AWS CloudHSM キーストアの概念 - AWS Key Management Service
AWS CloudHSM キーストアAWS CloudHSM クラスターkmsuser Crypto UserAWS CloudHSM キーストアの KMS キー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアの概念

このトピックでは、AWS CloudHSM カスタムキーストアで使用されるいくつかの概念について説明します。

AWS CloudHSM キーストア

AWS CloudHSM キーストアは、ユーザーが所有し管理する AWS CloudHSM クラスターに関連付けられたカスタムキーストアです。AWS CloudHSM クラスターは、FIPS 140-2 レベル 3 の認定を受けたハードウェアセキュリティモジュールによりバックアップされています。

AWS CloudHSM キーストアで KMS キーを作成すると、AWS KMS が、256 ビットの永続的でエクスポート不可の Advanced Encryption Standard (AES) 対称キーを、関連する AWS CloudHSM クラスターに作成します。このキーマテリアルは、HSM を非暗号化のままにしません。AWS CloudHSM カスタムキーストアで KMS キーを使用するときは、暗号化オペレーションはクラスター内の HSM で実行されます。

AWS CloudHSM キーストアは、AWS KMS の便利で包括的なキー管理インターフェイスと、AWS アカウント アカウントの AWS CloudHSM クラスターによって提供される追加のコントロールを組み合わせたものです。この統合された機能により、クラスター、HSM、バックアップの管理など、キーマテリアルを保存する HSM を完全に制御しながら、AWS KMS で KMS キーを作成、管理、使用することができます。AWS KMS コンソールと API を使用することで、AWS CloudHSM カスタムキーストアとその KMS キーを管理できます。関連するクラスターを管理するには、AWS CloudHSM コンソール、API、クライアントソフトウェア、および関連するソフトウェアライブラリを使用することもできます。

AWS CloudHSM キーストアの表示と管理プロパティの編集、関連付けられた AWS CloudHSM クラスターの接続と切断が行えます。AWS CloudHSM キーストアを削除する必要がある場合は、削除をスケジュールし、猶予期間が終了するまで待機した後で、まず AWS CloudHSM キーストア内の KMS キーを削除します。AWS CloudHSM キーストアを削除すると AWS KMS からリソースが削除されますが、AWS CloudHSM クラスターには影響しません。

AWS CloudHSM クラスター

すべての AWS CloudHSM キーストアは、1 つの AWS CloudHSM クラスターに関連付けられています。AWS CloudHSM キーストアに AWS KMS key を作成すると、AWS KMS が、関連付けられたクラスターでキーマテリアルを作成します。AWS CloudHSM キーストアで KMS キーを使用すると、関連付けられたクラスターで、暗号化オペレーションが実行されます。

各 AWS CloudHSM クラスターは、1 つの AWS CloudHSM キーストアにのみ関連付けることができます。選択したクラスターを別の AWS CloudHSM キーストアに関連付けたり、別の AWS CloudHSM キーストアに関連付けられたクラスターとバックアップ履歴を共有したりすることはできません。クラスターは初期化され、アクティブで、AWS CloudHSM カスタムキーストアと同じ AWS アカウント およびリージョンに存在している必要があります。新しいクラスターを作成したり、既存のクラスターを使用したりすることができます。AWS KMS はクラスターの排他的使用を必要としません。AWS CloudHSM キーストアに KMS キーを作成するときは、関連付けられたクラスターにアクティブな HSM が 2 つ以上含まれている必要があります。他のすべてのオペレーションでは、1 つの HSM しか必要ありません。

AWS CloudHSM キーストアを作成するときに AWS CloudHSM クラスターを指定しますが、これは変更できません。ただし、バックアップ履歴を共有するクラスターは、元のクラスターに置き換えることができます。これにより、必要に応じてクラスターを削除し、バックアップの 1 つから作成したクラスターに置き換えることができます。関連する AWS CloudHSM クラスターを完全に制御することにより、ユーザーとキーを管理し、HSM を作成および削除して、バックアップを使用および管理できます。

