AWS CloudHSM キーストアの接続と切断 - AWS Key Management Service
AWS CloudHSM キーストアを接続するAWS CloudHSM キーストアを切断するAWS CloudHSM キーストアを接続する (コンソール)カスタムキーストアを接続する (API)AWS CloudHSM キーストアを切断する (コンソール)AWS CloudHSM キーストアを切断する (API)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアの接続と切断

新しい AWS CloudHSM キーストアが接続されていません。AWS CloudHSM キーストアで AWS KMS keys を作成して使用するときは、事前に、関連付けられた AWS CloudHSM クラスターにこれを接続しておく必要があります。AWS CloudHSM キーストアはいつでも接続および切断することができ、その接続ステータスを表示できます。

AWS CloudHSM キーストアを自分で接続する必要はありません。AWS CloudHSM キーストアは、無期限に切断状態のままにし、使用の必要がある場合のみ接続することができます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。

注記

AWS CloudHSM キーストアは、ユーザーがキーストアを一度も接続したことがないか明示的に切断した場合のみ、接続ステータスが DISCONNECTED になります。AWS CloudHSM キーストアの接続ステータスが CONNECTED になっているのに使用できないときは、それに関連付けられた AWS CloudHSM クラスターがアクティブになっていること、および、アクティブな HSM が 1 つ以上含まれていることを確認します。接続障害については、カスタムキーストアのトラブルシューティング を参照してください。

AWS CloudHSM キーストアを接続する

AWS CloudHSM キーストアを接続すると、AWS KMS は関連付けられた AWS CloudHSM クラスターを検索し、そのクラスターに接続して、kmsuser Crypto User (CU) として AWS CloudHSM クライアントにログインし、その後 kmsuser パスワードをローテーションします。AWS CloudHSM キーストアが接続されている限り、AWS KMS は AWS CloudHSM クライアントにログインし続けます。

接続を確立するために、AWS KMS は kms-<custom key store ID> という名前のセキュリティグループを、クラスターの仮想プライベートクラウド (VPC) で作成します。セキュリティグループには、クラスターセキュリティグループからのインバウンドトラフィックを許可する単一のルールがあります。AWS KMS は、クラスターのプライベートサブネットの各アベイラビリティーゾーンに Elastic Network Interface (ENI) を作成します。AWS KMS は kms-<cluster ID> セキュリティグループとクラスターのセキュリティグループに ENI を追加します。各 ENI の説明は KMS managed ENI for cluster <cluster-ID> です。

接続プロセスは、完了するまでに長い時間 (最長 20 分) がかかる場合があります。

AWS CloudHSM キーストアを接続する前に、要件を満たしているかどうかを確認します。

  • 関連付け済みの AWS CloudHSM クラスターに少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内の HSMs の数を確認するには、AWS CloudHSMコンソールでクラスターを表示するか、 DescribeClustersオペレーションを使用します。必要に応じて、HSM を追加できます。

  • クラスターには kmsuser Crypto User (CU) アカウントが必要ですが、AWS CloudHSM キーストアを接続しているときは、この CU はクラスターにログインできません。ログアウトのヘルプについては、「ログアウトして再接続する方法」を参照してください。

  • AWS CloudHSM キーストアの接続ステータスは、DISCONNECTING または FAILED にすることはできません。接続状態を表示するには、 AWS KMS コンソールまたは DescribeCustomKeyStoresレスポンスを使用します。接続ステータスが FAILED の場合、カスタムキーストアを切断し、問題を解決してから接続します。

接続障害については、接続障害の修復方法 を参照してください。

AWS CloudHSM キーストアが接続されているときは、そこで KMS キーを作成し、暗号化オペレーションで既存の KMS キーを使用することができます。

AWS CloudHSM キーストアを切断する

AWS CloudHSM キーストアを切断すると、AWS KMS は、AWS CloudHSM クライアントからログアウトし、関連付けられた AWS CloudHSM クラスターとの接続を切り、接続をサポートするために作成されたネットワークインフラストラクチャを削除します。

AWS CloudHSM キーストアが切断されている間は AWS CloudHSM キーストアとその KMS キーを管理できますが、AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。PendingDeletion でない限り、キーストアの接続ステータスは DISCONNECTED で、カスタムキーストアの KMS キーのキーステータスUnavailable です。AWS CloudHSM キーストアはいつでも再接続できます。

カスタムキーストアを切断すると、そのキーストアの KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

注記

カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

カスタムキーストアの切断の影響をより正確に推定するには、カスタムキーストアで KMS キーを識別し、その過去の使用状況を特定します。

AWS CloudHSM キーストアを切断する理由としては、次のようなものが挙げられます。

  • パスワードをローテーションkmsuserする。AWS KMS は AWS CloudHSM クラスターに接続するたびに kmsuser パスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。

