翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM キーストアは、利用可能で回復力があるように設計されています。ただし、 AWS CloudHSM キーストアを運用し続けるために修復する必要があるエラー条件がいくつかあります。
トピック
使用できない KMS キーを修正するには
キーストアの のキーステータスは通常 ですEnabled。 AWS KMS keys AWS CloudHSM すべての KMS キーと同様に、 キーストアで KMS キーを無効にするか、削除をスケジュールすると、 AWS CloudHSM キーの状態が変わります。ただし、他の KMS キーとは異なり、カスタムキーストアの KMS キーには、Unavailable のキーステータスもあります。
Unavailable のキーステータスには、KMS キーが、意図的に切断されたカスタムキーストアの内部に存在し、再接続の試み (実行している場合) に失敗したことを示しています。KMS キーは使用できませんが、KMS キーを表示および管理することはできます。ただし、暗号化オペレーションで使用することはできません。
KMS キーのキーステータスを確認するには、[Customer managed keys] (カスタマーマネージドキー) ページで、KMS キーの [Status] (ステータス) フィールドを表示します。または、 DescribeKey オペレーションを使用して、レスポンスの KeyState 要素を表示します。詳細については、「キーの特定と表示」を参照してください。
切断されたカスタムキーストアの KMS キーは、Unavailable または PendingDeletion のキーステータスとなります。カスタムキーストアが切断されている場合でも、カスタムキーストアからの削除がスケジュールされている KMS キーのキーステータスは Pending Deletion になります。これにより、カスタムキーストアに再接続することなく、スケジュールされたキーの削除をキャンセルできます。
使用できない KMS キーを修正するには、カスタムキーストアを再接続します。カスタムキーストアを再接続すると、カスタムキーストア内の KMS キーのキーステータスは、Enabled や Disabled などの以前のステータスに自動的に復元されます。削除保留中の KMS キーは PendingDeletion ステータスのままです。ただし、問題が解決しない間は、使用できない KMS キーを有効および無効にしても、キーステータスは変更されません。有効または無効のアクションは、キーが使用可能になったときにのみ適用されます。
接続の失敗に関するヘルプについては、「接続障害の修復方法」を参照してください。
失敗した KMS キーを修正するには
AWS CloudHSM キーストアでの KMS キーの作成と使用に関する問題は、 AWS CloudHSM キーストア、関連付けられた AWS CloudHSM クラスター、KMS キー、またはそのキーマテリアルの問題が原因である可能性があります。
AWS CloudHSM キーストアが AWS CloudHSM クラスターから切断されると、カスタムキーストアの KMS キーのキーステータスは になりますUnavailable。切断されたキーストアで KMS AWS CloudHSM キーを作成するすべてのリクエストは、CustomKeyStoreInvalidStateException例外を返します。データキーを暗号化、復号、再暗号化、または生成するすべてのリクエストは、KMSInvalidStateException 例外を返します。この問題を解決するには、AWS CloudHSM キーストアを再接続します。
ただし、暗号化オペレーションのために AWS CloudHSM キーストアで KMS キーを使用しようとするEnabledと、キーの状態が で AWS CloudHSM 、キーストアの接続状態が であっても失敗する可能性がありますConnected。これは、以下のいずれかの条件によって発生する可能性があります。
-
KMS キーのキーマテリアルが、関連付けられた AWS CloudHSM クラスターから削除された可能性があります。調査するには、KMS キーのキーマテリアルのキー ID を探し、必要に応じてキーマテリアルの復旧を試みます。
-
AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスターからすべての HSMs が削除されました。暗号化オペレーションで キーストアで KMS AWS CloudHSM キーを使用するには、その AWS CloudHSM クラスターに少なくとも 1 つのアクティブな HSM が含まれている必要があります。 AWS CloudHSM クラスター内の HSMs の数と状態を確認するには、 AWS CloudHSM コンソールまたは DescribeClusters オペレーションを使用します。 DescribeClusters HSM をクラスターに追加するには、 AWS CloudHSM コンソールまたは CreateHsm オペレーションを使用します。
-
AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターが削除されました。この問題を解決するには、元のクラスターのバックアップ、または元のクラスターの作成に使用されたバックアップなど、元のクラスターに関連するバックアップからクラスターを作成します。次に、カスタムキーストアの設定で、クラスター ID を編集します。手順については、KMS キーの削除されたキーマテリアルを復旧するには を参照してください。
-
