AWS CloudHSM キーストア - AWS Key Management Service
AWS CloudHSM キーストアの概念

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストア

AWS CloudHSM キーストアは、AWS CloudHSM クラスターでバックアップされたカスタムキーストアです。カスタムキーストアで AWS KMS key を作成すると、AWS KMS は所有し管理する AWS CloudHSM クラスターで、KMS キーの抽出不可能なキーマテリアルを生成して保存します。カスタムキーストアで KMS キーを使用する際、暗号化オペレーションはクラスター内の HSM で実行されます。この機能により、AWS KMS の利便性および広範囲な統合と、AWS アカウント の AWS CloudHSM クラスターの追加コントロールが結合されます。

AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。任意の KMS キーを使用するのと同じ方法で、カスタムキーストア内の KMS キーを使用できます。例えば、KMS キーを使用して、データキーの生成やデータの暗号化を実行できます。カスタマーマネージドキーをサポートする AWS のサービスを使用して、カスタムキーストアで KMS キーを使用することもできます。

カスタムキーストアは必要ですか?

FIPS 140-2 検証済み暗号化モジュールによって保護されているデフォルトの AWS KMS キーストアは、ほとんどのユーザーのセキュリティ要件を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

  • 単一テナント HSM または直接制御できる HSM における保護が明示的に要求されているキーがある。

  • AWS KMS からキーマテリアルをすぐに削除できる機能が必要である。

  • AWS KMS または AWS CloudTrail から独立してキーのすべての使用状況を監査できる必要がある。

カスタムキーストアはどのように機能しますか?

各カスタムキーストアは、AWS アカウント の AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスター内の専用 crypto user の認証情報を使用して、キー AWS CloudHSM のクライアントにログインします。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアで AWS KMS keys を作成する際は、AWS KMS で KMS キーを表示して管理します。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。

カスタムキーストアで KMS キーを管理する

カスタムキーストアで、AWS KMS が生成したキーマテリアルを持つ対称暗号化 KMS キーを作成することができます。同じ方法を使用して、AWS KMS キーストアの KMS キーに使用するカスタムキーストアで、KMS キーを表示して管理することができます。IAM ポリシーとキーポリシーを使用してアクセスを制御したり、タグやエイリアスを作成したり、KMS キーを有効および無効にしたり、キーの削除をスケジューリングルしたりできます。KMS キーを暗号化オペレーションで使用したり、AWS KMS と統合された AWS のサービスで使用したりできます。

さらに、HSM の作成や削除やバックアップの管理など、AWS CloudHSM クラスターを完全制御できます。AWS CloudHSM クライアントおよびサポートされているソフトウェアライブラリを使用して、KMS キーのキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間、AWS KMS はカスタムキーストアにアクセスできません。また、ユーザーはカスタムキーストアで、暗号化オペレーションに KMS キーを使用することができません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始方法

AWS CloudHSM キーストアを作成および管理するときは、AWS KMS と AWS CloudHSM の機能を使用します。

  1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、AWS KMS のクラスターで専用 crypto user (CU) アカウントを作成します。

  2. AWS KMS で、選択した AWS CloudHSM クラスターに関連付けられた カスタムキーストアを作成 します。AWS KMS はカスタムキーストアの作成、表示、編集、削除を可能にする完全な管理インターフェイスを提供します。

  3. カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用 crypto user アカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

  4. これで、カスタムキーストアで対称暗号化 KMS キーを作成できるようになりました。カスタムキーストアを指定するだけで、KMS キーを作成できます。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、または AWS Key Management Service ディスカッションフォーラムに質問を投稿してください。

クォータ

AWS KMS では、接続状態にかかわらず、AWS CloudHSM キーストア外部キーストアの両方を含め、各 AWS アカウント とリージョンで最大 10 個のカスタムキーストアを使用できます。また、AWS CloudHSM キーストアで KMS キーを使用する際は、AWS KMS リクエストクォータが適用されます。

料金表

カスタムキーストアでの AWS KMS カスタムキーストアとカスタマーマネージドキーのコストについては、「AWS Key Management Service の料金」を参照してください。AWS CloudHSM クラスターと HSM のコストに関しては、「AWS CloudHSM の料金」を参照してください。

