外部キーストアを作成する - AWS Key Management Service
前提条件を構成する新しい外部キーストアを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアを作成する

AWS アカウント とリージョンで、それぞれ 1 つ以上の外部キーストアを作成できます。各外部キーストアは、AWS の外部にある外部キーマネージャー、および AWS KMS と外部キーマネージャーとの通信を仲介する外部キーストアプロキシ (XKS プロキシ) に関連付けられている必要があります。詳細については、「外部キーストアプロキシとの接続オプションを選択する」を参照してください。開始する前に、外部キーストアが必要であることを確認してください。ほとんどのお客様は、AWS KMS キーマテリアルによってバックアップされた KMS キーを使用できます。

ヒント

外部キーマネージャーの中には、外部 キーを作成するための簡単な方法が用意されているものもあります。詳細については外部キーマネージャーのドキュメントを参照してください。

外部キーストアを作成するときは、事前に前提条件を構成する必要があります。作成中に、外部キーストアのプロパティを指定します。最も重要なことは、AWS KMS の外部キーストアが、外部キーストアプロキシへの接続に、パブリックエンドポイントまたは VPC エンドポイントサービスを使用するのかどうかを示すことです。また、プロキシの URI エンドポイントや、AWS KMS が API リクエストをプロキシに送信するプロキシエンドポイント内のパスなど、接続の詳細も指定します。

  • パブリックエンドポイント接続を使用する場合は、AWS KMS が HTTPS 接続を使用してインターネット経由でプロキシと通信できることを確認します。これには、外部キーストアプロキシでの TLS の設定や、AWS KMS とプロキシとの間のあらゆるファイアウォールで、プロキシのポート 443 とのトラフィックを許可するようにすることが含まれます。パブリックエンドポイント接続を使用して外部キーストアを作成する際、AWS KMS は、外部キーストアプロキシにステータスリクエストを送信することで接続をテストします。このテストでは、エンドポイントが到達可能であることと、外部キーストアプロキシが外部キーストアプロキシ認証の認証情報で署名されたリクエストを受け入れることを、確認します。このテストリクエストに失敗すると、外部キーストアを作成するオペレーションは失敗します。

  • VPC エンドポイントサービス接続を使用する場合は、Network Load Balancer、プライベート DNS 名、VPC エンドポイントサービスが正しく設定され動作していることを確認します。外部キーストアプロキシが VPC にない場合は、VPC エンドポイントサービスが外部キーストアプロキシと通信できることを確認する必要があります (AWS KMS は、外部キーストアプロキシに外部キーストアを接続するときに VPC エンドポイントサービスの接続をテストします)。

追加の考慮事項

  • AWS KMS は、外部キーストアのために Amazon CloudWatch のメトリクスとディメンションを記録します。これらのメトリックの一部に基づいたモニタリングのグラフは、各外部キーストアの AWS KMS コンソールに表示されます。これらのメトリクスを使用して外部キーストアをモニタリングするアラームを作成することが強く推奨されます。これらのアラームは、パフォーマンスやオペレーションに関する問題の初期兆候を、発生前にユーザーに警告します。手順については、外部キーストアをモニタリングする を参照してください。

  • 外部キーストアはリソースクォータの影響を受けます。外部キーストアで KMS キーを使用すると、リクエストクォータの影響を受けます。外部キーストアの実装を設計するときは、事前にこれらのクォータを確認します。

注記

動作を妨げる可能性のある依存関係の循環がないか、設定を確認します。

たとえば、AWS リソースを使用して外部キーストアプロキシを作成する場合、プロキシを操作するときに、そのプロキシ経由でアクセスされる外部キーストアに KMS キーがあることが必須になっていないことを確認します。

すべての新しい外部キーストアは、切断された状態で作成されます。外部キーストアに KMS キーを作成するときは、外部キーストアを外部キーストアプロキシに接続しておく必要があります。外部キーストアのプロパティを変更するには、外部キーストアの設定を編集します。

前提条件を構成する

外部キーストアを作成する前に、必要なコンポーネント、例えば、外部キーストアのサポートに使用する外部キーマネージャーや、AWS KMS リクエストを外部キーマネージャーが理解できるフォーマットに変換する外部キーストアプロキシなどを、組み立てておく必要があります。

