外部キーストアプロパティの編集 - AWS Key Management Service
外部キーストアのプロパティを編集する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアプロパティの編集

既存の外部キーストアの選択したプロパティは、編集が可能です。

一部のプロパティは、外部キーストアが接続または切断されている間、編集することができます。それ以外のプロパティでは、先に、外部キーストアプロキシから外部キーストアを切断する必要があります。外部キーストアの接続ステータスDISCONNECTED でなければなりません。外部キーストアが切断されている間はキーストアとその KMS キーを管理することはできますが、外部キーストアで KMS キーを作成または使用することはできません。外部キーストアの接続ステータスを見つけるには、DescribeCustomKeyStores オペレーションを使用するか、外部キーストアの詳細ページで [General configuration] (一般設定) を表示します。

外部キーストアのプロパティを更新する前に、AWS KMS が、新しい値を使用して GetHealthStatus リクエストを外部キーストアプロキシに送信します。リクエストが成功すると、更新されたプロパティ値を使って外部キーストアプロキシに接続し、これを認証できることが示されます。リクエストが失敗すると、編集オペレーションは失敗し、エラーを特定する例外が生じます。

編集オペレーションが完了すると、外部キーストア用の更新されたプロパティ値が、AWS KMS コンソールと DescribeCustomKeyStores レスポンスに表示されます。ただし、変更が完全に有効になるまでに最大で 5 分かかります。

AWS KMS コンソールで外部キーストアを編集する場合は、プロキシ URI パスプロキシ認証の認証情報を指定する、JSON ベースのプロキシ設定ファイルをアップロードすることができます。一部の外部キーストアプロキシでは、このファイルは自動的に生成されます。詳細については、外部キーストアプロキシか外部キーマネージャーのドキュメントを参照してください。

警告

更新されたプロパティ値により、外部キーストアは、以前の値と同じ外部キーマネージャーのプロキシに接続するか、同じ暗号化キーを持つ外部キーマネージャーのバックアップまたはスナップショットのプロキシに接続します。外部キーストアが KMS キーに関連付けられた外部キーへのアクセスを完全に失うと、それらの外部キーで暗号化された暗号文は回復不能になります。特に、外部キーストアのプロキシ接続を変更した場合、AWS KMS は外部キーにアクセスできなくなる可能性があります。

ヒント

外部キーマネージャーの中には、外部キーストアプロパティを編集するための簡単な方法が用意されているものもあります。詳細については外部キーマネージャーのドキュメントを参照してください。

外部キーストアの次のプロパティは、変更が可能です。

編集可能な外部キーストアプロパティ どの接続ステータスでも可 切断済み状態が必要
カスタムキーストア名

カスタムキーストアの必須フレンドリ名

重要

このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

 Green checkmark icon indicating success or completion.
プロキシ認証の認証情報 (XksProxyAuthenticationCredential)

(1 つの要素のみを変更する場合でも、アクセスキー ID とシークレットアクセスキーの両方を指定する必要がある)。

 Green checkmark icon indicating success or completion.
プロキシ URI パス (XksProxyUriPath) Green checkmark icon indicating success or completion.
プロキシ接続 (XksProxyConnectivity)

(プロキシ URI エンドポイントも更新する必要がある。VPC エンドポイントサービス接続に変更する場合、プロキシ VPC エンドポイントサービス名を指定する)。

 Green checkmark icon indicating success or completion.
プロキシ URI エンドポイント (XksProxyUriEndpoint)

プロキシエンドポイント URI を変更する場合、関連付けられた TLS 証明書の変更も必要になる場合がある。

 Green checkmark icon indicating success or completion.
プロキシ VPC エンドポイントのサービス名 (XksProxyVpcEndpointServiceName)

(このフィールドは VPC エンドポイントサービスの接続に必要)。

 Green checkmark icon indicating success or completion.

外部キーストアのプロパティを編集する

外部キーストアのプロパティは、AWS KMS コンソールで、あるいはUpdateCustomKeyStore オペレーションを使用して編集できます。

キーストアを編集すると、編集可能な任意の値を変更できます。一部の変更では、外部キーストアを外部キーストアプロキシから切断することが必要になります。

プロキシ URI パスまたはプロキシ認証の認証情報を編集する場合は、新しい値を入力するか、新しい値を含む、外部キーストアのプロキシ設定ファイルをアップロードします。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[External key stores] (外部キーストア) の順に選択します。

  4. 編集する外部キーストアの行を選択します。

  5. 必要に応じて、外部キーストアを外部キーストアプロキシから切断します。[Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します。

  6. [Key store actions] (キーストアアクション) メニューから [Edit] (編集) を選択します。

  7. 1 つまたは複数の編集可能な外部キーストアプロパティを変更します。また、プロキシ URI パスとプロキシ認証の認証情報の値を含む、外部キーストアプロキシ設定ファイルをアップロードすることもできます。プロキシ設定ファイルは、ファイル内の指定された値が変更されていなくても、使用できます。