カスタムキーストアに関連付けられた AWS CloudHSM クラスターには、使用可能な PKCS #11 セッションがありませんでした。通常これは、トラフィックの処理に追加のセッションが必要な大規模なバーストトラフィックが起きている間に発生します。PKCS #11 セッションに関するエラーメッセージで
KMSInternalExceptionに応答するときは、リクエストをいったん取り消してから、改めて試行します。
接続障害の修復方法
AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続しようとしても、オペレーションが失敗すると、 AWS CloudHSM キーストアの接続状態は に変わりますFAILED。 AWS CloudHSM キーストアの接続状態を確認するには、 AWS KMS コンソールまたは DescribeCustomKeyStores オペレーションを使用します。
また、簡単に検出できるクラスター設定エラーが原因で接続の試行がすぐに失敗することがあります。この場合、接続ステータスは DISCONNECTED のままです。これらのエラーは、試行が失敗した理由を説明するエラーメッセージまたは 例外 を返します。例外の説明とクラスターの要件を確認し、問題を修正し、必要に応じてAWS CloudHSM キーストアを更新して、再度接続を試みます。
接続ステータスが FAILED の場合は、DescribeCustomKeyStores オペレーションを実行してレスポンスの ConnectionErrorCode 要素を確認します。
注記
AWS CloudHSM キーストアの接続状態が の場合FAILED、再接続を試みる前にAWS CloudHSM キーストアを切断する必要があります。 AWS CloudHSM キーストアに接続FAILED状態に接続することはできません。
-
CLUSTER_NOT_FOUNDは、指定された AWS CloudHSM クラスター ID を持つ クラスターが AWS KMS に見つからないことを示します。これは、誤ったクラスター ID が API オペレーションに提供されたか、クラスターが削除されて置き換えられなかったために発生する可能性があります。このエラーを修正するには、 AWS CloudHSM コンソールや DescribeClusters オペレーションなどを使用して、クラスター ID を確認します。クラスタが削除された場合は、元の バックアップからクラスタを作成します 。次に、AWS CloudHSM キーストアを切断し、AWS CloudHSM キーストアクラスター ID 設定を編集して、AWS CloudHSM キーストアをクラスターに再接続します。 -
INSUFFICIENT_CLOUDHSM_HSMSは、関連付けられた AWS CloudHSM クラスターに HSMs が含まれていないことを示します。クラスターに接続するには、少なくとも 1 つの HSM を持っている必要があります。クラスター内の HSM の数を調べるには、 DescribeClusters オペレーションを使用します。このエラーを解決するには、クラスターに 少なくとも 1 つの HSM を追加します 。複数の HSM を追加する場合は、別のアベイラビリティーゾーンでそれらを作成することをお勧めします。 -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNETは、 AWS CloudHSM クラスターに関連付けられた少なくとも 1 つのプライベートサブネットに使用可能な IP アドレスがないため、 が AWS CloudHSM キーストアをクラスターに接続 AWS KMS できなかったことを示します。 https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html AWS CloudHSM キーストア接続には、関連付けられたプライベートサブネットごとに 1 つの空き IP アドレスが必要ですが、2 つが推奨されます。既存のサブネットに IP アドレスを追加できません
(CIDR ブロック)。可能であれば、未使用の EC2 インスタンスや Elastic Network Interface など、サブネット内の IP アドレスを使用している他のリソースを移動または削除します。それ以外の場合は、より多くの空きアドレス空間を持つ新規または既存のプライベートサブネットを使用して、クラスターの最近のバックアップからクラスターを作成できます。 AWS CloudHSM 次に、新しいクラスターを AWS CloudHSM キーストアに関連付けるには、カスタムキーストアを切断し、 AWS CloudHSM キーストアのクラスター ID を新しいクラスターの ID に変更して、再度接続を試みます。 ヒント
kmsuser パスワードのリセットを回避するには、 AWS CloudHSM クラスターの最新のバックアップを使用します。
-
INTERNAL_ERRORは、内部エラーのために がリクエストを完了 AWS KMS できなかったことを示します。リクエストを再試行します。ConnectCustomKeyStoreリクエストの場合は、再度接続を試みる前に AWS CloudHSM キーストアを切断します。 -
INVALID_CREDENTIALSは、正しいkmsuserアカウントパスワードがないため、 が関連付けられた AWS CloudHSM クラスターにログイン AWS KMS できないことを示します。このエラーのヘルプについては、「無効な kmsuser 認証情報の修正方法」を参照してください。 -
NETWORK_ERRORSは通常、一時的なネットワークの問題を示します。AWS CloudHSM キーストアを切断し、数分待ってから、もう一度接続を試みます。 -