以下のコンポーネントは、すべての外部キーストアに必要です。これらのコンポーネントの他に、選択した外部キーストアプロキシ接続オプションをサポートするコンポーネントを、指定する必要があります。

ヒント

外部キーマネージャーにこれらのコンポーネントの一部が含まれているか、あるいはそれらが自動的に構成されている場合があります。詳細については外部キーマネージャーのドキュメントを参照してください。

AWS KMS コンソールで外部キーストアを作成する場合は、プロキシ URI パスプロキシ認証の認証情報を指定する、JSON ベースのプロキシ設定ファイルをアップロードすることができます。一部の外部キーストアプロキシでは、このファイルは自動的に生成されます。詳細については、外部キーストアプロキシか外部キーマネージャーのドキュメントを参照してください。

外部キーマネージャー

各外部キーストアには 1 つ以上の外部キーマネージャーインスタンスが必要です。これには、物理的または仮想的なハードウェアセキュリティモジュール (HSM)、またはキー管理ソフトウェアを使用できます。

キーマネージャーは 1 つだけ使用できますが、冗長性を確保するために、暗号化キーを共有する、関連付けられたキーマネージャーインスタンスを 2 つ以上用意しておくことが推奨されます。外部キーストアでは、外部キーマネージャーを独占的に使用する必要はありません。ただし、外部キーマネージャーには、リソースを保護するために外部キーストアの KMS キーを使用している AWS サービスから届く、予想される頻度での暗号化と復号化のリクエストを処理できる能力が必要です。外部キーマネージャーは、1 秒あたり最大 1,800 件のリクエストを処理し、各リクエストで 250 ミリ秒のタイムアウト内に応答するように設定する必要があります。外部キーマネージャーを AWS リージョン に近い場所に配置し、ネットワークラウンドトリップタイム(RTT)を 35 ミリ秒以下にすることが推奨されます。

外部キーストアプロキシで許可されている場合は、外部キーストアプロキシに関連付ける外部キーマネージャーを変更できますが、新しい外部キーマネージャーは、同じキーマテリアルを持つバックアップまたはスナップショットでなければなりません。KMS キーに関連付ける外部キーが、外部キーストアプロキシで使用できなくなった場合、AWS KMS は、KMS キーで暗号化された暗号文を復号することはできません。

外部キーマネージャーは、外部キーストアプロキシからアクセスできなければなりません。プロキシからの GetHealthStatus レスポンスですべての外部キーマネージャーインスタンスが Unavailable であると報告された場合、外部キーストアを作成しようとすると XksProxyUriUnreachableException によりすべて失敗します。

外部キーストアプロキシ

ユーザーは、AWS KMS 外部キーストアプロキシ API 仕様の設計要件に従う外部キーストアプロキシ (XKS プロキシ) を指定する必要があります。ユーザーは、外部キーストアプロキシを開発または購入することができ、外部キーマネージャーが提供するまたはそこに組み込まれる外部キーストアプロキシを使用することもできます。AWS KMS では、外部キーストアプロキシを、1 秒あたり最大 1,800 件のリクエストを処理し、各リクエストの 250 ミリ秒のタイムアウト内に応答するよう設定しておくことが推奨されています。外部キーマネージャーを AWS リージョン に近い場所に配置し、ネットワークラウンドトリップタイム(RTT)を 35 ミリ秒以下にすることが推奨されます。 

外部キーストアプロキシは複数の外部キーストアに使用できますが、各外部キーストアには、固有の URI エンドポイントと、リクエストに対応する外部キーストアプロキシ内のパスが必要です。

VPC エンドポイントサービス接続を使用している場合、Amazon VPC に外部キーストアプロキシを配置できますが必須ではありません。プロキシは、プライベートデータセンターなど、AWS の外部に配置でき、VPC エンドポイントサービスは、プロキシとの通信にのみ使用できます。

プロキシ認証の認証情報

外部キーストアを作成するときは、外部キーストアプロキシ認証の認証情報 (XksProxyAuthenticationCredential) を指定する必要があります。

