外部キーストアで KMS キーを使用する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアで KMS キーを使用する

外部キーストアで対称暗号化 KMS キーを作成後に、それを以下の暗号化オペレーションで使用できます。

非対称データキーペア GenerateDataKeyPairおよび を生成する対称暗号化オペレーションはGenerateDataKeyPairWithoutPlaintext、カスタムキーストアではサポートされていません。

暗号化コンテキストは、外部キーストアの KMS キーを使用するすべての暗号化オペレーションでサポートされています。通常どおり、暗号化コンテキストを使用することが、AWS KMS が推奨するセキュリティのベストプラクティスです。

リクエストで KMS キーを使用すると、キー ID、キー ARN、エイリアス、エイリアス ARN により KMS キーを識別します。外部キーストアを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。ただし、外部キーストアで KMS キーを使用すると、暗号化および複合化オペレーションは KMS キーに関連付けられた外部キーを使用して、外部キーマネージャーによって実行されます。

外部キーストアの KMS キーで暗号化された暗号文が標準の KMS キーで暗号化された暗号文と同等以上に安全であることを確認するために、AWS KMS は二重暗号化を使用します。データは最初に、AWS KMS キーマテリアルを使用して AWS KMS で暗号化されます。次に、KMS キーの外部キーを使用して、外部キーマネージャーによって暗号化されます。二重に暗号化された暗号文を復号するには、まず KMS キーの外部キーを使用して、外部キーマネージャーによって暗号文を復号します。次に、KMS キーの AWS KMS キーマテリアルを使用して、AWS KMS で復号します。

これを可能にするには、次の条件が必要です。

  • KMS キーのキーストアEnabled である必要があります。キーステータスを確認するには、AWS KMSコンソールのカスタマーマネージドキーのステータスフィールドまたはDescribeKeyレスポンスの KeyStateフィールドを参照してください。

  • KMS キーをホストする外部キーストアは、その外部キーストアプロキシに接続する必要があります。つまり、外部キーストアの接続状態CONNECTED である必要があります。

    接続状態は、AWS KMSコンソールの外部キーストアページまたはDescribeCustomKeyStoresレスポンスで確認できます。外部キーストアの接続状態は、AWS KMS コンソールの KMS キーの詳細ページにも表示されます。詳細ページで [Cryptographic configuration] (暗号化設定) タブを選択し、[Custom key store] (カスタムキーストア) セクションの [Connection state] (接続状態) フィールドを確認します。

    接続状態が DISCONNECTED の場合、最初に接続する必要があります。接続状態が FAILED の場合、問題を解決してから外部キーストアを切断し、接続する必要があります。手順については、「カスタムキーストアの接続と切断」を参照してください。

  • 外部キーストアプロキシが外部キーを検出できる必要があります。

  • 外部キーを有効にして、暗号化と復号を実行する必要があります。

    外部キーのステータスは、KMS キーの有効化や無効化など、KMS キーのキーステータスの変化とは無関係で、影響を受けません。同様に、外部キーを無効化または削除しても KMS キーのキーステータスは変わりませんが、関連する KMS キーを使用する暗号化オペレーションは失敗します。

これらの条件が満たされていない場合、暗号化オペレーションは失敗し、AWS KMS は KMSInvalidStateException 例外を返します。外部キーストアを再接続するか、外部キーマネージャーツールを使用して、外部キーを再設定または修復する必要がある場合があります。その他のヘルプについては、「外部キーストアのトラブルシューティング」を参照してください。

外部キーストアで KMS キーを使用する場合、各外部キーストアの KMS キーは、暗号化オペレーションでカスタムキーストアのリクエストクォータを共有することに注意してください。クォータを超えた場合、AWS KMS は ThrottlingException を返します。カスタムキーストアのリクエストクォータの詳細については、「カスタムキーストアのリクエストクォータ」を参照してください。