SUBNET_NOT_FOUNDは、 AWS CloudHSM クラスター設定の少なくとも 1 つのサブネットが削除されたことを示します。がクラスター設定内のすべてのサブネットを検出 AWS KMS できない場合、 は AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続しようとして失敗します。このエラーを修正するには、同じクラスターの最近のバックアップからクラスターを作成します。 AWS CloudHSM (このプロセスでは、VPC とプライベートサブネットを持つ新しいクラスター設定が作成されます)。新しいクラスターが カスタムキーストアの要件を満たしていることを確認し、新しいクラスター ID を書き留めます。次に、新しいクラスターを AWS CloudHSM キーストアに関連付けるには、カスタムキーストアを切断し、 AWS CloudHSM キーストアのクラスター ID を新しいクラスターの ID に変更して、再度接続を試みます。
ヒント
kmsuser パスワードのリセットを回避するには、 AWS CloudHSM クラスターの最新のバックアップを使用します。
-
USER_LOCKED_OUTは、失敗したパスワードの試行回数が多すぎるため、kmsuser Crypto User (CU) アカウントが関連付けられた AWS CloudHSM クラスターからロックアウトされたことを示します。このエラーのヘルプについては、「無効な kmsuser 認証情報の修正方法」を参照してください。このエラーを修正するには、AWS CloudHSM キーストアを切断し、CloudHSM CLI のユーザー change-password コマンドを使用して
kmsuserアカウントのパスワードを変更します。次に、カスタムキーストアの kmsuser のパスワード設定を編集し、接続し直してみてください。ヘルプについては、「無効な kmsuser 認証情報の修正方法 トピック」で説明されている手順を使用してください。 -
USER_LOGGED_INは、CUkmsuserアカウントが関連付けられた AWS CloudHSM クラスターにログインしていることを示します。これにより、 はkmsuserアカウントのパスワードをローテーションしてクラスターにログイン AWS KMS できなくなります。このエラーを修正するには、クラスターからkmsuserCU をログアウトします。クラスターにログインするようにkmsuserパスワードを変更した場合は、 キーストアのパスワード値も更新する必要があります AWS CloudHSM 。ヘルプについては、「ログアウトして再接続する方法」を参照してください。 -
USER_NOT_FOUNDは、 が関連付けられた AWS CloudHSM クラスターでkmsuserCU アカウントを見つけ AWS KMS られないことを示します。このエラーを修正するには、クラスターに CU kmsuser アカウントを作成し、キーストアのキーストアパスワード値を更新します。 AWS CloudHSM ヘルプについては、「無効な kmsuser 認証情報の修正方法」を参照してください。
暗号化オペレーションの失敗に対応するには
カスタムキーストアで KMS キーを使用する暗号化オペレーションは、KMSInvalidStateException で失敗することがあります。次のエラーメッセージには KMSInvalidStateException が関連することがあります。
| KMS は CloudHSM クラスターと通信できません。これは一時的なネットワークの問題である可能性があります。このエラーが繰り返し表示される場合は、 AWS CloudHSM クラスターの VPC のネットワーク ACLs とセキュリティグループルールが正しいことを確認します。 |
-
これは HTTPS 400 エラーですが、一時的なネットワークの問題が原因である可能性があります。対応するには、まずリクエストを再試行します。それでも失敗する場合は、ネットワークコンポーネントの設定を調べます。このエラーはほとんどの場合、発信トラフィックをブロックしているファイアウォールルールや VPC セキュリティグループルールなど、ネットワークコンポーネントの誤った設定が原因です。
| kmsuser がロックアウトされているため、KMS は AWS CloudHSM クラスターと通信できません。このエラーが繰り返し表示される場合は、 AWS CloudHSM キーストアを切断し、kmsuser アカウントのパスワードをリセットします。カスタムキーストアの kmsuser のパスワードを更新して、リクエストを再試行してください。 |
-
このエラーメッセージは、失敗したパスワードの試行回数が多すぎるため、kmsuser Crypto User (CU) アカウントが関連付けられた AWS CloudHSM クラスターからロックアウトされたことを示します。このエラーのヘルプについては、「切断してログインする方法」を参照してください。
無効な kmsuser 認証情報の修正方法
AWS CloudHSM キーストアを接続すると、 AWS KMS は kmsuserCrypto User (CU) として関連付けられた AWS CloudHSM クラスターにログインします。 AWS CloudHSM キーストアが切断されるまでログインしたままになります。DescribeCustomKeyStores 応答は次の例に示すように、FAILED の ConnectionState、および INVALID_CREDENTIALS の ConnectionErrorCode 値を示しています。
AWS CloudHSM キーストアを切断してkmsuserパスワードを変更すると、 AWS KMS は CU kmsuser アカウントの認証情報を使用して AWS CloudHSM クラスターにログインできません。その結果、 AWS CloudHSM キーストアへの接続試行はすべて失敗します。DescribeCustomKeyStores レスポンスは、次の例に示すように、INVALID_CREDENTIALS の FAILED と ConnectionErrorCode の値の ConnectionState を示します。
