアには、固有の URI エンドポイントと、リクエストに対応する外部キーストアプロキシ内のパスが必要です。

VPC エンドポイントサービス接続を使用している場合、Amazon VPC に外部キーストアプロキシを配置できますが必須ではありません。プロキシは、プライベートデータセンターなど、AWS の外部に配置でき、VPC エンドポイントサービスは、プロキシとの通信にのみ使用できます。

プロキシ認証の認証情報

外部キーストアを作成するときは、外部キーストアプロキシ認証の認証情報 (XksProxyAuthenticationCredential) を指定する必要があります。

AWS KMS 用の認証情報 (XksProxyAuthenticationCredential) を外部キーストアプロキシに作成します。AWS KMS は、Signature Version 4 (SigV4) プロセスを使用して、外部キーストアプロキシ認証の認証情報でリクエストに署名することで、プロキシを認証します。外部キーストアを作成するときに認証情報を指定します。これはいつでも変更できます。プロキシが認証情報をローテーションする場合は、外部キーストアの認証情報値を更新する必要があります。

プロキシ認証の認証情報は、2 つの要素から成ります。外部キーストアでは両方の要素を指定する必要があります。

AWS KMS が外部キーストアプロキシへのリクエストに署名する際に使用する SigV4 認証情報は、AWS アカウントの AWS Identity and Access Management プリンシパルに関連付けられた SigV4 認証情報とは無関係です。IAM SigV4 認証情報を外部キーストアプロキシに再利用しないでください。

プロキシ接続

外部キーストアを作成するときは、外部キーストアプロキシ認証の接続オプション (XksProxyConnectivity) を指定する必要があります。

AWS KMS は、パブリックエンドポイントまたは Amazon Virtual Private Cloud (Amazon VPC) エンドポイントサービスを使用することで、外部キーストアプロキシと通信できます。パブリックエンドポイントは設定と保守が容易ですが、あらゆるインストールのセキュリティ要件を満たしているとは限りません。Amazon VPC エンドポイントサービスの接続オプションを選択する場合は、必要なコンポーネント (2 つの異なるアベイラビリティーゾーンに 2 つ以上のサブネットがある Amazon VPC、ネットワークロードバランサーとターゲットグループを含む VPC エンドポイントサービス、VPC エンドポイントサービスのプライベート DNS 名など) を作成し、管理する必要があります。

外部キーストアのプロキシ接続オプションは変更できます。ただし、外部キーストアの、KMS キーに関連付けられたキーマテリアルが、引き続き利用可能であることを確認する必要があります。利用できない場合、AWS KMS は KMS キーで暗号化された暗号文を復号できません。

外部キーストアに最適なプロキシ接続オプションを決める方法については、プロキシ接続オプションの選択 を参照してください。VPC エンドポイントサービス接続の作成と設定に関するヘルプは、VPC エンドポイントサービス接続の設定 を参照してください。

プロキシ URI エンドポイント

外部キーストアを作成するには、AWS KMS が外部キーストアプロキシにリクエストを送信するときに使用するエンドポイント (XksProxyUriEndpoint) を、指定する必要があります。

このプロトコルは HTTPS でなければなりません。AWS KMS はポート 443 で通信します。プロキシ URI エンドポイント値のポートを指定しないようにします。

外部キーストアプロキシに設定された TLS サーバ証明書は、外部キーストアプロキシ URI エンドポイントのドメイン名と一致し、外部キーストアでサポートされた認証局が発行している必要があります。リストについては、「Trusted Certificate Authorities」(信頼された証明機関) を参照してください。証明機関は、TLS 証明書を発行する前に、ドメイン所有権の証明を要求します。

TLS 証明書のサブジェクト共通名 (CN) は、プライベート DNS 名と一致している必要があります。例えば、プライベート DNS 名が myproxy-private.xks.example.com の場合、TLS 証明書の CN は、myproxy-private.xks.example.com または *.xks.example.com である必要があります。

プロキシ URI エンドポイントは変更が可能ですが、必ず、外部キーストアプロキシが、外部キーストアの KMS キーに関連付けられたキーマテリアルにアクセスできることを確認します。アクセスできない場合、AWS KMS は KMS キーで暗号化された暗号文を復号できません。

一意性の要件

プロキシ URI パス

外部キーストアを作成するには、外部キーストアプロキシで、必要なプロキシ API へのベースパスを指定する必要があります。値は / から始まり、/kms/xks/v1 で終わる必要があります。v1 は、外部キーストアプロキシの AWS KMS API のバージョンを表しています。このパスでは、必須の要素の間に、/example-prefix/kms/xks/v1 のようなプレフィクスをオプションで含めることができます。この値は、外部キーストアプロキシのドキュメントでご確認いただけます。

AWS KMS は、プロキシ URI エンドポイントとプロキシ URI パスの連結により指定されたアドレスに、プロキシリクエストを送信します。例えば、プロキシ URI エンドポイントが https://myproxy.xks.example.com で、プロキシ URI パスが /kms/xks/v1 である場合、AWS KMS はそのプロキシ API リクエストを https://myproxy.xks.example.com/kms/xks/v1 に送信します。

プロキシ URI パスは変更が可能ですが、必ず、外部キーストアプロキシが、外部キーストアの KMS キーに関連付けられたキーマテリアルにアクセスできることを確認します。アクセスできない場合、AWS KMS は KMS キーで暗号化された暗号文を復号できません。

一意性の要件

VPC エンドポイントサービス

外部キーストアプロキシとの通信に使用する Amazon VPC エンドポイントサービスの名前を指定します。このコンポーネントが必要なのは、VPC エンドポイントサービス接続を使用する外部キーストアのみです。外部キーストア向け VPC エンドポイントサービスの、セットアップと設定方法のヘルプについては、VPC エンドポイントサービス接続の設定 を参照してください。

VPC エンドポイントサービスは、以下のプロパティを持つ必要があります。

一意性の要件

プロキシ設定ファイル

プロキシ設定ファイルは、外部キーストアのプロキシ URI パスとプロキシ認証の認証情報プロパティの値を含む、オプションの JSON ベースファイルです。AWS KMS コンソールで外部キーストアを作成または編集する場合は、プロキシ設定ファイルをアップロードすることで、外部キーストアの設定値を指定できます。このファイルを使用すれば入力や貼り付けのエラーを回避でき、外部キーストアの値を外部キーストアプロキシの値と確実に一致させることができます。

プロキシ設定ファイルは、外部キーストアプロキシによって生成されます。外部キーストアプロキシでプロキシ設定ファイルが提供されているかどうかは、外部キーストアプロキシのドキュメントでご確認いただけます。

以下は、正しい形式の Proxy 設定ファイルの例です。使用している値は架空のものです。

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

プロキシ設定ファイルをアップロードできるのは、AWS KMS コンソールで外部キーストアを作成または編集するときだけです。CreateCustomKeyStore または UpdateCustomKeyStoreオペレーションで使用することはできませんが、プロキシ設定ファイルの値を使用してパラメータ値が正しいことを確認することができます。

外部キーストアを作成する (コンソール)

外部キーストアを作成するときは、事前に 外部キーストアの計画 を確認し、プロキシの接続タイプを選択して、必要なコンポーネントがすべて作成され設定されていることを確認します。必要な値を見つける際に不明なことがあれば、外部キーストアプロキシまたはキー管理ソフトウェアのドキュメントを参照してください。

手順が完了すると、アカウントとリージョンの外部キーストアのリストに、新しい外部キーストアが表示されます。正常に完了しなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「CreateKey 外部キーの エラー」を参照してください。

次の手順: 新しい外部キーストアが自動で接続されない。外部キーストアに AWS KMS keys キーを作成するときは、事前に、外部キーストアプロキシに外部キーストアを接続しておく必要があります。

外部キーストアを作成する (API)

CreateCustomKeyStore オペレーションを使用して、新しい外部キーストアを作成できます。必要なパラメータの値を見つける際に不明なことがあれば、外部キーストアプロキシまたはキー管理ソフトウェアのドキュメントを参照してください。

外部キーストアを作成するには、CreateCustomKeyStore オペレーションでは以下のパラメータ値が必要になります。

aws configure set cli_follow_urlparam false

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

以下の例の値は架空の値です。コマンドを実行する前に、外部キーストアに有効な値に置き換えてください。

パブリックエンドポイント接続を使用して外部キーストアを作成します。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>  

VPC エンドポイントサービス接続を使用して外部キーストアを作成します。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

オペレーションが正常に終了したら、次のレスポンス例に示すように、CreateCustomKeyStore はカスタムキーストア ID を返します。

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

オペレーションが失敗した場合は、例外で示されているエラーを修正して、もう一度試してください。その他のヘルプについては、「外部キーストアのトラブルシューティング」を参照してください。

次の手順: 外部キーストアを使用するには、これを外部キーストアプロキシに接続します。