翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM キーストアを切断すると、 は AWS CloudHSM クライアントから AWS KMS ログアウトし、関連付けられた AWS CloudHSM クラスターから切断して、接続をサポートするために作成したネットワークインフラストラクチャを削除します。
AWS CloudHSM キーストアが切断されている間は、 AWS CloudHSM キーストアとその KMS キーを管理できますが、キーストアで KMS AWS CloudHSM キーを作成または使用することはできません。PendingDeletion でない限り、キーストアの接続ステータスは DISCONNECTED で、カスタムキーストアの KMS キーのキーステータスは Unavailable です。 AWS CloudHSM キーストアはいつでも再接続できます。
注記
AWS CloudHSM キーストアは、キーストアが接続されていないか、明示的に切断した場合にのみ接続DISCONNECTED状態になります。 AWS CloudHSM キーストアの接続状態が CONNECTEDであっても、使用できない場合は、関連付けられた AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSMs が含まれていることを確認してください。接続障害については、カスタムキーストアのトラブルシューティング を参照してください。
カスタムキーストアを切断すると、そのキーストアの KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービスに影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。
注記
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
カスタムキーストアの切断の影響をより正確に推定するには、カスタムキーストアで KMS キーを識別し、その過去の使用状況を特定します。
AWS CloudHSM キーストアは、次のような理由で切断できます。
-
パスワードをローテーション
kmsuserする。 AWS KMS は AWS CloudHSM クラスターに接続するたびにkmsuserパスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。 -
AWS CloudHSM クラスター内の KMS キーのキーマテリアルを監査します。カスタムキーストアを切断すると、 は AWS CloudHSM クライアントの kmsuser Crypto User Account から AWS KMS ログアウトします。これにより、クラスターに
kmsuserCU としてログインし、KMS キーのキーマテリアルを監査および管理することができます。 -
AWS CloudHSM キーストアですべての KMS キーをただちに無効にするには または DisableKey オペレーションを使用して、 キーストアで KMS キーを無効化および再有効化できます。 AWS CloudHSM AWS Management Console これらのオペレーションは迅速に完了しますが、一度に処理される KMS キーは 1 つです。 AWS CloudHSM キーストアを切断すると、キーストア内のすべての KMS キーのキーステータスが AWS CloudHSM すぐに に変更され
Unavailable、暗号化オペレーションで使用されなくなります。 -
失敗した接続試行を修復するには。 AWS CloudHSM キーストアの接続に失敗した場合 (カスタムキーストアの接続状態が の場合
FAILED)、再度接続を試みる前に AWS CloudHSM キーストアを切断する必要があります。
AWS CloudHSM キーストアを切断する
AWS KMS コンソールで、または DisconnectCustomKeyStore オペレーションを使用して、 AWS CloudHSM キーストアを切断できます。
AWS KMS コンソールで接続された AWS CloudHSM キーストアを切断するには、カスタム AWS CloudHSM キーストアページからキーストアを選択します。
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/kms
で AWS Key Management Service (AWS KMS) コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタムキーストア]、[AWS CloudHSM キーストア] の順に選択します。
-
切断する外部キーストアの行を選択します。
-
[Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します。
操作が完了すると、接続状態が [切断] から [切断済み] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。
接続された AWS CloudHSM キーストアを切断するには、DisconnectCustomKeyStore オペレーションを使用します。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。
このセクションの例では AWS Command Line Interface
(AWS CLI)
この例では、 AWS CloudHSM キーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
AWS CloudHSM キーストアが切断されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。のConnectionState値は、このサンプル AWS CloudHSM キーストアが AWS CloudHSM クラスターに接続されていないDISCONNECTEDことを示します。
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "DISCONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "<certificate string appears here>"
],
}