外部キーストアの接続 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアの接続

外部カスタムキーストアを外部キーストアプロキシに接続しているときは、外部キーストアに KMS キーを作成し、その既存の KMS キーをを暗号化オペレーションに使用できます。

外部キーストアを外部キーストアプロキシに接続するプロセスは、外部キーストアの接続性に応じて異なります。

接続オペレーションによりカスタムキーストアを接続するプロセスが開始しますが、外部キーストアが外部プロキシに接続されるまでに約 5 分かかります。接続オペレーションからのレスポンスは、外部キーストアが接続されたことを示すものではありません。接続が成功したことを確認するには、AWS KMS コンソールまたは DescribeCustomKeyStores オペレーションを使って外部キーストアの接続ステータスを表示します。

接続ステータスが FAILED である場合、接続エラーコードは AWS KMS コンソールに表示されて、DescribeCustomKeyStore レスポンスに追加されます。接続エラーコードの解釈については、「外部キーストアの接続エラーコード」を参照してください。

外部キーストアの接続および再接続

AWS KMS コンソールで、または ConnectCustomKeyStore オペレーションを使用して、外部キーストアを接続または再接続できます。

外部キーストアを外部キーストアプロキシに接続するには、AWS KMS コンソールを使用します。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[External key stores] (外部キーストア) の順に選択します。

  4. 接続する外部キーストアの行を選択します。

    外部キーストアの接続ステータスFAILED である場合、外部キーストアを切断してから接続します。

  5. [Key store actions] (キーストアアクション) メニューから [Connect] (接続) を選択します。

通常、接続プロセスが完了するまでに約 5 分かかります。オペレーションが完了すると、接続ステータスCONNECTED に変わります。

接続状態が Failed になった場合は、接続ステータスにカーソルを合わせると、エラーの原因を示す接続エラーコードが表示されます。接続エラーコードの対処方法については「外部キーストアの接続エラーコード」を参照してください。接続ステータスが Failed である外部キーストアに接続するには、先にカスタムキーストアを切断します。

切断された外部キーストアを接続するには、ConnectCustomKeyStore オペレーションを使用します。

接続する前、外部キーストアの接続ステータスDISCONNECTED になっているはずです。接続ステータスが FAILED である場合は、外部キーストアを切断してから接続します。

この接続処理は、約 5 分で完了します。すぐに失敗しない限り、ConnectCustomKeyStore は、HTTP 200 レスポンスと、プロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。外部キーストアが接続されているかどうかを確認するには、DescribeCustomKeyStores のレスポンスの接続ステータスを確認します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

外部キーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの [カスタムキーストア] ページまたは DescribeCustomKeyStores オペレーションを使用して見つけることができます。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

ConnectCustomKeyStore オペレーションは、そのレスポンスで ConnectionState を返しません。外部キーストアが接続されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTEDConnectionState 値は、外部キーストアが外部キーストアプロキシに接続されていることを示します。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }

DescribeCustomKeyStoresConnectionState 値が FAILED である場合、ConnectionErrorCode 要素に失敗した原因が示されます。

次の例では、ConnectionErrorCodeXKS_VPC_ENDPOINT_SERVICE_NOT_FOUND 値は、AWS KMS が、外部キーストアプロキシとの通信に使用する VPC エンドポイントサービスを特定できないことを示します。XksProxyVpcEndpointServiceName が正しいこと、AWS KMS サービスプリンシパルが Amazon VPC エンドポイントサービスで許可されたプリンシパルであること、VPC エンドポイントサービスで接続リクエストを受け入れる必要がないことを確認します。接続エラーコードの対処方法については「外部キーストアの接続エラーコード」を参照してください。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }