翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# キーの AWS KMS キーマテリアルのインポート
<a name="importing-keys"></a>

指定したキーマテリアルを使用して AWS KMS keys (KMS キー) を作成できます。

KMS キーは、データキーの論理表現です。KMS キーのメタデータには、暗号化オペレーションの実行に使用されるキーマテリアルの ID が含まれます。[KMS キーを作成すると](create-keys.md)、デフォルトで はその KMS キーのキーマテリアル AWS KMS を生成します。ただし、キーマテリアルを使用せずに KMS キーを作成し、独自のキーマテリアルをその KMS キーにインポートできます。この機能は、「キーの持ち込み」(BYOK) とも呼ばれます。

![\[そのキーが表すキーマテリアルを強調表示したキーアイコン。\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/import-key.png)


**注記**  
AWS KMS は、暗号化テキストがインポートされたキーマテリアルを持つ AWS KMS KMS キーで暗号化されていても AWS KMS、 の外部で対称暗号化 KMS キーによって暗号化された暗号化テキストの復号をサポートしていません。 AWS KMS はこのタスクに必要な暗号化テキスト形式を発行せず、形式は予告なしに変更される可能性があります。

インポートされたキーマテリアルを使用する場合、 がキーマテリアルのコピーを使用 AWS KMS できるようにしながら、キーマテリアルの責任を引き続き負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。
+ 要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。
+  AWS サービスで独自のインフラストラクチャのキーマテリアルを使用し、 を使用して AWS KMS そのキーマテリアルのライフサイクルを管理します AWS。
+ コード署名、PKI 証明書署名 AWS KMS、証明書固定アプリケーションのキーなど、既存の確立されたキーを で使用するには
+  AWS でキーマテリアルの有効期限を設定し、[手動で削除します](importing-keys-delete-key-material.md)が、今後再び使用できるようにするには。これに対して、[キー削除のスケジュール](deleting-keys.md#deleting-keys-how-it-works)は、7 日から 30 日間の待機時間が必要となり、その後、削除された KMS キーは復元できません。
+ キーマテリアルの元のコピーを所有し、キーマテリアルの完全なライフサイクル中に耐久性とディザスタリカバリを強化 AWS するために の外部に保持します。
+ 非対称キーと HMAC キーの場合、 をインポートすると、互換性があり相互運用可能なキーが作成され、内外で動作します AWS。

**サポートされる KMS キータイプ**

AWS KMS は、次のタイプの KMS キーのインポートされたキーマテリアルをサポートします。[カスタムキーストア](key-store-overview.md#custom-key-store-overview)内の KMS キーにキーマテリアルをインポートすることはできません。
+ [対称暗号化 KMS キー](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [非対称 KMS キー (ML-DSA キーを除く)](symmetric-asymmetric.md)
+ [HMAC KMS キー](hmac.md)
+ サポートされているすべてのタイプの[マルチリージョンキー](multi-region-keys-overview.md)。

**リージョン**

インポートされたキーマテリアルは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。

中国リージョンでは、対称暗号化 KMS キーの主要なマテリアル要件は他のリージョンとは異なります。詳細については、「[ステップ 3: キーマテリアルを暗号化する](importing-keys-encrypt-key-material.md)」を参照してください。

**詳細はこちら**
+ インポートされたキーマテリアルを持つ KMS キーの作成については、「[インポートされたキーマテリアルを持つ KMS キーの作成](importing-keys-conceptual.md)」を参照してください。
+ インポートされたキーマテリアルを持つ KMS キーの有効期限が近づいたときに通知するアラームの作成については、「[インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する](imported-key-material-expiration-alarm.md)」を参照してください。
+ KMS キーにキーマテリアルを再インポートするには、「[キーマテリアルの再インポート](importing-keys-import-key-material.md#reimport-key-material)」を参照してください。
+ オンデマンドローテーション用に新しいキーマテリアルを KMS キーにインポートするには、「[新しいキーマテリアルのインポート](importing-keys-import-key-material.md#import-new-key-material)」および「[オンデマンドキーローテーションの実行](rotating-keys-on-demand.md)」を参照してください。
+ インポートされたキーマテリアルを持つ KMS キーの識別と表示については、「[インポートされたキーマテリアルを持つ KMS キーを特定する](identify-key-types.md#identify-imported-keys)」を参照してください。
+ インポートされたキーマテリアルを持つ KMS キーの削除に関する注意事項については、「[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)」を参照してください。

# インポートされたキーマテリアルに関する注意事項
<a name="importing-keys-considerations"></a>

キーマテリアルを にインポートする前に AWS KMS、インポートされたキーマテリアルの次の特性を理解しておく必要があります。

**キーのマテリアルを生成する**  
お客様の責任において、セキュリティ要件を満たすランダムのソースを使用して、キーマテリアルを生成する必要があります。

**可用性と耐久性に責任があります**  
AWS KMS は、インポートされたキーマテリアルを高可用性に保つように設計されています。ただし、 AWS KMS は、インポートされたキーマテリアルの耐久性を、 が AWS KMS 生成するキーマテリアルと同じレベルで維持しません。詳細については、「[インポートされたキーマテリアルの保護](import-keys-protect.md)」を参照してください。

**キーマテリアルを削除できます。**  
KMS キーから、[インポートしたキーマテリアルを削除](importing-keys-delete-key-material.md)すると、KMS キーはただちに使用できなくなります。また、KMS キーにキーマテリアルをインポートするときに、キーの有効期間を確認して[有効期限を設定](importing-keys-import-key-material.md#importing-keys-expiration)することができます。有効期限が来ると、 AWS KMS [はキーマテリアルを削除します](importing-keys-delete-key-material.md)。キーマテリアルがない場合、KMS キーは暗号化オペレーションで使用することはできません。キーを復元するには、キーに同じキーマテリアルを再インポートする必要があります。

**非対称キーと HMAC キーのキーマテリアルを変更することはできません**  
KMS キーにキーマテリアルをインポートすると、KMS キーはキーマテリアルに永続的に関連付けられます。[同じキーマテリアルを再インポート](importing-keys-import-key-material.md#reimport-key-material)することはできますが、別のキーマテリアルをその KMS キーにインポートすることはできません。また、キーマテリアルがインポートされた KMS キーに対して、[自動キーローテーションを有効にする](rotate-keys.md)ことはできません。ただし、キーマテリアルがインポートされた [KMS キーを手動でローテーションする](rotate-keys-manually.md)ことはできます。

**対称暗号化キーでオンデマンドローテーションを実行できます**  
インポートされたキーマテリアルを持つ対称暗号化キーは、オンデマンドローテーションをサポートします。これらのキーに[複数のキーマテリアルをインポート](importing-keys-import-key-material.md#import-new-key-material)し、[オンデマンドローテーション](rotating-keys-on-demand.md)を使用して現在のキーマテリアルを更新できます。現在のキーマテリアルは暗号化と復号の両方に使用されますが、他の (最新ではない) キーマテリアルは復号にのみ使用できます。

**キーマテリアルのオリジンは変更できません**  
インポートされたキーマテリアルのために設計されている KMS キーには、変更することができない `EXTERNAL` の[オリジン](create-keys.md#key-origin)の値があります。インポートされたキーマテリアルの KMS キーを変換して、 を含む他のソースのキーマテリアルを使用することはできません AWS KMS。同様に、 AWS KMS キーマテリアルを含む KMS キーを、インポートされたキーマテリアル用に設計されたキーマテリアルに変換することはできません。

**キーマテリアルはエクスポートできません**  
インポートしたキーマテリアルをエクスポートすることはできません。インポートしたキーマテリアルをどのような形式でも返す AWS KMS ことはできません。インポートしたキーマテリアルのコピーを AWSの外部、できればハードウェアセキュリティモジュール (HSM) などのキーマネージャーに保持する必要があります。これにより、キーマテリアルを削除した場合や有効期限が切れた場合は再インポートできます。

**インポートしたキーマテリアルを含むマルチリージョンキーを作成できます**  
インポートされたキーマテリアルを含むマルチリージョンには、インポートされたキーマテリアルの KMS キーと同様の機能があり、 AWS リージョン間の相互運用が可能です。キーマテリアルがインポートされたマルチリージョンキーを作成するには、同じキーマテリアルをプライマリ KMS キーと各レプリカキーにインポートする必要があります。マルチリージョンキーのキーマテリアルのインポートの詳細については、「」を参照してください[新しいキーマテリアルのインポート](importing-keys-import-key-material.md#import-new-key-material)。