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}また、誤ったパスワードでクラスターにログインしようとして 5 回失敗すると、 AWS CloudHSM はユーザーアカウントをロックします。このクラスターにログインするには、アカウントのパスワードを変更する必要があります。
が kmsuserCU としてクラスターにログインしようとしたときにロックアウトレスポンス AWS KMS を受け取ると、 AWS CloudHSM キーストアの接続リクエストは失敗します。DescribeCustomKeyStores 応答には、次の例に示すように、FAILED の ConnectionState、および USER_LOCKED_OUT の ConnectionErrorCode 値が含まれます。
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}これらの条件を修復するには、次の手順を実行します。
-
DescribeCustomKeyStores オペレーションを実行し、レスポンスの
ConnectionErrorCode要素の値を表示します。-
ConnectionErrorCodeの値がINVALID_CREDENTIALSの場合は、kmsuserアカウントの現在のパスワードを特定します。必要に応じて、CloudHSM CLI の [user change-password] コマンドを使用して、パスワードを既知の値に設定します。 -
ConnectionErrorCode値がUSER_LOCKED_OUTの場合、CloudHSM CLI の [user change-password] コマンドを使用してkmsuserパスワードを変更する必要があります。
-
-
kmsuser パスワード設定を編集して、クラスター内の現在の
kmsuserパスワードと一致させます。このアクションは、 AWS KMS にクラスターにログインするために使用するパスワードを指示します。クラスターのkmsuserパスワードは変更されません。
孤立したキーマテリアルを削除する方法
AWS CloudHSM キーストアから KMS キーの削除をスケジュールした後、関連付けられた AWS CloudHSM クラスターから対応するキーマテリアルを手動で削除する必要がある場合があります。
AWS CloudHSM キーストアで KMS キーを作成する AWS KMS と、 は に KMS キーメタデータ AWS KMS を作成し、関連付けられた AWS CloudHSM クラスターにキーマテリアルを生成します。 AWS CloudHSM キーストアで KMS キーの削除をスケジュールすると、待機期間の後、 は KMS キーメタデータ AWS KMS を削除します。次に、 AWS KMS は AWS CloudHSM クラスターから対応するキーマテリアルを削除するために最善を尽くします。 AWS CloudHSM キーストアから切断された場合やkmsuserパスワードが変更された場合など、 がクラスターにアクセス AWS KMS できない場合、試行は失敗することがあります。 AWS KMS は、クラスターバックアップからキーマテリアルを削除しようとしません。
AWS KMS は、 AWS CloudTrail ログのDeleteKeyイベントエントリでクラスターからキーマテリアルを削除しようとした結果を報告します。この結果は、次のエントリ例に示されているように、additionalEventData 要素の backingKeysDeletionStatus 要素に表示されます。エントリには、KMS キー ARN、 AWS CloudHSM クラスター ID、およびキーマテリアルの ID (backing-key-id) も含まれます。
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}メモ
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール CloudHSM CLI を使用します。CloudHSM CLI は、key-handle を key-reference に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「AWS CloudHSM ユーザーガイド」の「Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行」を参照してください。
次の手順は、関連付けられた AWS CloudHSM クラスターから孤立したキーマテリアルを削除する方法を示しています。
-
AWS CloudHSM キーストアがまだ切断されていない場合は切断し、「」の説明に従ってログインします切断してログインする方法。
注記
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
-
CloudHSM CLI の key delete コマンドを使用して、クラスター内の HSM から キーを削除します。
AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、
customKeyStoreIdおよび を含むadditionalEventDataフィールドが含まれますbackingKey。backingKeyIdフィールドで返される値は、CloudHSM キーのid属性です。CloudTrail ログ内で特定された孤立したキーマテリアルを削除するには、[key delete] オペレーションをidでフィルタリングすることをお勧めします。AWS CloudHSM は
