翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーの AWS KMS キーマテリアルのインポート
自分で用意したキーマテリアルで AWS KMS keys (KMS キー) を作成できます。
KMS キーは、暗号化キーの論理表現です。KMS キーのメタデータには、データを暗号化および復号するために使用されるキーマテリアルの ID が含まれます。KMS キーを作成すると、デフォルトで AWS KMS がその KMS キーのキーマテリアルを生成します。ただし、キーマテリアルを使用せずに KMS キーを作成し、独自のキーマテリアルをその KMS キーにインポートできます。この機能は、「キーの持ち込み」(BYOK) とも呼ばれます。
注記
AWS KMS は AWS KMS、 AWS KMS 暗号化テキストがインポートされたキーマテリアルを持つ KMS キーで暗号化された場合でも、 の外部の暗号文の復号をサポートしていません。 AWS KMS は、このタスクに必要な暗号文形式を公開せず、形式が予告なく変更される場合があります。
インポートされたキーマテリアルは、カスタムキーストアの KMS キーを除くすべてのタイプの KMS キーでサポートされています。ただし、中国リージョンでは、KMS キーにインポートできるのは対称暗号化キーマテリアルのみです。
インポートされたキーマテリアルを使用する場合、 がキーマテリアルのコピーを使用 AWS KMS できるようにしながら、キーマテリアルに対する責任は引き続き負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。
-
要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。
-
AWS サービスで独自のインフラストラクチャのキーマテリアルを使用し、 を使用して AWS KMS 内のそのキーマテリアルのライフサイクルを管理する AWS。
-
コード署名、PKI 証明書署名 AWS KMS、証明書ピン留めアプリケーションのキーなど、 で既存の十分に確立されたキーを使用するには
-
でキーマテリアルの有効期限を設定し、 AWS 手動で を削除するには、ただし、後で再び使用できるようにするため。これに対して、キー削除のスケジュールは、7 日から 30 日間の待機時間が必要となり、その後、削除された KMS キーは復元できません。
-
キーマテリアルの元のコピーを所有し、キーマテリアルのライフサイクル全体における耐久性とディザスタリカバリを強化 AWS するために の外部に保持するため。
-
非対称キーと HMAC キーの場合、インポートすると、 の内部と外部で動作する互換性のある相互運用可能なキーが作成されます AWS。
インポートされたキーマテリアルを持つ KMS キーの使用と管理を監査およびモニタリングできます。 AWS KMS は、KMS キー の作成、ラップパブリックキーとインポートトークン のダウンロード、およびキーマテリアル のインポート時にイベントを AWS CloudTrail ログに記録します。 AWS KMS は、インポートされたキーマテリアルを手動で削除するか、 が AWS KMS 期限切れのキーマテリアル を削除するときにもイベントを記録します。
インポートされたキーマテリアルを持つ KMS キーと、 によって生成されたキーマテリアルを持つ KMS キーの重要な違いについては AWS KMS、「」を参照してくださいインポートしたキーマテリアルについて。
サポートされている KMS キー
AWS KMS は、次のタイプの KMS キーのインポートされたキーマテリアルをサポートします。カスタムキーストア内の KMS キーにキーマテリアルをインポートすることはできません。中国リージョンでは、キーマテリアルを対称暗号化キーにのみインポートできます。
-
非対称 RSA KMS キー (暗号化用または署名用、両方は不可)
-
非対称楕円曲線 (ECC) KMS キー (署名のみ)
-
サポートされているすべてのタイプのマルチリージョンキー。
リージョン
インポートされたキーマテリアルは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。
中国リージョンでは、キーマテリアルを対称暗号化 KMS キーにのみインポートできます。また、キーマテリアルの要件は他のリージョンとは異なります。詳細については、「キーマテリアルのインポート ステップ 3: キーマテリアルを暗号化する」を参照してください。