を使用した AWS KMS リソースの作成 AWS CloudFormation - AWS Key Management Service
AWS KMSAWS CloudFormation テンプレートの リソースの詳細 AWS CloudFormation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した AWS KMS リソースの作成 AWS CloudFormation

AWS Key Management Service は AWS CloudFormation、 AWS リソースとインフラストラクチャの作成と管理に費やす時間を短縮できるように、リソースのモデル化とセットアップに役立つサービスである と統合されています。KMS キーとエイリアスを記述したテンプレートを作成すれば、 AWS CloudFormation がこれらのリソースのプロビジョニングや設定を処理します。 AWS KMS のサポートについては CloudFormation、「 ユーザーガイド」の「KMS リソースタイプのリファレンスAWS CloudFormation 」を参照してください。

を使用すると AWS CloudFormation、テンプレートを再利用して AWS KMS リソースを一貫して繰り返しセットアップできます。リソースを 1 回記述し、複数の AWS アカウント およびリージョンで同じリソースを何度もプロビジョニングします。

およびその他の AWS サービスのリソースをプロビジョニング AWS KMS して設定するには、 AWS CloudFormation テンプレート を理解する必要があります。テンプレートは、JSON や YAML でフォーマットされたテキストファイルです。これらのテンプレートは、 AWS CloudFormation スタックでプロビジョニングするリソースを記述します。JSON または YAML に慣れていない場合は、 AWS CloudFormation デザイナー を使用して AWS CloudFormation テンプレートの使用を開始できます。詳細については、「AWS CloudFormation ユーザーガイド」の「AWS CloudFormation Designer とは」を参照してください。

リージョン

AWS KMS CloudFormation リソースは、 がサポートされているすべてのリージョンでサポート AWS CloudFormation されています。

AWS KMSAWS CloudFormation テンプレートの リソース

AWS KMS では、次の AWS CloudFormation リソースがサポートされています。

  • AWS::KMS::Key リソースは、 で KMS キーを指定します AWS Key Management Service。このリソースを使用して、対称暗号化 KMS キー、暗号化または署名用の非対称 KMS キー、および対称 HMAC KMSキーを作成できます。を使用してAWS::KMS::Key、サポートされているすべてのタイプのマルチリージョンプライマリキーを作成できます。マルチリージョンのキーをレプリケートするには、AWS::KMS::ReplicaKey リソースを使用します。

  • AWS::KMS::Aliasエイリアスを作成し、それを KMS キーに関連付けます。KMS キーは、テンプレートで定義することも、別のメカニズムで作成することもできます。

  • AWS::KMS::ReplicaKey が、マルチリージョンレプリカキーを作成します。マルチリージョンのプライマリキーを作成するには、AWS::KMS::Key リソースを使用します。このリソースを使用して、インポートしたキーマテリアルでマルチリージョンキーをレプリケートすることはできません。マルチリージョンキーの詳細については、「のマルチリージョンキー AWS KMS」を参照してください。

重要

既存の KMS キーの KeyUsageKeySpecMultiRegion プロパティを変更すると、既存の KMS キーの削除がスケジュールされ、指定された値で新しい KMS キーが作成されます。

削除がスケジュールされている間、既存の KMS キーは使用できなくなります。の外部で既存の KMS キーのスケジュールされた削除をキャンセルしない場合 AWS CloudFormation、既存の KMS キーで暗号化されたすべてのデータは、KMS キーが削除されると回復できなくなります。

テンプレートが作成する KMS キーは、 の実際のリソースです AWS アカウント。承認されたプリンシパルは、テンプレート、 AWS KMS コンソール、または AWS KMS APIs。テンプレートから KMS キーを削除すると、事前に指定した待機期間を使用して、KMS キーの削除がスケジュールされます。

例えば、 AWS CloudFormation テンプレートを使用して、キーポリシー、キー仕様、キーの使用法、エイリアス、タグを使用してテスト KMS キーを作成できます。テストスイートで実行し、結果を確認してから、テンプレートを使用してテストキーの削除をスケジュールできます。その後、テンプレートを再度実行して、同じプロパティを持つテストキーを作成できます。

または、 AWS CloudFormation テンプレートを使用して、ビジネスルールとセキュリティ標準を満たす特定の KMS キー設定を定義することもできます。その後、KMS キーを作成する必要があるときは、いつでもそのテンプレートを使用できます。設定ミスしたキーについて心配する必要もありません。希望する設定が変更された場合は、テンプレートを使用して KMS キーを更新できます。例えば、テンプレートを使用すると、テンプレートで定義されているすべての KMS キーの自動キーローテーションをプログラムによって簡単に有効化できます。

例を含む AWS KMS リソースの詳細については、「 ユーザーガイド」の「KMS リソースタイプのリファレンスAWS CloudFormation 」を参照してください。

の詳細 AWS CloudFormation

の詳細については AWS CloudFormation、以下のリソースを参照してください。