リージョン

AWS KMS は、AWS KMS がサポートされているすべての AWS リージョン (アジアパシフィック (メルボルン)、中国 (北京)、中国 (寧夏)、欧州 (スペイン) を除く) で AWS CloudHSM キーストアをサポートしています。

サポートされていない機能

AWS KMS はカスタムキーストアで次の機能をサポートしていません。

AWS CloudHSM キーストアの概念

このトピックでは、AWS CloudHSM カスタムキーストアで使用されるいくつかの用語とコンセプトについて説明します。

AWS CloudHSM キーストア

AWS CloudHSM キーストアは、ユーザーが所有し管理する AWS CloudHSM クラスターに関連付けられたカスタムキーストアです。AWS CloudHSM クラスターは、FIPS 140-2 レベル 3 の認定を受けたハードウェアセキュリティモジュールによりバックアップされています。

AWS CloudHSM キーストアで KMS キーを作成すると、AWS KMS が、256 ビットの永続的でエクスポート不可の Advanced Encryption Standard (AES) 対称キーを、関連する AWS CloudHSM クラスターに作成します。このキーマテリアルは、HSM を非暗号化のままにしません。AWS CloudHSM カスタムキーストアで KMS キーを使用するときは、暗号化オペレーションはクラスター内の HSM で実行されます。

AWS CloudHSM キーストアは、AWS KMS の便利で包括的なキー管理インターフェイスと、AWS アカウント アカウントの AWS CloudHSM クラスターによって提供される追加のコントロールを組み合わせたものです。この統合された機能により、クラスター、HSM、バックアップの管理など、キーマテリアルを保存する HSM を完全に制御しながら、AWS KMS で KMS キーを作成、管理、使用することができます。AWS KMS コンソールと API を使用することで、AWS CloudHSM カスタムキーストアとその KMS キーを管理できます。関連するクラスターを管理するには、AWS CloudHSM コンソール、API、クライアントソフトウェア、および関連するソフトウェアライブラリを使用することもできます。

AWS CloudHSM キーストアの表示と管理プロパティの編集、および関連付けられた AWS CloudHSM クラスターの接続切り離しを行うことができます。AWS CloudHSM キーストアを削除する必要がある場合は、削除をスケジュールし、猶予期間が終了するまで待機した後で、まず AWS CloudHSM キーストア内の KMS キーを削除します。AWS CloudHSM キーストアを削除すると AWS KMS からリソースが削除されますが、AWS CloudHSM クラスターには影響しません。

AWS CloudHSM クラスター

すべての AWS CloudHSM キーストアは 1 つの AWS CloudHSM クラスターに関連付けられています。AWS CloudHSM キーストアに AWS KMS key を作成すると、AWS KMS が、関連付けられたクラスターでキーマテリアルを作成します。AWS CloudHSM キーストアで KMS キーを使用すると、関連付けられたクラスターで、暗号化オペレーションが実行されます。

各 AWS CloudHSM クラスターは、1 つの AWS CloudHSM キーストアにのみ関連付けることができます。選択したクラスターを別の AWS CloudHSM キーストアに関連付けたり、別の AWS CloudHSM キーストアに関連付けられたクラスターとバックアップ履歴を共有したりすることはできません。クラスターは初期化され、アクティブで、AWS CloudHSM カスタムキーストアと同じ AWS アカウント およびリージョンに存在している必要があります。新しいクラスターを作成したり、既存のクラスターを使用したりすることができます。AWS KMS はクラスターの排他的使用を必要としません。AWS CloudHSM キーストアに KMS キーを作成するときは、関連付けられたクラスターにアクティブな HSM が 2 つ以上含まれている必要があります。他のすべてのオペレーションでは、1 つの HSM しか必要ありません。

AWS CloudHSM キーストアを作成するときに AWS CloudHSM クラスターを指定しますが、これは変更できません。ただし、バックアップ履歴を共有するクラスターは、元のクラスターに置き換えることができます。これにより、必要に応じてクラスターを削除し、バックアップの 1 つから作成したクラスターに置き換えることができます。関連する AWS CloudHSM クラスターを完全に制御することにより、ユーザーとキーを管理し、HSM を作成および削除して、バックアップを使用および管理できます。