**非対称キーと HMAC キーは移植可能で相互運用可能です**  
非対称キーマテリアルと の外部にある HMAC キーマテリアルを使用して AWS 、同じインポートされた AWS KMS キーマテリアルを持つキーと相互運用できます。  
アルゴリズムで使用される AWS KMS KMS キーに厳密にバインドされている対称暗号文とは異なり、 は暗号化、署名、MAC 生成に標準の HMAC 形式と非対称形式 AWS KMS を使用します。そのため、キーは移植可能で、従来のエスクローキーシナリオにも対応しています。  
KMS キーにインポートされたキーマテリアルがある場合、 の外部 AWS でインポートされたキーマテリアルを使用して、次のオペレーションを実行できます。  
+ HMAC キー – キーマテリアルがインポートされた HMAC KMS キーによって生成された HMAC タグを検証できます。インポートされたキーマテリアルで HMAC KMS キーを使用して、外部でキーマテリアルによって生成された HMAC タグを検証することもできます AWS。
+ 非対称暗号化キー — の外部でプライベート非対称暗号化キーを使用して AWS 、対応するパブリックキーで KMS キーによって暗号化された暗号文を復号できます。非対称 KMS キーを使用して、 の外部で生成された非対称暗号文を復号することもできます AWS。
+ 非対称署名キー — インポートされたキーマテリアルで非対称署名 KMS キーを使用して、外部のプライベート署名キーによって生成されたデジタル署名を検証できます AWS。の外部で非対称パブリック署名キーを使用して AWS 、非対称 KMS キーによって生成された署名を検証することもできます。
+ 非対称キーアグリーメントキー — インポートされたキーマテリアルを持つ非対称キーアグリーメント KMS キーを使用して、 AWSの外部のピアとの共有シークレットを取得できます。
同じキーマテリアルを同じ AWS リージョン内の別の KMS キーにインポートすると、それらのキーも相互運用できます。異なる で相互運用可能な KMS キーを作成するには AWS リージョン、インポートされたキーマテリアルを持つマルチリージョンキーを作成します。  

**RSA プライベートキー**
+ AWS KMS では、インポートされた RSA プライベートキーに、[FIPS 186-5、セクション A. 1.3 ](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)で説明されているテストに準拠した主要因が必要です。他のソフトウェアやデバイスは、RSA プライベートキーのこれらの主要因を検証するために異なるアルゴリズムを使用する場合があります。まれに、他のアルゴリズムを使用して検証されたキーが AWS KMSによって受け入れられないことがあります。

**対称暗号化キーは移植も相互運用もできません**  
 AWS KMS が生成する対称暗号文は移植可能または相互運用可能ではありません。 AWS KMS は、移植に必要な対称暗号文形式を公開せず、形式は予告なしに変更される可能性があります。  
+ AWS KMS は、インポートしたキーマテリアルを使用していても AWS、外部で暗号化した対称暗号文を復号できません。
+ AWS KMS は、暗号化テキストがインポートされたキーマテリアルを持つ KMS キーで暗号化された場合でも AWS KMS、 の外部での AWS KMS 対称暗号化テキストの復号をサポートしていません。
+ インポートされた同じキーマテリアルの KMS キーは相互運用できません。各 KMS キーに固有の暗号文 AWS KMS を生成する対称暗号文。この暗号文形式により、データを暗号化した KMS キーのみが復号できることが保証されます。
また、 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)や [Amazon S3 クライアント側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)などの AWS ツールを使用して対称 AWS KMS 暗号文を復号することはできません。  
その結果、インポートされたキーマテリアルを持つキーを使用して、キーマテリアルへの条件付きアクセスを持つ許可されたサードパーティーが の外部で特定の暗号文を復号できるキーエスクロー配置をサポートすることはできません AWS KMS。キーエスクローをサポートするには、[AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) を使用して、 AWS KMSに依存しないキーでメッセージを暗号化します。

# インポートされたキーマテリアルの保護
<a name="import-keys-protect"></a>

インポートしたキーマテリアルは、転送中も保管中も保護されます。キーマテリアルをインポートする前に、[FIPS 140-3 暗号化モジュール検証プログラム](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)で検証された AWS KMS ハードウェアセキュリティモジュール (HSMs」) します。キーマテリアルをラッピングパブリックキーで直接暗号化することも、キーマテリアルを AES 対称キーで暗号化してから、AES 対称キーを RSA パブリックキーで暗号化することもできます。

