翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でKMSキーを使用する方法 AWS CloudHSM キーストア
で対称暗号化KMSキーを作成した後 AWS CloudHSM キーストア では、次の暗号化オペレーションに使用できます。
非対称データキーペア GenerateDataKeyPairおよび を生成するオペレーションはGenerateDataKeyPairWithoutPlaintext、カスタムキーストアではサポートされていません。
リクエストでKMSキーを使用する場合は、ID またはエイリアスでKMSキーを識別します。 を指定する必要はありません。 AWS CloudHSM キーストアまたは AWS CloudHSM クラスター。レスポンスには、対称暗号化KMSキーに対して返されるのと同じフィールドが含まれます。
ただし、 でKMSキーを使用する場合 AWS CloudHSM キーストア、暗号化オペレーションは 内で完全に実行されます。 AWS CloudHSM に関連付けられている クラスター AWS CloudHSM キーストア。オペレーションでは、選択したキーに関連付けられているクラスター内のKMSキーマテリアルを使用します。
これを可能にするには、次の条件が必要です。
-
キーのキーステータスは である必要があります
Enabled
。 KMSキーの状態を検索するには、 の「ステータス」フィールドを使用します。 AWS KMS コンソールまたはDescribeKeyレスポンスのKeyState
フィールド。 -
- AWS CloudHSM キーストアは に接続する必要があります AWS CloudHSM クラスター。の ステータス AWS KMS コンソールまたはDescribeCustomKeyStoresレスポンス
ConnectionState
内の は である必要がありますCONNECTED
。 -
- AWS CloudHSM カスタムキーストアに関連付けられている クラスターには、少なくとも 1 つのアクティブな が含まれている必要がありますHSM。クラスターHSMs内のアクティブな の数を確認するには、 を使用します。 AWS KMS コンソール 、 AWS CloudHSM コンソール、または DescribeClustersオペレーション。
-
- AWS CloudHSM クラスターには、キーのKMSキーマテリアルが含まれている必要があります。キーマテリアルがクラスターから削除HSMされた場合、またはキーマテリアルを含まないバックアップから が作成された場合、暗号化オペレーションは失敗します。
これらの条件が満たされない場合、暗号化オペレーションは失敗し、 AWS KMS はKMSInvalidStateException
例外を返します。通常、 を再接続するだけで済みます。 AWS CloudHSM キーストア 。その他のヘルプについては、「失敗したKMSキーを修正する方法」を参照してください。
でKMSキーを使用する場合 AWS CloudHSM キーストア、各 のKMSキーに注意してください。 AWS CloudHSM
キーストアは、暗号化オペレーションのカスタムキーストアリクエストクォータを共有します。クォータを超えた場合は、 AWS KMS は を返しますThrottlingException
。そのファイルに AWS CloudHSM に関連付けられている クラスター AWS CloudHSM キーストアは、 に関連しないコマンドを含め、多数のコマンドを処理しています。 AWS CloudHSM キーストアでは、さらに低いレートThrottlingException
で を取得できます。すべてのリクエストで ThrottlingException
が表示される場合、リクエスト速度を下げ、再度コマンドを試してください。カスタムキーストアのリクエストクォータの詳細については、「カスタムキーストアのリクエストクォータ」を参照してください。