AWS CloudHSM キーストアを使用する準備ができたら、関連付けられた AWS CloudHSM クラスターにそれを接続します。いつでもカスタムキーストアを接続および切断できます。カスタムキーストアが接続されている場合は、その KMS キーを作成して使用できます。接続が切断されると、AWS CloudHSM キーストアとその KMS キーを表示および管理できます。ただし、暗号化オペレーションの AWS CloudHSM キーストアで、新しい KMS キーを作成、使用することはできません。

kmsuser Crypto User

関連する AWS CloudHSM クラスター内のキーマテリアルをユーザーに代わって作成および管理するために、AWS KMS では kmsuser という名前の専用の AWS CloudHSM Crypto User (CU) をクラスターに追加します。kmsuser CU は、クラスター内のすべての HSM に自動的に同期された標準の CU アカウントで、クラスターバッグに保存されます。

AWS CloudHSM キーストアを作成する前に、CloudHSM CLI 内で user create コマンドを使用することで、お使いの AWS CloudHSM クラスター内に kmsuser CU アカウントを作成してください。次に、AWS CloudHSM キーストアを作成するときに、kmsuser アカウントのパスワードを AWS KMS に入力します。カスタムキーストアを接続すると、AWS KMS が kmsuser CU としてクラスターにログインし、パスワードをローテーションします。AWS KMS は kmsuser パスワードを暗号化して安全に保存します。パスワードがローテーションされる際、新しいパスワードは同じ方法で暗号化されて保存されます。

AWS CloudHSM キーストアが接続されている限り、AWS KMS は kmsuser としてログインし続けます。この CU アカウントは他の目的では使用しないでください。ただし、kmsuser CU アカウントの最終的な制御は保持されます。kmsuser が所有するキーはいつでも検索することができます。必要に応じて、カスタムキーストアの切断kmsuser パスワードの変更、kmsuser でクラスターへログイン、および kmsuser が所有するキーの表示と管理が行えます。

kmsuser CU アカウントの作成手順については、「kmsuser Crypto User を作成する」を参照してください。

AWS CloudHSM キーストアの KMS キー

AWS KMS または AWS KMS API を使用すると、AWS CloudHSM キーストアに AWS KMS keys を作成できます。KMS キーで使用するのと同じ方法を使用します。唯一の違いは、AWS CloudHSM キーストアを識別し、キーマテリアルのオリジンが AWS CloudHSM クラスターであることを指定する必要があることです。

AWS CloudHSM キーストアに KMS キーを作成する場合、AWS KMS が、AWS KMS に KMS キーを作成し、関連付けられたクラスターに、256 ビットの永続的でエクスポート不能な Advanced Encryption Standard (AES) 対称キーマテリアルを生成します。暗号化オペレーションで AWS KMS キーを使用すると、オペレーションは、クラスターベースの AES キーを使用して、AWS CloudHSM クラスターで実行されます。AWS CloudHSM は異なるタイプの対称キーと非対称キーをサポートしていますが、AWS CloudHSM キーストアは AES 対称暗号化キーのみをサポートします。

AWS KMS コンソールの AWS CloudHSM キーストアで KMS キーを表示し、コンソールオプションを使用して、カスタムキーストア ID を表示できます。また、DescribeKey オペレーションを使用して、AWS CloudHSM キーストア ID と AWS CloudHSM クラスター ID を見つけることもできます。

AWS CloudHSM キーストアの KMS キーは、AWS KMS の KMS キーと同じように動作します。認可されたユーザーは、KMS キーの使用と管理のために同じアクセス許可が必要です。同じコンソールの手順と API オペレーションを使用して、AWS CloudHSM キーストアで KMS キーを表示および管理します。これには、KMS キーの有効化と無効化、タグとエイリアスの作成と使用、IAM ポリシーとキーポリシーの設定と変更が含まれます。AWS CloudHSM キーストアの KMS キーは暗号化オペレーションに使用でき、それを、カスタマーマネージドキーの使用をサポートする統合された AWS サービスに使用することができます。ただし、自動キーローテーションを有効化したり、AWS CloudHSM キーストアの KMS キーにキーマテリアルをインポートしたりすることはできません。

AWS CloudHSM キーストア内の KMS キーのスケジュール削除にも同じプロセスを使用します。待機期間が終了すると、AWS KMS は KMS から KMS キーを削除します。次に、関連付けられた AWS CloudHSM クラスターから、KMS キーのキーマテリアルを可能な限り削除します。ただし、クラスターとそのバックアップから、手動で孤立したキーマテリアルを削除する必要があります。