backingKeyId、値を 16 進値として認識します。idでフィルタリングするには、backingKeyIdの先頭にOxを付加する必要があります。例えば、CloudTrail ログ内のbackingKeyIdが1a2b3c45678abcdefの場合、0x1a2b3c45678abcdefでフィルタリングします。次の例では、クラスター内の HSM から特定のキーを削除します。
backing-key-idは CloudTrail ログエントリにリストされています。このコマンドを実行する前に、サンプルbacking-key-idをお使いのアカウントにある有効な値に置き換えてください。aws-cloudhsmkey delete --filter attr.id="0x<backing-key-id>"{ "error_code": 0, "data": { "message": "Key deleted successfully" } } -
「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続しますログアウトして再接続する方法。
KMS キーの削除されたキーマテリアルを復旧するには
のキーマテリアル AWS KMS key が削除された場合、KMS キーは使用できず、KMS キーで暗号化されたすべての暗号文を復号することはできません。これは、 キーストア内の KMS キーの AWS CloudHSM キーマテリアルが、関連付けられた AWS CloudHSM クラスターから削除された場合に発生する可能性があります。ただし、キーマテリアルを復元することは可能な場合もあります。
AWS CloudHSM キーストアで AWS KMS key (KMS キー) を作成すると、 は関連付けられた AWS CloudHSM クラスター AWS KMS にログインし、KMS キーのキーマテリアルを作成します。また、 AWS CloudHSM キーストアが接続されている限り、パスワードをそれだけが認識し、ログインしたままの値に変更します。キー所有者、つまりキーを作成した CU のみがキーを削除できるため、誤って HSM からキーが削除されることはありません。
ただし、KMS キーのキーマテリアルがクラスター内の HSM から削除されると、KMS キーのキーステータスは最終的に UNAVAILABLE に変わります。暗号化オペレーションに KMS キーを使用しようとすると、KMSInvalidStateException の例外によりオペレーションは失敗します。最も重大なのは、KMS キーで暗号化されたデータが復号できないことです。
特定の状況では、キーマテリアルを含む バックアップからクラスターを作成することで、 削除されたキーマテリアルを回復できます。この方法は、キーが存在していて削除される前に少なくとも 1 つのバックアップが作成された場合にのみ機能します。
キーマテリアルを復旧するには、次の手順を実行します。
-
キーマテリアルが格納されているクラスターバックアップを見つけます。バックアップには、クラスターとその暗号化されたデータをサポートするために必要なすべてのユーザーとキーも含まれている必要があります。
DescribeBackups オペレーションを使用して、クラスタのバックアップを一覧表示します。バックアップのタイムスタンプを使用すると、バックアップの選択に役立ちます。出力を AWS CloudHSM キーストアに関連付けられているクラスターに制限するには、次の例に示すように、
Filtersパラメータを使用します。$aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] } -
選択したバックアップからクラスタを作成します。バックアップに削除されたキーおよびクラスターに必要な他のユーザーとキーが含まれていることを確認します。
-
AWS CloudHSM キーストアを切断して、プロパティを編集できるようにします。
-
AWS CloudHSM キーストアのクラスター ID を編集します。バックアップから作成したクラスターのクラスター ID を入力します。クラスターは元のクラスターとバックアップ履歴を共有するため、新しいクラスター ID が有効である必要があります。
kmsuser としてログインする方法
キーストアの AWS CloudHSM クラスターで AWS CloudHSM キーマテリアルを作成および管理するために、 AWS KMS は kmsuserCrypto User (CU) アカウントを使用します。クラスターに CU kmsuser アカウントを作成し、 AWS CloudHSM キーストアを作成する AWS KMS ときにそのパスワードを に指定します。
一般に、 はkmsuserアカウント AWS KMS を管理します。ただし、一部のタスクでは、 AWS CloudHSM キーストアを切断し、CU kmsuser としてクラスターにログインし、CloudHSM コマンドラインインターフェイス (CLI) を使用する必要があります。
注記
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
このトピックでは、AWS CloudHSM キーストアを切断して としてログインしkmsuser、 AWS CloudHSM コマンドラインツールを実行して、AWS CloudHSM キーストアをログアウトして再接続する方法について説明します。
切断してログインする方法
関連するクラスターに kmsuser Crypto User (CU) としてログインする必要がある際には、次の手順を実行します。
メモ
