翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーの AWS KMS キーマテリアルのインポート
自分で用意したキーマテリアルで AWS KMS keys (KMS キー) を作成できます。
KMS キーは、暗号化キーの論理表現です。KMS キーのメタデータには、データを暗号化および復号するために使用されるキーマテリアルの ID が含まれます。KMS キーを作成すると、デフォルトで AWS KMS がその KMS キーのキーマテリアルを生成します。ただし、キーマテリアルを使用せずに KMS キーを作成し、独自のキーマテリアルをその KMS キーにインポートできます。この機能は、「キーの持ち込み」(BYOK) とも呼ばれます。
注記
AWS KMS は AWS KMS、 AWS KMS 暗号化テキストがインポートされたキーマテリアルを持つ KMS キーで暗号化された場合でも、 の外部での暗号化テキストの復号をサポートしていません。 AWS KMS は、このタスクに必要な暗号化テキスト形式を公開せず、形式は予告なく変更される可能性があります。
インポートされたキーマテリアルは、カスタムキーストアの KMS キーを除くすべてのタイプの KMS キーでサポートされています。
インポートされたキーマテリアルを使用する場合、 がキーマテリアルのコピーを使用 AWS KMS できるようにしながら、キーマテリアルに対する責任は引き続き負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。
-
要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。
-
AWS サービスで独自のインフラストラクチャのキーマテリアルを使用し、 を使用して AWS KMS 内のそのキーマテリアルのライフサイクルを管理する AWS。
-
コード署名、PKI 証明書署名 AWS KMS、証明書ピン留めアプリケーションのキーなど、 で確立された既存のキーを使用するには
-
でキーマテリアルの有効期限を設定し AWS 、手動で削除しますが、将来再び使用できるようにするには。これに対して、キー削除のスケジュールは、7 日から 30 日間の待機時間が必要となり、その後、削除された KMS キーは復元できません。
-
キーマテリアルの元のコピーを所有し、キーマテリアルの完全なライフサイクル中に耐久性とディザスタリカバリ AWS を強化するために の外部に保持すること。
-
非対称キーと HMAC キーの場合、インポートすると、 内外で動作する互換性があり相互運用可能なキーが作成されます AWS。
インポートされたキーマテリアルを持つ KMS キーの使用と管理を監査およびモニタリングできます。 は、KMS キー の作成、ラップパブリックキーとインポートトークン のダウンロード、キーマテリアル のインポート時に AWS CloudTrail ログにイベント AWS KMS を記録します。 AWS KMS は、インポートされたキーマテリアルを手動で削除するか、 AWS KMS 期限切れのキーマテリアル を削除するときにイベントも記録します。
インポートされたキーマテリアルを持つ KMS キーと、 によって生成されたキーマテリアルを持つ KMS キーの重要な違いについては AWS KMS、「」を参照してくださいインポートしたキーマテリアルについて。
サポートされている KMS キー
AWS KMS は、次のタイプの KMS キーのインポートされたキーマテリアルをサポートします。カスタムキーストア内の KMS キーにキーマテリアルをインポートすることはできません。
-
非対称 RSA KMS キー (暗号化用または署名用、両方は不可)
-
非対称楕円曲線 (ECC) KMS キー (共有シークレットの署名または取得用、両方は不可)
-
非対称 SM2 KMS キー – 中国リージョンのみ (暗号化、署名、共有シークレットの取得用)
-
サポートされているすべてのタイプのマルチリージョンキー。
リージョン
インポートされたキーマテリアルは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。
中国リージョンでは、対称暗号化 KMS キーのキーマテリアル要件は他のリージョンとは異なります。詳細については、「キーマテリアルのインポート ステップ 3: キーマテリアルを暗号化する」を参照してください。
トピック
