翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
外部キーストアの接続
外部カスタムキーストアを外部キーストアプロキシに接続しているときは、外部キーストアに KMS キーを作成し、その既存の KMS キーをを暗号化オペレーションに使用できます。
外部キーストアを外部キーストアプロキシに接続するプロセスは、外部キーストアの接続性に応じて異なります。
-
外部キーストアをパブリックエンドポイント接続で接続すると、AWS KMS は、GetHealthStatus リクエストを外部キーストアプロキシに送信して、プロキシ URI エンドポイント、プロキシ URI パス、プロキシ認証の認証情報を検証します。プロキシからのレスポンスにより、プロキシ URI エンドポイントとプロキシ URI パスが正確かつアクセス可能であること、および、外部キーストアのプロキシ認証の認証情報で署名されたリクエストをプロキシが認証したことが確定します。
-
VPC エンドポイントサービス接続を使用して外部キーストアを外部キーストアプロキシに接続すると、AWS KMS が次の処理を実行します。
-
プロキシ URI エンドポイントで指定されたプライベート DNS 名のドメインが検証済みであることを確認する。
-
AWS KMS VPC から VPC エンドポイントサービスへのインターフェイスエンドポイントを作成する。
-
プロキシ URI エンドポイントで指定された、プライベート DNS 名のプライベートホストゾーンを作成する。
-
GetHealthStatus リクエストを外部キーストアプロキシに送信する。プロキシからのレスポンスにより、プロキシ URI エンドポイントとプロキシ URI パスが正確かつアクセス可能であること、および、外部キーストアのプロキシ認証の認証情報で署名されたリクエストをプロキシが認証したことが確定します。
-
接続オペレーションによりカスタムキーストアを接続するプロセスが開始しますが、外部キーストアが外部プロキシに接続されるまでに約 5 分かかります。接続オペレーションからのレスポンスは、外部キーストアが接続されたことを示すものではありません。接続が成功したことを確認するには、AWS KMS コンソールまたは DescribeCustomKeyStores オペレーションを使って外部キーストアの接続ステータスを表示します。
接続ステータスが FAILED
である場合、接続エラーコードは AWS KMS コンソールに表示されて、DescribeCustomKeyStore
レスポンスに追加されます。接続エラーコードの解釈については、「外部キーストアの接続エラーコード」を参照してください。
外部キーストアの接続および再接続
AWS KMS コンソールで、または ConnectCustomKeyStore オペレーションを使用して、外部キーストアを接続または再接続できます。
外部キーストアを外部キーストアプロキシに接続するには、AWS KMS コンソールを使用します。
-
AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms
) を開きます。 -
AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。
ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[External key stores] (外部キーストア) の順に選択します。
-
接続する外部キーストアの行を選択します。
外部キーストアの接続ステータスが FAILED である場合、外部キーストアを切断してから接続します。
-
[Key store actions] (キーストアアクション) メニューから [Connect] (接続) を選択します。
通常、接続プロセスが完了するまでに約 5 分かかります。オペレーションが完了すると、接続ステータスは CONNECTED に変わります。
接続状態が Failed になった場合は、接続ステータスにカーソルを合わせると、エラーの原因を示す接続エラーコードが表示されます。接続エラーコードの対処方法については「外部キーストアの接続エラーコード」を参照してください。接続ステータスが Failed である外部キーストアに接続するには、先にカスタムキーストアを切断します。
切断された外部キーストアを接続するには、ConnectCustomKeyStore オペレーションを使用します。
接続する前、外部キーストアの接続ステータスは DISCONNECTED
になっているはずです。接続ステータスが FAILED
である場合は、外部キーストアを切断してから接続します。
この接続処理は、約 5 分で完了します。すぐに失敗しない限り、ConnectCustomKeyStore
は、HTTP 200 レスポンスと、プロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。外部キーストアが接続されているかどうかを確認するには、DescribeCustomKeyStores のレスポンスの接続ステータスを確認します。
このセクションの例では AWS Command Line Interface (AWS CLI)
外部キーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの [カスタムキーストア] ページまたは DescribeCustomKeyStores オペレーションを使用して見つけることができます。この例を実行する前に、例の ID を有効な ID に置き換えます。
$
aws kms connect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
ConnectCustomKeyStore
オペレーションは、そのレスポンスで ConnectionState
を返しません。外部キーストアが接続されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId
または CustomKeyStoreName
パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTED
の ConnectionState
値は、外部キーストアが外部キーストアプロキシに接続されていることを示します。
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksVpc
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
DescribeCustomKeyStores
の ConnectionState
値が FAILED
である場合、ConnectionErrorCode
要素に失敗した原因が示されます。
次の例では、ConnectionErrorCode
の XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND
値は、AWS KMS が、外部キーストアプロキシとの通信に使用する VPC エンドポイントサービスを特定できないことを示します。XksProxyVpcEndpointServiceName
が正しいこと、AWS KMS サービスプリンシパルが Amazon VPC エンドポイントサービスで許可されたプリンシパルであること、VPC エンドポイントサービスで接続リクエストを受け入れる必要がないことを確認します。接続エラーコードの対処方法については「外部キーストアの接続エラーコード」を参照してください。
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksVpc
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }