外部キーストアの接続と切断 - AWS Key Management Service
接続状態

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアの接続と切断

新しい外部キーストアが接続されていません。外部キーストアの AWS KMS keys を作成し使用するときは、外部キーストアを外部キーストアプロキシに接続する必要があります。外部キーストアはいつでも接続と切断ができ、その接続ステータスを表示できます

外部キーストアが切断されている間は、AWS KMS は外部キーストアプロキシと通信できません。それにより、外部キーストアと既存の KMS キーの表示と管理が行えます。ただし、外部キーストアに KMS キーを作成したり、その KMS キーを暗号化オペレーションに使用したりすることはできません。プロパティを編集するときなど外部キーストアの切断が必要になる場合があります。状況に応じて適切に計画を立てます。キーストアを切断すると、その KMS キーを使用する AWS サービスのオペレーションが中断することがあります。

外部キーストアを自分で接続する必要はありません。外部キーストアは、無期限に切断状態のままにし、使用の必要がある場合のみ接続することができます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。

カスタムキーストアを切断すると、そのキーストアの KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

注記

外部キーストアは、一度も接続されたことがないか明示的に切断した場合のみ DISCONNECTED ステータスになります。CONNECTED ステータスは、外部キーストアやそのサポートコンポーネントが効率的に機能していることを示すものではありません。外部キーストアコンポーネントのパフォーマンスについては、各外部キーストアの詳細ページにある [Monitoring] (モニタリング) セクションのグラフを参照してください。詳細については、「外部キーストアをモニタリングする」を参照してください。

外部キーマネージャには、AWS KMS 外部キーストアと外部キーストアプロキシ間、または外部キーストアプロキシと外部キーマネージャー間の通信を、停止および再開するその他の方法が用意されている場合があります。詳細については外部キーマネージャーのドキュメントを参照してください。

トピック

接続状態

接続と切断により、カスタムキーストアの接続ステータスが変更されます。接続ステータスの値は、AWS CloudHSM キーストアと外部キーストアで同じです。

カスタムキーストアの接続ステータスを確認するときは、DescribeCustomKeyStores か AWS KMS コンソールを使用します。[Connection state] (接続ステータス) は、各カスタムキーストアテーブルに表示され、各カスタムキーストアの詳細ページ内の [General configuration] (一般設定) のセクション、およびカスタムキーストアの KMS キーの [Cryptographic configuration] (暗号化設定) タブに表示されます。詳細については、「AWS CloudHSM キーストアの表示」および「外部キーストアの表示」を参照してください。

カスタムキーストアの接続ステータスは、次のいずれかになります。

  • CONNECTED: カスタムキーストアはバッキングキーストアに接続された状態です。ユーザーは、カスタムキーストアで KMS キーを作成し使用することができます。

    AWS CloudHSM キーストアのバッキングキーストアは、関連付けられた AWS CloudHSM クラスターです。外部キーストアのバッキングキーストアは、外部キーストアプロキシと、それがサポートしている外部キーマネージャーです。

    CONNECTED ステータスは、接続に成功し、カスタムキーストアが意図的に切断されていない状態を示します。接続が正常に機能していることを示すものではありません。AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターのステータスについては、「AWS CloudHSM ユーザーガイド」の「AWS CloudHSM の CloudWatch メトリクスを取得する」を参照してください。外部キーストアのステータスとオペレーションについては、各外部キーストアの詳細ページにある [Monitoring] (モニタリング) セクションのグラフを参照してください。詳細については、「外部キーストアをモニタリングする」を参照してください。

  • CONNECTING: カスタムキーストアの接続処理が進行している状態です。これは過渡的な状態です。

  • DISCONNECTED: カスタムキーストアがバッキングに接続されていない、または、AWS KMS コンソールか DisconnectCustomKeyStore オペレーションを使用して意図的に接続されている状態です。

  • DISCONNECTING: カスタムキーストアを接続する処理が進行中です。これは過渡的な状態です。

  • FAILED: カスタムキーストアを接続しようとして失敗した状態です。DescribeCustomKeyStores レスポンスの ConnectionErrorCode は問題を示します。

カスタムキーストアを接続するには、接続ステータスが DISCONNECTED 担っていなければなりません。接続ステータスが FAILED である場合、ConnectionErrorCode を使用して問題を特定し、解決します。カスタムキーストアを切断し、再度接続を試みます。接続障害については、外部キーストア接続エラー を参照してください。接続エラーコードの対処方法については「外部キーストアの接続エラーコード」を参照してください。

接続エラーコードを表示するには:

  • DescribeCustomKeyStores レスポンスで、ConnectionErrorCode 要素の値を表示します。この要素は、ConnectionStateFAILED の場合にのみ、DescribeCustomKeyStores レスポンスに表示されます。

  • AWS KMS コンソールに接続エラーコードを表示するには、外部キーストアの詳細ページで、[Failed] (失敗) 値にカーソルを合わせます。

    カスタムキーストアの詳細ページの接続エラーコード