AWS KMS 用の認証情報 (XksProxyAuthenticationCredential) を外部キーストアプロキシに作成します。AWS KMS は、Signature Version 4 (SigV4) プロセスを使用して、外部キーストアプロキシ認証の認証情報でリクエストに署名することで、プロキシを認証します。外部キーストアを作成するときに認証情報を指定します。これはいつでも変更できます。プロキシが認証情報をローテーションする場合は、外部キーストアの認証情報値を更新する必要があります。

プロキシ認証の認証情報は、2 つの要素から成ります。外部キーストアでは両方の要素を指定する必要があります。

  • アクセスキー ID: シークレットアクセスキーを識別します。この ID はプレーンテキストで入力できます。

  • シークレットアクセスキー: 認証情報のシークレットの部分です。AWS KMS は、認証情報のシークレットアクセスキーを暗号化し、その後保存します。

AWS KMS が外部キーストアプロキシへのリクエストに署名する際に使用する SigV4 認証情報は、AWS アカウントの AWS Identity and Access Management プリンシパルに関連付けられた SigV4 認証情報とは無関係です。IAM SigV4 認証情報を外部キーストアプロキシに再利用しないでください。

プロキシ接続

外部キーストアを作成するときは、外部キーストアプロキシ認証の接続オプション (XksProxyConnectivity) を指定する必要があります。

AWS KMS は、パブリックエンドポイントまたは Amazon Virtual Private Cloud (Amazon VPC) エンドポイントサービスを使用することで、外部キーストアプロキシと通信できます。パブリックエンドポイントは設定と保守が容易ですが、あらゆるインストールのセキュリティ要件を満たしているとは限りません。Amazon VPC エンドポイントサービスの接続オプションを選択する場合は、必要なコンポーネント (2 つの異なるアベイラビリティーゾーンに 2 つ以上のサブネットがある Amazon VPC、ネットワークロードバランサーとターゲットグループを含む VPC エンドポイントサービス、VPC エンドポイントサービスのプライベート DNS 名など) を作成し、管理する必要があります。

外部キーストアのプロキシ接続オプションは変更できます。ただし、外部キーストアの、KMS キーに関連付けられたキーマテリアルが、引き続き利用可能であることを確認する必要があります。利用できない場合、AWS KMS は KMS キーで暗号化された暗号文を復号できません。

外部キーストアに最適なプロキシ接続オプションを決める方法については、外部キーストアプロキシとの接続オプションを選択する を参照してください。VPC エンドポイントサービス接続の作成と設定に関するヘルプは、VPC エンドポイントサービス接続を設定する を参照してください。

プロキシ URI エンドポイント

外部キーストアを作成するには、AWS KMS が外部キーストアプロキシにリクエストを送信するときに使用するエンドポイント (XksProxyUriEndpoint) を、指定する必要があります。

このプロトコルは HTTPS でなければなりません。AWS KMS はポート 443 で通信します。プロキシ URI エンドポイント値のポートを指定しないようにします。

  • パブリックエンドポイント接続 — 外部キーストアプロキシ用に、公開されているエンドポイントを指定します。このエンドポイントには、外部キーストアを作成する前にアクセスできる必要があります。

  • VPC エンドポイントサービス接続 — 後に VPC エンドポイントサービスのプライベート DNS 名が続く https:// を指定します。

外部キーストアプロキシに設定された TLS サーバ証明書は、外部キーストアプロキシ URI エンドポイントのドメイン名と一致し、外部キーストアでサポートされた認証局が発行している必要があります。リストについては、「Trusted Certificate Authorities」(信頼された証明機関) を参照してください。証明機関は、TLS 証明書を発行する前に、ドメイン所有権の証明を要求します。

TLS 証明書のサブジェクト共通名 (CN) は、プライベート DNS 名と一致している必要があります。例えば、プライベート DNS 名が myproxy-private.xks.example.com の場合、TLS 証明書の CN は、myproxy-private.xks.example.com または *.xks.example.com である必要があります。

プロキシ URI エンドポイントは変更が可能ですが、必ず、外部キーストアプロキシが、外部キーストアの KMS キーに関連付けられたキーマテリアルにアクセスできることを確認します。アクセスできない場合、AWS KMS は KMS キーで暗号化された暗号文を復号できません。

一意性の要件

  • プロキシ URI エンドポイント (XksProxyUriEndpoint) とプロキシ URI パス (XksProxyUriPath) を組み合わせた値は、AWS アカウント およびリージョン内で、一意でなければなりません。