AWS CloudHSM キーストアを使用する準備ができたら、関連付けられた AWS CloudHSM クラスターにそれを接続します。いつでもカスタムキーストアを接続および切断できます。カスタムキーストアが接続されている場合は、その KMS キーを作成して使用できます。接続が切断されると、AWS CloudHSM キーストアとその KMS キーを表示および管理できます。ただし、暗号化オペレーションの AWS CloudHSM キーストアで、新しい KMS キーを作成、使用することはできません。

kmsuser Crypto User

関連する AWS CloudHSM クラスターのキーマテリアルを作成および管理するために、AWS KMS は専用の AWS CloudHSM crypto user (CU) をkmsuser という名前のクラスターに追加します。kmsuser CU は、クラスター内のすべての HSM に自動的に同期された標準の CU アカウントで、クラスターバッグに保存されます。

AWS CloudHSM キーストアを作成する前に、cloudhsm_mgmt_util で createUser コマンドを使用して、AWS CloudHSM クラスターの kmsuser CU アカウントを作成します。次に、AWS CloudHSM キーストアを作成するときに、kmsuser アカウントのパスワードを AWS KMS に入力します。カスタムキーストアを接続すると、AWS KMS が kmsuser CU としてクラスターにログインし、パスワードをローテーションします。AWS KMS は kmsuser パスワードを暗号化して安全に保存します。パスワードがローテーションされる際、新しいパスワードは同じ方法で暗号化されて保存されます。

AWS CloudHSM キーストアが接続されている限り、AWS KMS は kmsuser としてログインし続けます。この CU アカウントは他の目的では使用しないでください。ただし、kmsuser CU アカウントの最終的な制御は保持されます。kmsuser が所有するキーのキーハンドルは、いつでも検索することができます。必要に応じて、カスタムキーストアの切断kmsuser パスワードの変更、kmsuser でクラスターへログイン、および kmsuser が所有するキーの表示と管理が行えます。

kmsuser CU アカウントの作成手順については、「kmsuser Crypto User を作成する」を参照してください。

AWS CloudHSM キーストアの KMS キー

AWS KMS または AWS KMS API を使用すると、AWS CloudHSM キーストアに AWS KMS keys を作成できます。KMS キーで使用するのと同じ方法を使用します。唯一の違いは、AWS CloudHSM キーストアを識別し、キーマテリアルのオリジンが AWS CloudHSM クラスターであることを指定する必要があることです。

AWS CloudHSM キーストアに KMS キーを作成する場合、AWS KMS が、AWS KMS に KMS キーを作成し、関連付けられたクラスターに、256 ビットの永続的でエクスポート不能な Advanced Encryption Standard (AES) 対称キーマテリアルを生成します。暗号化オペレーションで AWS KMS キーを使用すると、オペレーションは、クラスターベースの AES キーを使用して、AWS CloudHSM クラスターで実行されます。AWS CloudHSM は異なるタイプの対称キーと非対称キーをサポートしていますが、AWS CloudHSM キーストアは AES 対称暗号化キーのみをサポートします。

AWS KMS コンソールの AWS CloudHSM キーストアで KMS キーを表示し、コンソールオプションを使用して、カスタムキーストア ID を表示できます。DescribeKey オペレーションを使用して、AWS CloudHSMキーストア ID とAWS CloudHSMクラスター ID を検索することもできます。

AWS CloudHSM キーストアの KMS キーは、AWS KMS の KMS キーと同じように動作します。認可されたユーザーは、KMS キーの使用と管理のために同じアクセス許可が必要です。同じコンソールの手順と API オペレーションを使用して、AWS CloudHSM キーストアで KMS キーを表示および管理します。これには、KMS キーの有効化と無効化、タグとエイリアスの作成と使用、IAM ポリシーとキーポリシーの設定と変更が含まれます。AWS CloudHSM キーストアの KMS キーは暗号化オペレーションに使用でき、それを、カスタマーマネージドキーの使用をサポートする統合された AWS サービスに使用することができます。ただし、自動キーローテーションを有効化したり、AWS CloudHSM キーストアの KMS キーにキーマテリアルをインポートしたりすることはできません。

AWS CloudHSM キーストア内の KMS キーのスケジュール削除にも同じプロセスを使用します。待機期間が終了すると、AWS KMS は KMS から KMS キーを削除します。次に、関連付けられた AWS CloudHSM クラスターから、KMS キーのキーマテリアルを可能な限り削除します。ただし、クラスターとそのバックアップから、手動で孤立したキーマテリアルを削除する必要があります。