AWS CloudHSM キーストアを切断する - AWS Key Management Service
AWS CloudHSM キーストアを切断する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアを切断する

AWS CloudHSM キーストアを切断すると、AWS KMS は、AWS CloudHSM クライアントからログアウトし、関連付けられた AWS CloudHSM クラスターとの接続を切り、接続をサポートするために作成されたネットワークインフラストラクチャを削除します。

AWS CloudHSM キーストアが切断されている間は AWS CloudHSM キーストアとその KMS キーを管理できますが、AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。PendingDeletion でない限り、キーストアの接続ステータスは DISCONNECTED で、カスタムキーストアの KMS キーのキーステータスUnavailable です。AWS CloudHSM キーストアはいつでも再接続できます。

注記

AWS CloudHSM キーストアは、ユーザーがキーストアを一度も接続したことがないか明示的に切断した場合のみ、接続ステータスが DISCONNECTED になります。AWS CloudHSM キーストアの接続ステータスが CONNECTED になっているのに使用できないときは、それに関連付けられた AWS CloudHSM クラスターがアクティブになっていること、および、アクティブな HSM が 1 つ以上含まれていることを確認します。接続障害については、カスタムキーストアのトラブルシューティング を参照してください。

カスタムキーストアを切断すると、そのキーストアの KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

注記

カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

カスタムキーストアの切断の影響をより正確に推定するには、カスタムキーストアで KMS キーを識別し、その過去の使用状況を特定します。

AWS CloudHSM キーストアを切断する理由としては、次のようなものが挙げられます。

  • パスワードをローテーションkmsuserする。AWS KMS は AWS CloudHSM クラスターに接続するたびに kmsuser パスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。

  • AWS CloudHSM クラスターで KMS キーのキーマテリアルを監査するには。カスタムキーストアを切断すると、AWS KMS は AWS CloudHSM クライアントの kmsuser 暗号化ユーザーアカウントからログアウトします。これにより、クラスターに kmsuser CU としてログインし、KMS キーのキーマテリアルを監査および管理することができます。

  • AWS CloudHSM キーストアですべての KMS キーをただちに無効にするには AWS CloudHSM キーストアで KMS キーを無効化し再度有効化するときは、AWS Management Console か、DisableKey オペレーションを使用します。これらのオペレーションは迅速に完了しますが、一度に処理される KMS キーは 1 つです。AWS CloudHSM キーストアを切断すると、AWS CloudHSM キーストアのすべての KMS キーのキーステータスがただちに Unavailable に変更され、暗号化オペレーションで使用できなくなります。

  • 失敗した接続試行を修復するには。AWS CloudHSM キーストアを接続する試みに失敗した場合 (カスタムキーストアの接続ステータスが FAILED になる) は、再度接続を試みる前に AWS CloudHSM キーストアを切断する必要があります。

AWS CloudHSM キーストアを切断する

AWS KMS コンソールで、または DisconnectCustomKeyStore オペレーションを使用して、お使いの AWS CloudHSM キーストアを切断できます。

接続済みの AWS CloudHSM キーストアを AWS KMS コンソールを使用して切断するには、まず、[カスタムキーストア] ページで AWS CloudHSM キーストアを選択します。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 切断する外部キーストアの行を選択します。

  5. [Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します。

操作が完了すると、接続状態が [切断] から [切断済み] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

接続した AWS CloudHSM キーストアを切断するには、DisconnectCustomKeyStore オペレーションを使用します。オペレーションが成功すると、AWS KMS は HTTP 200 レスポンスおよびプロパティなしの JSON オブジェクトを返します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

この例では、AWS CloudHSM キーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM キーストアが切断されてたことを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。DISCONNECTEDConnectionState 値は、この例の AWS CloudHSM キーストアが AWS CloudHSM クラスターから切断されていないことを示します。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}