翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudHSM キーストアの KMS キー
AWS CloudHSM キーストアでは、AWS KMS keys の作成、表示、管理、使用と、削除のスケジュールが行えます。手順は、他の KMS キーを使用する際の手順に非常によく似ています。唯一の違いは、KMS キーを作成する際は AWS CloudHSM キーストアを指定する点です。次に、AWS KMS は、AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスター内の KMS キーに対して、抽出不可能なキーマテリアルを作成します。AWS CloudHSM カスタムキーストアで KMS キーを使用するときは、暗号化オペレーションはクラスター内の HSM で実行されます。
- サポートされている機能
-
このセクションで説明している手順のほかに、AWS CloudHSM キーストアでは KMS キーを使用して次の手順を実行できます。
-
KMS キーへのアクセスを承認するときは、キーポリシー、IAM ポリシー、グラントを使用します。
-
KMS キーを有効および無効にします。
-
タグを割り当ててエイリアスを作成し、属性ベースのアクセス制御 (ABAC) を使用して KMS キーへのアクセスを承認します。
-
KMS キーを使用して以下の暗号化オペレーションを実行します。
非対称データキーペアを生成するオペレーション、GenerateDataKeyPair と GenerateDataKeyPairWithoutPlaintext は、カスタムキーストアでサポートされていません。
-
AWS KMS を統合し、カスタマーマネージドキーをサポートする AWS サービスで KMS キーを使用します。
-
AWS CloudTrail ログと Amazon CloudWatch モニタリングツールでの KMS キーの使用状況を追跡します。
-
- サポートされていない 機能
-
-
AWS CloudHSM キーストアは、対称暗号化 KMS キーのみをサポートします。AWS CloudHSM キーストアでは、HMAC KMS キー、非対称 KMS キー、非対称データキーペアは作成できません。
-
AWS CloudHSM キーストア内の KMS キーにキーマテリアルをインポートすることはできません。AWS KMS は、KMS キーのキーマテリアルを AWS CloudHSM クラスター内に生成します。
-
AWS CloudHSM キーストアで、KMS キーのキーマテリアルの自動ローテーションを有効または無効にすることはできません。
-
- AWS CloudHSM キーストアの KMS キーを使用する
-
リクエストで KMS キーを使用するときは、ID またはエイリアスで KMS キーを識別します。AWS CloudHSM キーストアまたは AWS CloudHSM クラスターを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。
ただし、AWS CloudHSM キーストアで KMS キーを使用すると、暗号化オペレーションは、AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターの内部のみで実行されます。オペレーションでは、選択した KMS キーに関連付けられているクラスターのキーマテリアルが使用されます。
これを可能にするには、次の条件が必要です。
-
KMS キーのキーストアは
Enabledである必要があります。キーステータスを検索するときは、AWS KMS コンソールの [Status] (ステータス) フィールド、または DescribeKey レスポンスのKeyStateフィールドを使用します。 -
AWS CloudHSM キーストアは、その AWS CloudHSM クラスターに接続されている必要があります。AWS KMS コンソールの [Status] (ステータス) または DescribeCustomKeyStores レスポンスの
ConnectionStateは、CONNECTEDになっているはずです。 -
カスタムキーストアに関連付けられている AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内のアクティブな HSM の数を確認するには、AWS KMS コンソール、AWS CloudHSM コンソール、または DescribeClusters オペレーションを使用します。
-
AWS CloudHSM クラスターには KMS キーのキーマテリアルを含める必要があります。キーマテリアルがクラスターから削除された場合、または HSM がキーマテリアルを含まないバックアップから作成された場合、暗号化オペレーションは失敗します。
これらの条件が満たされていない場合、暗号化オペレーションは失敗し、AWS KMS は
KMSInvalidStateException例外を返します。通常は、AWS CloudHSM キーストアを再接続するだけで済みます。その他のヘルプについては、「失敗した KMS キーを修正するには」を参照してください。AWS CloudHSM キーストアで KMS キーを使用するときは、各 AWS CloudHSM キーストア内の KMS キーが、暗号化オペレーションで、カスタムキーストアのリクエストクォータを共有することに注意する必要があります。クォータを超えた場合、AWS KMS は
ThrottlingExceptionを返します。AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスターが、AWS CloudHSM キーストアに関連付けられていないものを含む膨大な数のコマンドを処理すると、ThrottlingExceptionが発生する割合がさらに低くなる可能性があります。すべてのリクエストでThrottlingExceptionが表示される場合、リクエスト速度を下げ、再度コマンドを試してください。カスタムキーストアのリクエストクォータの詳細については、「カスタムキーストアのリクエストクォータ」を参照してください。 -
- 詳細はこちら
-
-
AWS CloudHSM キーストアの詳細については、「AWS CloudHSM キーストア」を参照してください。
-
AWS CloudHSM キーストアで KMS キーを作成するには、「AWS CloudHSM キーストアで KMS キーを作成する」を参照してください。
-
AWS CloudHSM キーストアで KMS キーを特定し表示するには、「AWS CloudHSM キーストアの KMS キーを識別する」を参照してください。
-
AWS CloudHSM キーストアで KMS キーとキーマテリアルを検索するには、「KMS キーストアでキーと AWS CloudHSM キーマテリアルを検索する」を参照してください。
-
AWS CloudHSM キーストアでの KMS キーの削除に関する注意事項については、「AWS CloudHSM キーストアからの KMS キーの削除」を参照してください。
-