  • パブリックエンドポイントに接続可能な外部キーストアは、プロキシ URI パス値が異なっている限り、同じプロキシ URI エンドポイントを共有できます。

  • パブリックエンドポイントに接続可能な外部キーストアは、同じ AWS リージョン の中では、キーストアが異なる AWS アカウント にあっても、VPC エンドポイントサービスに接続可能な外部キーストアと同じ URI エンドポイント値を使用することはできません。

  • VPC エンドポイントに接続可能な各外部キーストアには、それぞれ独自のプライベート DNS 名が必要です。プロキシ URI エンドポイント (プライベート DNS 名) は、AWS アカウント およびリージョン内に一意でなければなりません。

プロキシ URI パス

外部キーストアを作成するには、外部キーストアプロキシで、必要なプロキシ API へのベースパスを指定する必要があります。値は / から始まり、/kms/xks/v1 で終わる必要があります。v1 は、外部キーストアプロキシの AWS KMS API のバージョンを表しています。このパスでは、必須の要素の間に、/example-prefix/kms/xks/v1 のようなプレフィクスをオプションで含めることができます。この値は、外部キーストアプロキシのドキュメントでご確認いただけます。

AWS KMS は、プロキシ URI エンドポイントとプロキシ URI パスの連結により指定されたアドレスに、プロキシリクエストを送信します。例えば、プロキシ URI エンドポイントが https://myproxy.xks.example.com で、プロキシ URI パスが /kms/xks/v1 である場合、AWS KMS はそのプロキシ API リクエストを https://myproxy.xks.example.com/kms/xks/v1 に送信します。

プロキシ URI パスは変更が可能ですが、必ず、外部キーストアプロキシが、外部キーストアの KMS キーに関連付けられたキーマテリアルにアクセスできることを確認します。アクセスできない場合、AWS KMS は KMS キーで暗号化された暗号文を復号できません。

一意性の要件

  • プロキシ URI エンドポイント (XksProxyUriEndpoint) とプロキシ URI パス (XksProxyUriPath) を組み合わせた値は、AWS アカウント およびリージョン内で、一意でなければなりません。

VPC エンドポイントサービス

外部キーストアプロキシとの通信に使用する Amazon VPC エンドポイントサービスの名前を指定します。このコンポーネントが必要なのは、VPC エンドポイントサービス接続を使用する外部キーストアのみです。外部キーストア向け VPC エンドポイントサービスの、セットアップと設定方法のヘルプについては、VPC エンドポイントサービス接続を設定する を参照してください。

VPC エンドポイントサービスは、以下のプロパティを持つ必要があります。

  • VPC エンドポイントサービスは、外部キーストアと同じ AWS アカウント およびリージョンにあること。

  • Network Load Balancer (NLB) は、それぞれが異なるアベイラビリティーゾーンに存在する 2 つ以上のサブネットに接続されていること。

  • VPC エンドポイントサービスの許可プリンシパルリストには、リージョン: cks.kms.<region>.amazonaws.com (cks.kms.us-east-1.amazonaws.com など) の AWS KMS サービスプリンシパルが含まれていること。

  • 接続リクエストの承認を要求しないこと。

  • 上位レベルのパブリックドメインにプライベート DNS 名があること。例えば、パブリック xks.example.com ドメインに myproxy-private.xks.example.com というプライベート DNS 名を設定できる。

    VPC エンドポイントサービスに接続可能な、外部キーストアのプライベート DNS 名は、その AWS リージョン で一意であること。

  • プライベート DNS 名ドメインのドメイン検証ステータスは、verified であること。

  • 外部キーストアプロキシで設定された TLS サーバ証明書で、エンドポイントに到達可能なプライベート DNS ホスト名が指定されていること。

一意性の要件

  • VPC エンドポイントに接続可能な外部キーストアは Amazon VPC を共有することができますが、各外部キーストアには独自の VPC エンドポイントサービスとプライベート DNS 名が必要です。

プロキシ設定ファイル

プロキシ設定ファイルは、外部キーストアのプロキシ URI パスプロキシ認証の認証情報プロパティの値を含む、オプションの JSON ベースファイルです。AWS KMS コンソールで外部キーストアを作成または編集する場合は、プロキシ設定ファイルをアップロードすることで、外部キーストアの設定値を指定できます。このファイルを使用すれば入力や貼り付けのエラーを回避でき、外部キーストアの値を外部キーストアプロキシの値と確実に一致させることができます。