  • AWS CloudHSM クラスターで KMS キーのキーマテリアルを監査するには。カスタムキーストアを切断すると、AWS KMS は AWS CloudHSM クライアントの kmsuser 暗号化ユーザーアカウントからログアウトします。これにより、クラスターに kmsuser CU としてログインし、KMS キーのキーマテリアルを監査および管理することができます。

  • AWS CloudHSM キーストアですべての KMS キーをただちに無効にするには キーAWS CloudHSMストアで KMS キーを無効または再度有効にするには、 AWS Management Consoleまたは DisableKeyオペレーションを使用します。これらのオペレーションは迅速に完了しますが、一度に処理される KMS キーは 1 つです。AWS CloudHSM キーストアを切断すると、AWS CloudHSM キーストアのすべての KMS キーのキーステータスがただちに Unavailable に変更され、暗号化オペレーションで使用できなくなります。

  • 失敗した接続試行を修復するには。AWS CloudHSM キーストアを接続する試みに失敗した場合 (カスタムキーストアの接続ステータスが FAILED になる) は、再度接続を試みる前に AWS CloudHSM キーストアを切断する必要があります。

AWS CloudHSM キーストアを接続する (コンソール)

AWS Management Console で AWS CloudHSM キーストアを接続するには、まず、[Custom key stores] (カスタムキーストア) ページで AWS CloudHSM キーストアを選択します。この接続処理には、完了までに最大で 20 分かかります。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 接続する AWS CloudHSM キーストアの行を選択します。

    AWS CloudHSM キーストアの接続状態が [失敗] になっている場合は、カスタムキーストアを切断してからキーストアを接続する必要があります。

  5. [Key store actions] (キーストアアクション) メニューから [Connect] (接続) を選択します。

AWS KMS がカスタムキーストアを結合するプロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、AWS CloudHSM クラスターに kmsuser CU としてログインして、kmsuser パスワードをローテーションします。操作が完了すると、接続状態が [接続済み] に変わります。

オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。再度接続を試みる前に、AWS CloudHSM キーストアの接続ステータスを表示します。状態が [失敗] になっている場合は、カスタムキーストアを切断してからキーストアをもう一度接続する必要があります。ヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

次の手順: AWS CloudHSM キーストアでの KMS キーの作成

カスタムキーストアを接続する (API)

切断されたAWS CloudHSMキーストアを接続するには、 ConnectCustomKeyStoreオペレーションを使用します。関連付けられた AWS CloudHSM クラスターにはアクティブな HSM が 1 つ以上含まれている必要があります。また、接続ステータスを FAILED にすることはできません。

接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続状態を確認するには、 DescribeCustomKeyStoresレスポンスを参照してください。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

AWS CloudHSM キーストアを識別するには、カスタムキーストア ID を使用します。ID は、 コンソールのカスタムキーストアページで、またはパラメータなしで DescribeCustomKeyStoresオペレーションを使用して確認できます。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM キーストアが接続されていることを確認するには、 DescribeCustomKeyStoresオペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTEDConnectionState 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。

注記

AWS CloudHSM キーストアと外部のキーストアを区別するために、DescribeCustomKeyStores レスポンスに CustomKeyStoreType フィールドが追加されました。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

ConnectionState 値が [FAILED] の場合、ConnectionErrorCode 要素が失敗の原因を示します。この場合は、AWS KMS が、クラスター ID cluster-1a23b4cdefg のアカウントで AWS CloudHSM クラスターを見つけることができませんでした。クラスターを削除した場合、元のクラスターのバックアップから復元することができ、その後でカスタムキーストアのクラスター ID を編集できます。接続エラーコードの対処方法については「接続障害の修復方法」を参照してください。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

次の手順: AWS CloudHSM キーストアでの KMS キーの作成

AWS CloudHSM キーストアを切断する (コンソール)

AWS Management Console で接続済みの AWS CloudHSM キーストアを切断するには、まず、[Custom Key Stores] (カスタムキーストア) ページで AWS CloudHSM キーストアを選択します。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 切断する外部キーストアの行を選択します。

  5. [Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します。

操作が完了すると、接続状態が [切断] から [切断済み] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

AWS CloudHSM キーストアを切断する (API)

接続されたAWS CloudHSMキーストアを切断するには、 DisconnectCustomKeyStoreオペレーションを使用します。オペレーションが成功すると、AWS KMS は HTTP 200 レスポンスおよびプロパティなしの JSON オブジェクトを返します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

この例では、AWS CloudHSM キーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM キーストアが切断されていることを確認するには、 DescribeCustomKeyStoresオペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。DISCONNECTEDConnectionState 値は、この例の AWS CloudHSM キーストアが AWS CloudHSM クラスターから切断されていないことを示します。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}