翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM キーストアを切断する
<a name="disconnect-keystore"></a>

 AWS CloudHSM キーストアを切断すると、 は AWS CloudHSM クライアントから AWS KMS ログアウトし、関連付けられた AWS CloudHSM クラスターから切断して、接続をサポートするために作成したネットワークインフラストラクチャを削除します。

 AWS CloudHSM キーストアが切断されている間は、 AWS CloudHSM キーストアとその KMS キーを管理できますが、 AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。`PendingDeletion` でない限り、キーストアの接続ステータスは `DISCONNECTED` で、カスタムキーストアの KMS キーの[キーステータス](key-state.md)は `Unavailable` です。 AWS CloudHSM キーストアはいつでも再接続できます。

**注記**  
AWS CloudHSM キーストアは、キーストアが接続されていないか、明示的に切断した場合にのみ接続`DISCONNECTED`状態になります。 AWS CloudHSM キーストアの接続状態が `CONNECTED`で、使用に問題がある場合は、関連付けられた AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSMs が含まれていることを確認してください。接続障害については、[カスタムキーストアのトラブルシューティング](fix-keystore.md) を参照してください。

カスタムキーストアを切断すると、そのキーストアの KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護された[データキー](data-keys.md)により暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービスに影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「[使用できない KMS キーがデータキーに及ぼす影響](unusable-kms-keys.md)」を参照してください。

**注記**  
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

カスタムキーストアの切断の影響をより正確に推定するには、カスタムキーストアで [KMS キーを識別](find-cmk-in-keystore.md)し、[その過去の使用状況を特定](deleting-keys-determining-usage.md)します。

 AWS CloudHSM キーストアは、次のような理由で切断できます。
+ パスワードを**ローテーション`kmsuser`する。** AWS KMS は AWS CloudHSM クラスターに接続するたびに `kmsuser` パスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。
+  AWS CloudHSM クラスター**内の KMS キーのキーマテリアルを監査**するには。カスタムキーストアを切断すると、 は AWS CloudHSM クライアントの[`kmsuser`暗号化ユーザーアカウント](keystore-cloudhsm.md#concept-kmsuser)から AWS KMS ログアウトします。これにより、クラスターに `kmsuser` CU としてログインし、KMS キーのキーマテリアルを監査および管理することができます。
+  AWS CloudHSM キーストアで**すべての KMS キーをただちに無効にするには** または [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) オペレーションを使用して、 AWS CloudHSM キーストアで [KMS キーを無効化および再有効化](enabling-keys.md)できます。 AWS マネジメントコンソール これらのオペレーションは迅速に完了しますが、一度に処理される KMS キーは 1 つです。 AWS CloudHSM キーストアを切断すると、キーストア内のすべての KMS キーのキー状態が AWS CloudHSM すぐに に変更され`Unavailable`、暗号化オペレーションで使用されなくなります。
+ **失敗した接続試行を修復するには**。 AWS CloudHSM キーストアの接続が失敗した場合 (カスタムキーストアの接続状態が `FAILED`)、再度接続を試みる前に AWS CloudHSM キーストアを切断する必要があります。

## AWS CloudHSM キーストアを切断する
<a name="disconnect-hsm-keystore"></a>

 AWS KMS コンソールで、または [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) オペレーションを使用して、 AWS CloudHSM キーストアを切断できます。

### AWS KMS コンソールを使用して切断する
<a name="disconnect-keystore-console"></a>

 AWS KMS コンソールで接続された AWS CloudHSM キーストアを切断するには、カスタム AWS CloudHSM キーストアページから**キーストア**を選択します。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[カスタムキーストア]**、**[AWS CloudHSM キーストア]** の順に選択します。

1. 切断する外部キーストアの行を選択します。

1. **[Key store actions]** (キーストアアクション) メニューから **[Disconnect]** (切断) を選択します。

操作が完了すると、接続状態が **[切断]** から **[切断済み]** に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「[カスタムキーストアのトラブルシューティング](fix-keystore.md)」を参照してください。

### AWS KMS API を使用して切断する
<a name="disconnect-keystore-api"></a>

接続された AWS CloudHSM キーストアを切断するには、[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) オペレーションを使用します。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。

このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

この例では、 AWS CloudHSM キーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

 AWS CloudHSM キーストアが切断されていることを確認するには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、`CustomKeyStoreId` または `CustomKeyStoreName` パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。`ConnectionState` の値は、このサンプル AWS CloudHSM キーストアが AWS CloudHSM クラスターに接続されていない`DISCONNECTED`ことを示します。

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```