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール CloudHSM CLI を使用します。CloudHSM CLI は、key-handle を key-reference に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「AWS CloudHSM ユーザーガイド」の「Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行」を参照してください。
-
まだ切断されていない場合は、 AWS CloudHSM キーストアを切断します。 AWS KMS コンソールまたは AWS KMS API を使用できます。
AWS CloudHSM キーが接続されている間、 AWS KMS は としてログインします
kmsuser。これにより、kmsuserとしてログインしたり、kmsuserパスワードを変更することができなくなります。例えば、このコマンドは、 DisconnectCustomKeyStore を使用して、サンプルキーストアを切断します。サンプル AWS CloudHSM キーストア ID を有効なキーストア ID に置き換えます。
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
[login] コマンドを使用して、管理者としてログインします。「AWS CloudHSM ユーザーガイド」の「CloudHSM CLI の使用」セクションに記載されている手順を使用します。
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
CloudHSM CLI のユーザー change-password コマンドを使用して、
kmsuserアカウントのパスワードを既知のパスワードに変更します ( AWS CloudHSM キーストアを接続するとパスワードがAWS KMS ローテーションされます)。パスワードは 7〜32 の英数字で構成する必要があります。大文字と小文字が区別され、特殊文字を含めることはできません。 -
設定したパスワードを使用して
kmsuserとしてログインします。詳細な手順については、「AWS CloudHSM ユーザーガイド」の「CloudHSM CLI の使用」のセクションを参照してください。aws-cloudhsm >login --username kmsuser --role crypto-userEnter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
ログアウトして再接続する方法
kmsuser Crypto User (CU) ユーザーとしてログアウトしてキーストアを再接続する際には、次の手順を使用します。
メモ
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール CloudHSM CLI を使用します。CloudHSM CLI は、key-handle を key-reference に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「AWS CloudHSM ユーザーガイド」の「Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行」を参照してください。
-
タスクを実行後、CloudHSM CLI の [logout] コマンドを使用してログアウトします。ログアウトしないと、 AWS CloudHSM キーストアの再接続は失敗します。
aws-cloudhsmlogout{ "error_code": 0, "data": "Logout successful" } -
カスタムキーストアの kmsuser パスワード設定を編集します。
これにより、クラスター AWS KMS 内の
kmsuserの現在のパスワードが に通知されます。このステップを省略すると、 は としてクラスターにログイン AWS KMS できなくなりkmsuser、カスタムキーストアを再接続しようとすると失敗します。 AWS KMS コンソールまたは UpdateCustomKeyStore オペレーションのKeyStorePasswordパラメータを使用できます。例えば、このコマンドは、現在のパスワードが AWS KMS であることを に指示します
tempPassword。例のパスワードを実際のパスワードに置き換えます。$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--key-store-passwordtempPassword -
AWS KMS キーストアを AWS CloudHSM クラスターに再接続します。サンプル AWS CloudHSM キーストア ID を有効なキーストア ID に置き換えます。接続プロセス中に、 は
kmsuserパスワードを自分だけが知っている値 AWS KMS に変更します。ConnectCustomKeyStore オペレーションはすばやく返されますが、接続プロセスに長時間かかる場合があります。最初のレスポンスは、接続プロセスの成功を示していません。
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
DescribeCustomKeyStores オペレーションを使用して、 AWS CloudHSM キーストアが接続されていることを確認します。サンプル AWS CloudHSM キーストア ID を有効なキーストア ID に置き換えます。
この例では、接続状態フィールドは、 AWS CloudHSM キーストアが接続されたことを示しています。
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
