インポートされたキーマテリアルの保護 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インポートされたキーマテリアルの保護

インポートしたキーマテリアルは、転送中も保管中も保護されます。キーマテリアルをインポートする前に、1FIPS40-2 暗号化モジュール検証プログラム で検証された AWS KMS ハードウェアセキュリティモジュール () で生成されたRSAキーペアのパブリックキーを使用してキーマテリアルを暗号化 (または「ラップHSMs」) します。キーマテリアルをラップパブリックキーで直接暗号化するか、AES対称キーでキーマテリアルを暗号化し、RSA次にパブリックキーでAES対称キーを暗号化できます。

受信時に、 は対応するプライベートキーを使用してキーマテリアルを AWS KMS 復号 AWS KMS HSMし、 の揮発性メモリにのみ存在するAES対称キーで再暗号化しますHSM。キーマテリアルが をプレーンテキストHSMのままにすることは決してありません。これは使用中のみ復号され、 内でのみ復号されます AWS KMS HSMs。

インポートされたKMSキーマテリアルでのキーの使用は、KMSキーで設定したアクセスコントロールポリシーによってのみ決定されます。さらに、エイリアスタグを使用して、KMSキーへのアクセスを識別および制御できます。キーを有効化または無効化したり、表示したり、あるいは AWS CloudTrailのようなサービスを使用してモニタリングしたりすることができます。

ただし、キーマテリアルのフェイルセーフコピーはお客様のみが管理します。この追加のコントロールの尺度の見返りとして、インポートされたキーマテリアルの耐久性と全体的な可用性に責任があります。 AWS KMS は、インポートされたキーマテリアルを高可用性に保つように設計されています。ただし AWS KMS 、 が AWS KMS 生成するキーマテリアルと同じレベルで、インポートされたキーマテリアルの耐久性は維持されません。

耐久性におけるこの相違は、次の場合に有意義です。

  • インポートしたキーマテリアルの有効期限を設定すると、 は有効期限が切れた後にキーマテリアル AWS KMS を削除します。 AWS KMS はKMSキーまたはそのメタデータを削除しません。インポートされたキーマテリアルの有効期限が近づいたときに通知する Amazon CloudWatch アラームを作成できます

    KMS キーに対して AWS KMS が生成するキーマテリアルを削除したり、 AWS KMS キーマテリアルの有効期限を設定したりすることはできませんが、 をローテーションできます。

  • インポートされたキーマテリアル を手動で削除すると、 はキーマテリアル AWS KMS を削除しますが、KMSキーまたはそのメタデータは削除しません。対照的に、キーの削除をスケジュールするには、7~30 日間の待機期間が必要です。待機期間が過ぎると、KMSキー、メタデータ、キーマテリアル AWS KMS が完全に削除されます。

  • 特定のリージョン全体の障害が発生し AWS KMS て に影響する (電力の完全損失など) 場合、インポートしたキーマテリアルを自動的に復元 AWS KMS することはできません。ただし、 はKMSキーとそのメタデータを復元 AWS KMS できます。

インポートしたキーマテリアルのコピーは、 の外部 AWS で、管理するシステムに保存する必要があります。インポートされたキーマテリアルのエクスポート可能なコピーを、 などのキー管理システムに保存することをお勧めしますHSM。インポートしたキーマテリアルが削除されたり、有効期限が切れたりすると、同じKMSキーマテリアルを再インポートするまで、そのキーは使用できなくなります。インポートしたキーマテリアルが完全に失われた場合、KMSキーで暗号化された暗号文は復元できません。