プロキシ設定ファイルは、外部キーストアプロキシによって生成されます。外部キーストアプロキシでプロキシ設定ファイルが提供されているかどうかは、外部キーストアプロキシのドキュメントでご確認いただけます。

以下は、正しい形式の Proxy 設定ファイルの例です。使用している値は架空のものです。

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

プロキシ設定ファイルをアップロードできるのは、AWS KMS コンソールで外部キーストアを作成または編集するときだけです。CreateCustomKeyStore または UpdateCustomKeyStore オペレーションでは使用できませんが、パラメータ値が正しいかどうかは、プロキシ設定ファイルの値を使用することで確認できます。

新しい外部キーストアを作成する

必要な前提条件を構築したら、AWS KMS コンソールで、または CreateCustomKeyStore オペレーションを使用して、新しい外部キーストアを作成できます。

外部キーストアを作成する際には、お使いのプロキシの接続タイプを選択し、すべての必要なコンポーネントが作成済み・設定済みであることをあらかじめ確認してください。必要な値を見つける際に不明なことがあれば、外部キーストアプロキシまたはキー管理ソフトウェアのドキュメントを参照してください。

注記

AWS Management Console で外部キーストアを作成するときは、プロキシ URI パスプロキシ認証の認証情報の値を含む、JSON ベースのプロキシ設定ファイルをアップロードできます。一部のプロキシでは、このファイルは自動的に生成されます。この値は必須ではありません。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[External key stores] (外部キーストア) の順に選択します。

  4. [Create external key store] (外部キーストアの作成) を選択します。

  5. カスタムキーストア用のフレンドリ名を入力します。名前は、アカウント内のすべての外部キーストアの中で、一意でなければなりません。

    重要

    このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

  6. プロキシの接続タイプを選択します。

    選択した接続によって、外部キーストアプロキシに必要なコンポーネントが決まります。選択方法の詳細については、外部キーストアプロキシとの接続オプションを選択する を参照してください。

  7. この外部キーストアの、VPC エンドポイントサービスの名前を選択または入力します。このステップは、外部キーストアプロキシの接続タイプが [VPC endpoint service] (VPC エンドポイントサービス) である場合のみ表示されます。

    VPC エンドポイントサービスとその VPC は、外部キーストアの要件を満たしている必要があります。詳細については、「前提条件を構成する」を参照してください。

  8. プロキシ URI エンドポイントを入力します。このプロトコルは HTTPS でなければなりません。AWS KMS はポート 443 で通信します。プロキシ URI エンドポイント値のポートを指定しないようにします。

    AWS KMS が、前のステップで指定した VPC エンドポイントサービスを認識すると、このフィールドは自動的に入力されます。

    パブリックエンドポイント接続の場合は、公開されているエンドポイント URI を入力します。VPC エンドポイントサービス接続では、後ろに VPC エンドポイントサービスのプライベート DNS 名が続く https:// を入力します。

  9. プロキシ URI パスプレフィクスとプロキシ認証の認証情報の値を入力するには、プロキシの設定ファイルをアップロードするか、値を手動で入力します。

    • プロキシ URI パスプロキシ認証の認証情報の値を含む、オプションのプロキシ設定ファイルがある場合は、[Upload configuration file] (設定ファイルをアップロード) を選択します。ステップに従ってファイルをアップロードします。

      ファイルがアップロードされると、コンソールの編集可能なフィールドに、ファイルの値が表示されます。ここで値を変更できますが、外部キーストアを作成した後でもこれらの値を編集できます。

      シークレットアクセスキーの値を表示するには、[Show secret access key] (シークレットアクセスキーを表示) を選択します。

    • プロキシ設定ファイルがなければ、プロキシ URI パスとプロキシ認証の認証情報の値を手動で入力できます。

      1. プロキシ設定ファイルがなければ、プロキシ URI を手動で入力できます。コンソールに、必要な [/kms/xks/v1] 値が入力されます。

        プロキシ URI パスに、/example-prefix/kms/xks/v1example-prefix など、オプションのプレフィクスが含まれている場合は、そのプレフィクスを [Proxy URI path prefix] (プロキシ URI パスプレフィクス) フィールドに入力します。含まれていなければ、フィールドは空のままにします。

