外部キーストアの切断 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアの切断

VPC エンドポイントサービスに接続している外部キーストアを、外部キーストアプロキシから切断すると、AWS KMS は、VPC エンドポイントサービスとのインターフェイスエンドポイントを削除し、接続をサポートするために作成されたネットワークインフラストラクチャを削除します。パブリックエンドポイントに接続している外部キーストアには、同等のプロセスは必要ありません。このアクションは、VPC エンドポイントサービスやそのサポートコンポーネントには影響せず、外部キーストアプロキシや外部コンポーネントにも影響しません。

外部キーストアが切断されている間は、AWS KMS は外部キーストアプロキシにリクエストを送信しません。外部キーストアの接続状ステータスは DISCONNECTED です。切断された外部キーストアの KMS キーは、(削除が保留されている場合を除き) UNAVAILABLE のキーステータスになります。つまり、暗号化オペレーションには使用できません。しかし、外部キーストアと既存の KMS キーの表示および管理は引き続き行えます。

切断状態は一時的なものとして、また元に戻せるように設計されています。外部キーストアはいつでも再接続できます。通常、再度設定する必要はありません。ただし、関連付けられた外部キーストアプロキシのプロパティが、プロキシ認証の認証情報のローテーションなどにより変更されている場合は、再度接続する前に、外部キーストアの設定を編集する必要があります。

注記

カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

外部キーストアの切断による影響を、より正確に予測するには、外部キーストアで KMS キーを識別して過去の使用状況を特定します。

外部キーストアを切断する理由としては、次のようなものが挙げられます。

  • プロパティを編集するには。外部キーストアが接続されている間は、カスタムキーストア名、プロキシ URI パス、プロキシ認証の認証情報の編集が行えます。ただし、プロキシの接続タイプ、プロキシ URI エンドポイント、VPC エンドポイントのサービス名を編集するには、先に外部キーストアを切断しておく必要があります。詳細については、「外部キーストアプロパティの編集」を参照してください。

  • AWS KMS と外部キーストアプロキシとの通信をすべて停止するには。エンドポイントまたは VPC エンドポイントサービスを無効にすれば、AWS KMS とプロキシとの通信を停止することもできます。さらに、外部キーストアプロキシまたはキー管理ソフトウェアには、AWS KMS とプロキシとの通信を防いだり、プロキシと外部キーマネージャーとのアクセスを防いだりする追加の機能が用意されている場合があります。

  • 外部キーストアですべての KMS キーを無効にするには。AWS KMS または DisableKey オペレーションを使用すると、外部キーストアで KMS キーを無効および再度有効にすることができます。これらのオペレーションはすぐに完了します (結果整合性の影響を受ける) が、一度に 1 つの KMS キーしか処理されません。外部キーストアを切断すると外部キーストアのすべての KMS キーのキーステータスが Unavailable に変更され、暗号化オペレーションに使用できなくなります。

  • 失敗した接続試行を修復するには。外部キーストアを接続する試みに失敗した場合 (カスタムキーストアの接続ステータスが FAILED になる) は、再度接続を試みる前に外部キーストアを切断する必要があります。

外部キーストアの切断

AWS KMS コンソールで、または DisconnectCustomKeyStore オペレーションを使用して、外部キーストアを切断できます。

外部キーストアを外部キーストアプロキシに接続するには、AWS KMS コンソールを使用します。この処理は約 5 分で完了します。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[External key stores] (外部キーストア) の順に選択します。

  4. 切断する外部キーストアの行を選択します。

  5. [Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します。

オペレーションが完了すると、接続状態が [DISCONNECTING] から [DISCONNECTED] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「外部キーストア接続エラー」を参照してください。

接続している外部キーストアを切断するには、DisconnectCustomKeyStore オペレーションを使用します。オペレーションが成功すると、AWS KMS は HTTP 200 レスポンスおよびプロパティなしの JSON オブジェクトを返します。この処理は約 5 分で完了します。外部キーストアの接続ステータスを確認するときは、DescribeCustomKeyStores オペレーションを使用します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

こちらの例では、VPC エンドポイントサービスに接続した外部キーストアを切断します。このコマンドを実行する前に、例にあるカスタムキーストア ID を有効な ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

外部キーストアが切断されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。DISCONNECTEDConnectionState 値は、例にある外部キーストアが、外部キーストアプロキシに接続されていないことを示します。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }