翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
使用できない KMS キーがデータキーに及ぼす影響
KMS キーが使用できなくなると、その影響はほぼ即時に表れます (最終的な一貫性の対象となります)。KMS キーのキーステータスは新しい条件を反映して変化し、暗号化オペレーションで KMS キーを使用するすべてのリクエストは失敗します。
ただし、KMS キーで暗号化されたデータキー、およびデータキーで暗号化されたデータへの影響は、データキーの復号などに KMS キーが再度使用されるまで遅延します。
KMS キーは、実行する可能性のある次のアクションなどのような、さまざまな原因によって使用できなくなる可能性があります。
-
キーマテリアルがインポートされた KMS キーからキーマテリアルを削除するか、インポートされたキーマテリアルの有効期限が切れるようにします。
-
KMS キーをホストする AWS CloudHSM キーストアを切断するか、KMS キーのキーマテリアルとして機能する AWS CloudHSM クラスターからキーを削除します。
-
KMS キーをホストする外部キーストアの切断、または外部キーストアプロキシへの暗号化および復号リクエストを妨げるその他のアクション (外部キーマネージャーからの外部キーの削除など) です。
この効果は、データキーを使用して、サービスが管理するリソースを保護している多くの AWS のサービス ユーザーにとって特に重要です。次の例では、Amazon Elastic Block Store (Amazon EBS) と Amazon Elastic Compute Cloud (Amazon EC2) を使用しています。異なる AWS のサービス は様々な方法でデータキーを使用します。詳細については、AWS のサービス の「セキュリティ」の章の「データ保護」セクションを参照してください。
例えば、次のシナリオが考えられます。
-
暗号化された EBS ボリュームを作成し、KMS キーを指定して保護します。Amazon EBS は、KMS キーを使用してボリュームの暗号化されたデータキーを生成するよう、AWS KMS に要求します。Amazon EBS は、暗号化されたデータキーをボリュームのメタデータとともに保存します。
-
EBS ボリュームを EC2 インスタンスにアタッチすると、Amazon EC2 は、KMS キーを使用して EBS ボリュームの暗号化されたデータキーを復号します。Amazon EC2 は、EBS ボリュームに対するすべてのディスク I/O を暗号化する責任を担う Nitro ハードウェア内のデータキーを使用します。データキーは、EBS ボリュームが EC2 インスタンスにアタッチされる限り、Nitro ハードウェア内で維持されます。
-
KMS キーを使用不可能にするアクションを実行しました。これによって EC2 インスタンスまたは EBS ボリュームにただちに影響が出ることはありません。Amazon EC2 は、KMS キーではなくデータキーを使用して、ボリュームがインスタンスにアタッチされている限り、すべてのディスク I/O を暗号化します。
-
ただし、暗号化された EBS ボリュームが EC2 インスタンスからデタッチされると、Amazon EBS は Nitro ハードウェアからデータキーを削除します。次回、暗号化された EBS ボリュームが EC2 インスタンスにアタッチされると、アタッチメントは失敗します。これは、Amazon EBS は KMS キーを使用してボリュームの暗号化されたデータキーを復号できないためです。EBS ボリュームを再度使用するには、KMS キーを再度使用可能にする必要があります。