      2. プロキシ設定ファイルがなければ、プロキシ認証の認証情報を手動で入力します。アクセスキー ID とシークレットアクセスキーの両方が必要です。

        • [Proxy credential: Access key ID] (プロキシ認証情報: アクセスキー ID) に、プロキシ認証の認証情報のアクセスキー ID を入力します。アクセスキー ID は、シークレットアクセスキーを識別します。

        • [Proxy credential: Secret access key] (プロキシ認証情報: シークレットアクセスキー) に、プロキシ認証の認証情報の、シークレットアクセスキーを入力します。

        シークレットアクセスキーの値を表示するには、[Show secret access key] (シークレットアクセスキーを表示) を選択します。

        この手順では、外部キーストアプロキシで作成した認証情報を、設定または変更することはできません。これらの値を、外部キーストアに関連付けるだけです。プロキシ認証の認証情報を設定、変更、ローテーションする方法については、外部キーストアプロキシまたはキー管理ソフトウェアのドキュメントを参照してください。

        プロキシ認証の認証情報が変更された場合は、外部キーストアの認証情報の設定を編集します。

  10. [Create external key store] (外部キーストアの作成) を選択します。

手順が完了すると、アカウントとリージョンの外部キーストアのリストに、新しい外部キーストアが表示されます。正常に完了しなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「外部キーの CreateKey エラー」を参照してください。

次の手順: 新しい外部キーストアが自動で接続されない。外部キーストアに AWS KMS keys キーを作成するときは、事前に、外部キーストアプロキシに外部キーストアを接続しておく必要があります。

新しい外部キーストアを作成するには、CreateCustomKeyStore オペレーションを使用します。必要なパラメータの値を見つける際に不明なことがあれば、外部キーストアプロキシまたはキー管理ソフトウェアのドキュメントを参照してください。

ヒント

CreateCustomKeyStore オペレーションを使用しているときは、プロキシ設定ファイルはアップロードできません。ただし、プロキシ設定ファイルの値を使って、パラメータ値が正しいことを確認することは可能です。

外部キーストアを作成するには、CreateCustomKeyStore オペレーションでは以下のパラメータ値が必要になります。

  • CustomKeyStoreName — アカウント内で一意である外部キーストアのフレンドリ名。

    重要

    このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

  • CustomKeyStoreType - EXTERNAL_KEY_STORE を指定します。

  • XksProxyConnectivity - PUBLIC_ENDPOINT または VPC_ENDPOINT_SERVICE を指定します。

  • XksProxyAuthenticationCredential — アクセスキー ID とシークレットアクセスキーの両方を指定します。

  • XksProxyUriEndpoint - AWS KMS が外部キーストアプロキシとの通信に使用するエンドポイントです。

  • XksProxyUriPath — プロキシ内でのプロキシ API へのパスです。

  • XksProxyVpcEndpointServiceNameXksProxyConnectivity 値が VPC_ENDPOINT_SERVICE の場合のみ必要です。

注記

AWS CLI バージョン 1.0 を使用している場合は、次のコマンドを実行してから HTTP または HTTPS 値を持つパラメータ (XksProxyUriEndpoint パラメータなど) を指定します。

aws configure set cli_follow_urlparam false

そうしないと、AWS CLI バージョン 1.0 が、パラメータ値をこの URI アドレスにある内容に置き換えることになり、以下のエラーが発生します。

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

以下の例の値は架空の値です。コマンドを実行する前に、外部キーストアに有効な値に置き換えてください。

パブリックエンドポイント接続を使用して外部キーストアを作成します。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

VPC エンドポイントサービス接続を使用して外部キーストアを作成します。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

オペレーションが正常に終了したら、次のレスポンス例に示すように、CreateCustomKeyStore はカスタムキーストア ID を返します。

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

オペレーションが失敗した場合は、例外で示されているエラーを修正して、もう一度試してください。その他のヘルプについては、「外部キーストアのトラブルシューティング」を参照してください。

次の手順: 外部キーストアを使用するには、これを外部キーストアプロキシに接続します