翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # キーのインポートとエクスポート AWS Payment Cryptography キーを他のソリューションからインポートし、HSMs などの他のソリューションにエクスポートできます。多くのお客様は、インポートおよびエクスポート機能を使用して、サービスプロバイダーとキーを交換します。Payment Cryptography AWS は、コンプライアンスとコントロールの維持に役立つ、最新の電子的なキー管理アプローチを使用するように設計されています。紙ベースのキーコンポーネントの代わりに、標準ベースの電子キー交換を使用することをお勧めします。 **最小の主要な長所とインポートおよびエクスポート関数への影響** PCI では、暗号化オペレーション、キーストレージ、キー転送に特定の最小キー強度が必要です。これらの要件は、PCI 標準が改訂されると変更される可能性があります。ルールでは、ストレージまたはトランスポートに使用されるラッピングキーは、少なくとも保護されるキーと同じ強度にする必要があります。次の表に示すように、エクスポート中にこの要件を自動的に適用し、キーがより弱いキーによって保護されないようにします。 次の表は、サポートされているラッピングキー、保護するキー、および保護方法の組み合わせを示しています。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/payment-cryptography/latest/userguide/keys-importexport.html) 詳細については、PCI HSM 標準の[「付録 D - 承認済みアルゴリズムの最小および同等のキーサイズと強度](https://docs-prv.pcisecuritystandards.org/PTS/Derived%20Test%20Requirements/PCI_HSM_DTRs_v4.pdf)」を参照してください。 **キー暗号化キー (KEK) 交換** [ANSI X9.24 TR-34](terminology.md#terms.tr34) 標準を使用することをお勧めします。この初期キータイプは、キー暗号化キー (KEK)、ゾーンマスターキー (ZMK)、またはゾーンコントロールマスターキー (ZCMK) と呼ばれます。システムまたはパートナーが TR-34 をまだサポートしていない場合は、[RSA Wrap/Unwrap](terminology.md#terms.rsawrap) を使用できます。AES-256 キーの交換が必要な場合は、[ECDH](terminology.md#terms.ecdh) を使用できます。 すべてのパートナーが電子キー交換をサポートするまで、紙のキーコンポーネントを引き続き処理する必要がある場合は、オフライン HSM を使用するか、サードパーティーの[キーカストディアンをサービスとして使用](terminology.md#terms.kcaas)することを検討してください。 独自のテストキーをインポートしたり、既存の HSMs とキーを同期したりするには、[GitHub](https://github.com/aws-samples/samples-for-payment-cryptography-service/tree/main/key-import-export) の AWS Payment Cryptography サンプルコードを参照してください。 **ワーキングキー (WK) 交換** 作業キーの交換には業界標準 ([ANSI X9.24 TR 31-2018](terminology.md#terms.tr31) および X9.143) を使用しています。これには、TR-34、RSA Wrap、ECDH、または同様のスキームを使用して KEK を既に交換していることが必要です。このアプローチは、キーマテリアルをそのタイプと使用状況に暗号化的にバインドするための PCI PIN 要件を満たしています。作業キーには、アクワイアラー作業キー、発行者作業キー、BDK、IPEK が含まれます。 **Topics** + [キーのインポート](keys-import.md) + [キーのエクスポート](keys-export.md) + [高度なトピック](keyexchange-advanced.md)