外部キーストアを切断する - AWS Key Management Service
外部キーストアを切断する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアを切断する

VPC エンドポイントサービス接続を持つ外部キーストアを外部キーストアプロキシから切断すると、 AWS KMS はインターフェイスエンドポイントをVPCエンドポイントサービスから削除し、接続をサポートするために作成したネットワークインフラストラクチャを削除します。パブリックエンドポイントに接続している外部キーストアには、同等のプロセスは必要ありません。このアクションは、VPCエンドポイントサービスまたはそのサポートコンポーネントには影響せず、外部キーストアプロキシや外部コンポーネントにも影響しません。

外部キーストアが切断されている間、 AWS KMS は外部キーストアプロキシにリクエストを送信しません。外部キーストアの接続状ステータスは DISCONNECTED です。切断された外部KMSキーストアのキーはUNAVAILABLE、キー状態 (削除が保留中の場合を除く) です。つまり、暗号化オペレーションでは使用できません。ただし、外部キーストアとその既存のKMSキーを表示および管理することはできます。

切断状態は一時的なものとして、また元に戻せるように設計されています。外部キーストアはいつでも再接続できます。通常、再度設定する必要はありません。ただし、関連付けられた外部キーストアプロキシのプロパティが、プロキシ認証の認証情報のローテーションなどにより変更されている場合は、再度接続する前に、外部キーストアの設定を編集する必要があります。

注記

カスタムキーストアが切断されている間、カスタムキーストアでKMSキーを作成したり、暗号化オペレーションで既存のKMSキーを使用したりしようとすると、すべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

外部キーストアを切断した場合の影響をより正確に見積もるには、外部KMSキーストア内のキーを識別し、その過去の使用状況を判断します。

外部キーストアを切断する理由としては、次のようなものが挙げられます。

  • プロパティを編集するには。外部キーストアが接続されているときに、カスタムキーストア名、プロキシURIパス、プロキシ認証情報を編集できます。ただし、プロキシ接続タイプ、プロキシURIエンドポイント、またはVPCエンドポイントサービス名を編集するには、まず外部キーストアを切断する必要があります。詳細については、「外部キーストアのプロパティを編集する」を参照してください。

  • AWS KMS と外部キーストアプロキシ間のすべての通信を停止するには。エンドポイントまたはVPCエンドポイントサービスを無効にすることで、 AWS KMS とプロキシ間の通信を停止することもできます。さらに、外部キーストアプロキシまたはキー管理ソフトウェアは、プロキシとの AWS KMS 通信を防止したり、プロキシが外部キーマネージャーにアクセスしたりすることを防ぐ追加のメカニズムを提供する場合があります。

  • 外部KMSキーストアのすべてのキーを無効にするには。 AWS KMS コンソールまたは DisableKeyオペレーションを使用して、外部KMSキーストアのキーを無効化および再有効化できます。これらのオペレーションは迅速に完了しますが (最終的な一貫性が条件)、一度に 1 つのKMSキーで動作します。外部キーストアを切断すると、外部キーストア内のすべてのKMSキーのキー状態が に変更されるためUnavailable、暗号化オペレーションで使用できなくなります。

  • 失敗した接続試行を修復するには。外部キーストアを接続する試みに失敗した場合 (カスタムキーストアの接続ステータスが FAILED になる) は、再度接続を試みる前に外部キーストアを切断する必要があります。

外部キーストアを切断する

AWS KMS コンソールで、または DisconnectCustomKeyStoreオペレーションを使用して、外部キーストアを切断できます。

AWS KMS コンソールを使用して、外部キーストアを外部キーストアプロキシに接続できます。この処理は約 5 分で完了します。

  1. にサインイン AWS Management Console し、 AWS Key Management Service (AWS KMS) コンソールを https://console.aws.amazon.com/kms で開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. ナビゲーションペインで、[Custom key stores] (カスタムキーストア)、[External key stores] (外部キーストア) の順に選択します。

  4. 切断する外部キーストアの行を選択します。

  5. [Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します。

オペレーションが完了すると、接続状態は から DISCONNECTINGに変わりますDISCONNECTED。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「外部キーストア接続エラー」を参照してください。

接続された外部キーストアを切断するには、 DisconnectCustomKeyStoreオペレーションを使用します。オペレーションが成功すると、 は 200 HTTP レスポンスとプロパティのないJSONオブジェクト AWS KMS を返します。この処理は約 5 分で完了します。外部キーストアの接続状態を確認するには、 DescribeCustomKeyStoresオペレーションを使用します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

この例では、VPCエンドポイントサービス接続を使用して外部キーストアを切断します。このコマンドを実行する前に、例にあるカスタムキーストア ID を有効な ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

外部キーストアが切断されていることを確認するには、 DescribeCustomKeyStoresオペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。DISCONNECTEDConnectionState 値は、例にある外部キーストアが、外部キーストアプロキシに接続されていないことを示します。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}