  8. [Update external key store] (外部キーストアの更新) を選択します。

  9. 警告を確認し、続行する場合は警告を確定し、[Update external key store] (外部キーストアの更新) を選択します。

    手順が正常に完了すると、編集したプロパティについて説明するメッセージが表示されます。正常に行われなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。

  10. 必要に応じて、外部キーストアを再接続します。[Key store actions] (キーストアアクション) メニューから [Connect] (接続) を選択します。

    外部キーストアは切断された状態にしておくことができます。ただし、切断されている間は外部キーストアで KMS キーを作成したり、暗号化オペレーションで外部キーストア内の KMS キーを使用したりすることはできません。

外部キーストアのプロパティを変更するには、UpdateCustomKeyStore オペレーションを使用します。同じオペレーションで外部キーストアの複数のプロパティを変更できます。オペレーションが成功すると、AWS KMS は HTTP 200 レスポンスおよびプロパティなしの JSON オブジェクトを返します。

外部キーストアを識別するには CustomKeyStoreId パラメータを使用します。プロパティを変更するには他のパラメータを使用します。UpdateCustomKeyStore オペレーションでは、プロキシ設定ファイルを使用できません。プロキシ設定ファイルがサポートされているのは、AWS KMS コンソールのみです。ただし、プロキシ設定ファイルは、外部キーストアプロキシの正しいパラメータ値を決める際に役立ちます。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

始める前に、必要に応じて、外部キーストアプロキシから外部キーストアを切断します。更新後、必要に応じて、外部キーストアプロキシに外部キーストアを再接続できます。外部キーストアは切断された状態にしておくことができますが、キーストアに新しい KMS キーを作成したり、暗号化オペレーションのためにキーストアで既存の KMS キーを使用したりするときは、先に接続しておく必要があります。

注記

AWS CLI バージョン 1.0 を使用している場合は、次のコマンドを実行してから HTTP または HTTPS 値を持つパラメータ (XksProxyUriEndpoint パラメータなど) を指定します。

aws configure set cli_follow_urlparam false

そうしないと、AWS CLI バージョン 1.0 が、パラメータ値をこの URI アドレスにある内容に置き換えることになり、以下のエラーが発生します。

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

外部キーストアの名前を変更する

最初の例では、UpdateCustomKeyStore オペレーションを使用して、カスタムキーストアのフレンドリ名を XksKeyStore に変更します。このコマンドでは、CustomKeyStoreId パラメータを使用してカスタムキーストアを識別し、CustomKeyStoreName でカスタムキーストアの新しい名前を指定します。例にある値は、すべて外部キーストアの実際の値に置き換えます。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore

プロキシ認証の認証情報を変更する

次の例では、AWS KMS が外部キーストアプロキシの認証に使用する、プロキシ認証の認証情報を更新します。認証情報を更新するとき、それがプロキシ上でローテーションされる場合は、このようなコマンドを使用できます。

まず、外部キーストアプロキシで認証情報を更新します。次に、この機能を使用して AWS KMS に変更を報告します。(プロキシは、ユーザーが AWS KMS で認証情報を更新できるよう一時的に新旧両方の認証情報をサポートします)。

変更する値が 1 つのみの場合でも、アクセスキー ID とシークレットアクセスキーの両方を認証情報で指定する必要があります。

最初の 2 つのコマンドは、認証情報値を保持する変数を設定します。UpdateCustomKeyStore オペレーションは CustomKeyStoreId パラメータを使って外部キーストアを識別します。XksProxyAuthenticationCredential パラメータをその AccessKeyIdRawSecretAccessKey フィールドで使用し、新しい認証情報を指定します。例にある値は、すべて外部キーストアの実際の値に置き換えます。

$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey

プロキシ URI パスを変更する

次の例では、プロキシ URI パス (XksProxyUriPath) を更新します。プロキシ URI エンドポイントとプロキシ URI パスを組み合わせた値は、AWS アカウント およびリージョン内で一意でなければなりません。例にある値は、すべて外部キーストアの実際の値に置き換えます。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1

VPC エンドポイントサービス接続を変更する

次の例では、UpdateCustomKeyStore オペレーションを使用して、外部キーストアのプロキシ接続タイプを VPC_ENDPOINT_SERVICE に変更します。この変更を行うには、VPC エンドポイントサービスの接続に必要な値 (VPC エンドポイントサービス名 (XksProxyVpcEndpointServiceName)、VPC エンドポイントサービスのプライベート DNS 名を含むプロキシ URI エンドポイント (XksProxyUriEndpoint) 値など) を指定する必要があります。例にある値は、すべて外部キーストアの実際の値に置き換えます。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example

パブリックエンドポイント接続の変更

次の例では、外部キーストアプロキシの接続タイプを PUBLIC_ENDPOINT に変更します。この変更を行うときは、プロキシ URI エンドポイント (XksProxyUriEndpoint) の値を更新する必要があります。例にある値は、すべて外部キーストアの実際の値に置き換えます。

注記

VPC エンドポイント接続は、パブリックエンドポイント接続に比べてセキュリティが優れています。パブリックエンドポイント接続に変更するときは、外部キーストアプロキシのオンプレミスでの配置や、通信のみに VPC を使用するといった他の選択肢を先に検討します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com