翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
外部キーストアの表示
AWS KMS コンソールまたは DescribeCustomKeyStores オペレーションを使用して、各アカウントとリージョンの外部キーストアを表示できます。
外部キーストアを表示すると、以下を確認できます。
-
フレンドリ名、ID、キーストアタイプ、作成日など、キーストアに関する基本情報。
-
接続タイプ、プロキシ URI エンドポイントとパス、現在のプロキシ認証情報のアクセスキー ID など、外部キーストアプロキシの設定情報。
-
外部キーストアプロキシが VPC エンドポイントサービス接続を使用する場合、コンソールには VPC エンドポイントサービス名が表示されます。
-
現在の接続状態。
注記
[Disconnected] (切断) の接続状態は、外部キーストアが一度も接続されたことがないこと、または意図的に外部キーストアプロキシから切断されたことを示します。ただし、接続されている外部キーストアで KMS キーの使用が失敗する場合は、外部キーストアまたはそのプロキシに問題がある可能性があります。ヘルプについては、「外部キーストア接続エラー」を参照してください。
外部キーストアに関する問題の検出と解決に役立つよう設計された、Amazon CloudWatch メトリクスのグラフを含むモニタリングセクション。グラフの解釈、計画やトラブルシューティングでの使用、グラフのメトリクスに基づく CloudWatch アラームの作成については、「外部キーストアをモニタリングする」を参照してください。
外部キーストアのプロパティ
外部キーストアの以下のプロパティは、AWS KMS コンソールと DescribeCustomKeyStores レスポンスに表示されます。
カスタムキーストアのプロパティ
各カスタムキーストアの詳細ページの General configuration (一般設定) セクションに次の値が表示されます。これらのプロパティは、AWS CloudHSM キーストアや外部キーストアを含むすべてのカスタムキーストアに適用されます。
- カスタムキーストア ID
-
AWS KMS がカスタムキーストアに割り当てる一意の ID です。
- カスタムキーストア名
-
カスタムキーストア作成時にカスタムキーストアに割り当てるフレンドリ名です。この値はいつでも変更できます。
- カスタムキーストアのタイプ
-
カスタムキーストアのタイプです。有効な値は AWS CloudHSM (
AWS_CLOUDHSM) または外部キーストア (EXTERNAL_KEY_STORE) です。カスタムキーストア作成後、タイプを変更することはできません。 - 作成日
-
カスタムキーストアが作成された日付です。この日付は、AWS リージョン の現地時間で表示されます。
- 接続状態
-
カスタムキーストアがバッキングキーストアに接続されているかどうかを示します。カスタムキーストアがバッキングキーストアに一度も接続されていないか、意図的に切断されていない限り、接続状態は
DISCONNECTEDです。詳細については、「接続状態」を参照してください。
外部キーストア設定プロパティ
以下の値は、各外部キーストアの詳細ページの [External key store proxy configuration] (外部キーストアプロキシ設定) セクションと DescribeCustomKeyStores レスポンスの XksProxyConfiguration 要素に表示されます。一意性要件や、各フィールドの正しい値を決定する際のヘルプなど、各フィールドの詳細な説明については、「外部キーストアの作成」トピックの「前提条件を構成する」を参照してください。
- プロキシ接続
外部キーストアがパブリックエンドポイント接続を使用しているか、VPC エンドポイントサービス接続を使用しているかを示します。
- プロキシ URI エンドポイント
-
AWS KMS が外部キーストアプロキシへの接続に使用するエンドポイントです。
- プロキシ URI パス
-
AWS KMS がプロキシ API リクエストを送信するプロキシ URI エンドポイントからのパスです。
- プロキシ認証情報: アクセスキー ID
-
外部キーストアプロキシに設定するプロキシ認証情報の一部です。アクセスキー ID は、認証情報のシークレットアクセスキーを識別します。
AWS KMS は、SigV4 署名プロセスとプロキシ認証情報を使用して、外部キーストアプロキシへのリクエストに署名します。署名に含まれる認証情報により、外部キーストアプロキシはユーザーに代わって AWS KMS からのリクエストを認証できます。
- VPC エンドポイントサービス名
-
外部キーストアをサポートする Amazon VPC エンドポイントサービスの名前です。この値は、外部キーストアが VPC エンドポイントサービス接続を使用している場合にのみ表示されます。外部キーストアプロキシを VPC 内に配置するか、VPC エンドポイントサービスを使用して、外部キーストアプロキシと安全に通信できます。
外部キーストアのプロパティを表示する
AWS KMS コンソール操作により、または DescribeCustomKeyStores オペレーションを使用して、お使いの外部キーストアとその関連するプロパティを表示できます。
任意のアカウントとリージョンで外部キーストアを表示するには、以下の手順に従います。
-
AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms
) を開きます。 -
AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。
ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[External key stores] (外部キーストア) の順に選択します。
-
外部キーストアの詳細を表示するには、キーストア名を選択します。
外部キーストアを表示するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) 出力を特定のカスタムキーストアに制限できます。
カスタムキーストアでは、出力は、カスタムキーストア ID、名前、タイプ、およびキーストアの接続状態で構成されています。接続状態が FAILED の場合、出力にはエラーの理由を説明する ConnectionErrorCode も含まれています。外部キーストアの ConnectionErrorCode を解釈する方法については、「外部キーストアの接続エラーコード」を参照してください。
外部キーストアでは、出力に XksProxyConfiguration 要素も含まれています。この要素には、接続タイプ、プロキシ URI エンドポイント、プロキシ URI パス、およびプロキシ認証情報のアクセスキー ID が含まれています。
このセクションの例では AWS Command Line Interface (AWS CLI)
たとえば、次のコマンドは、アカウントとリージョンのすべてのカスタムキーストアを返します。Limit パラメータと Marker パラメータを使用して、出力のカスタムキーストアをページ分割できます。
$aws kms describe-custom-key-stores
次のコマンドは、CustomKeyStoreName パラメータを使用して、ExampleXksPublic というフレンドリ名のサンプル外部キーストアのみを取得します。このサンプルキーストアは、パブリックエンドポイント接続を使用しています。また、外部キーストアプロキシに接続されています。
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksPublic{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
次のコマンドは、VPC エンドポイントサービス接続を備えたサンプル外部キーストアを取得します。この例では、外部キーストアがその外部キーストアプロキシに接続されています。
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Disconnected の ConnectionState は、外部キーストアが一度も接続されたことがないこと、または意図的に外部キーストアプロキシから切断されたことを示します。ただし、接続されている外部キーストアで KMS キーの使用が失敗する場合は、外部キーストアプロキシまたは他の外部コンポーネントに問題がある可能性があります。
外部キーストアの ConnectionState が FAILED の場合、DescribeCustomKeyStores レスポンスには、エラーの理由を説明する ConnectionErrorCode 要素が含まれています。
例えば、次の出力では、XKS_PROXY_TIMED_OUT 値は AWS KMS が外部キーストアプロキシに接続できることを示していますが、外部キーストアプロキシが割り当てられた時間内に AWS KMS に応答しなかったために、接続が失敗しました。この接続エラーコードが繰り返し表示される場合は、外部キーストアプロキシベンダーに通知してください。このエラーやその他の接続エラーに関するヘルプについては、「」を参照してください 外部キーストアのトラブルシューティング。
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