受信すると、 は AWS KMS HSM 内の対応するプライベートキーを使用してキーマテリアルを AWS KMS 復号し、HSM の揮発性メモリにのみ存在する AES 対称キーで再暗号化します。キーマテリアルがプレーンテキストで HSM 外に出ることはありません。使用中のみ、 AWS KMS HSMs。

キーマテリアルがインポートされた KMS キーの使用は、KMS キーに設定した[アクセス制御ポリシー](control-access.md)によってのみ特定されます。さらに、[エイリアス](kms-alias.md)と[タグ](tagging-keys.md)を使用して、KMS キーを識別し、KMS キーへの[アクセスを制御できます](abac.md)。キーを[有効化または無効化](enabling-keys.md)したり、[表示](viewing-keys.md)したり、あるいは AWS CloudTrailのようなサービスを使用して[モニタリング](monitoring-overview.md)したりすることができます。

ただし、キーマテリアルのフェイルセーフコピーはお客様のみが管理します。この追加のコントロール指標の見返りとして、インポートされたキーマテリアルの耐久性と全体的な可用性はお客様の責任となります。 AWS KMS は、インポートされたキーマテリアルを高可用性に保つように設計されています。ただし、 AWS KMS は、インポートされたキーマテリアルの耐久性を、 が AWS KMS 生成するキーマテリアルと同じレベルで維持しません。

耐久性におけるこの相違は、次の場合に有意義です。
+ インポートしたキーマテリアル[の有効期限を設定すると](importing-keys-import-key-material.md#importing-keys-expiration)、 は有効期限が切れた後にキーマテリアル AWS KMS を削除します。 AWS KMS は KMS キーまたはそのメタデータを削除しません。インポートされたキーマテリアルの有効期限が近づいたときに通知する [Amazon CloudWatch アラームを作成できます](imported-key-material-expiration-alarm.md)。

  が KMS キーに対して AWS KMS 生成するキーマテリアルを削除したり、 AWS KMS キーマテリアルの有効期限を設定したりすることはできません。
+ [インポートされたキーマテリアルを手動で削除する](importing-keys-delete-key-material.md)と、 はキーマテリアル AWS KMS を削除しますが、KMS キーまたはそのメタデータは削除しません。対照的に、[キーの削除をスケジュール](deleting-keys.md#deleting-keys-how-it-works)するには 7～30 日間の待機期間が必要です。その後、 は KMS キー、そのメタデータ、およびそのキーマテリアル AWS KMS を完全に削除します。
+ 万一、 に影響するリージョン全体の特定の障害 AWS KMS (停電など) が発生した場合、 AWS KMS はインポートされたキーマテリアルを自動的に復元できません。ただし、 は KMS キーとそのメタデータを復元 AWS KMS できます。

インポートされたキーマテリアルのコピーは、ユーザーが管理するシステムの の外部 AWS に保持*する必要があります*。インポートされたキーマテリアルのエクスポート可能なコピーを、HSM などのキーマネジメントシステムに保存しておくことをお勧めします。ベストプラクティスとして、KMS キー ARN と AWS KMS によって生成されたキーマテリアル ID への参照をキーマテリアルのエクスポート可能なコピーとともに保存することが推奨されます。インポートしたキーマテリアルが削除されるか期限切れになった場合、同じキーマテリアルを再インポートするまで、関連付けられた KMS キーは使用できなくなります。インポートしたキーマテリアルが完全に失われた場合、KMS キーで暗号化された暗号文は回復できません。

**重要**  
対称暗号化キーには、複数のキーマテリアルを関連付けることができます。これらのキーマテリアルのいずれかを削除するか、それらのキーマテリアルのいずれかの有効期限が切れるとすぐに、KMS キー全体が使用できなくなります (削除または期限切れのキーマテリアルが `PENDING_ROTATION`または でない限り`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`)。キーが暗号化オペレーションで使用できなくなる前に、そのようなキーに関連付けられ、有効期限が切れたキーマテリアルまたは削除したキーマテリアルを再インポートする必要があります。