AWS CloudHSM キーストアの接続 - AWS Key Management Service
AWS CloudHSM キーストアへの接続および再接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストアの接続

新しい AWS CloudHSM キーストアが接続されていません。AWS CloudHSM キーストアで AWS KMS keys を作成して使用するときは、事前に、関連付けられた AWS CloudHSM クラスターにこれを接続しておく必要があります。AWS CloudHSM キーストアはいつでも接続および切断することができ、その接続ステータスを表示できます。

AWS CloudHSM キーストアを自分で接続する必要はありません。AWS CloudHSM キーストアは、無期限に切断状態のままにし、使用の必要がある場合のみ接続することができます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。

注記

AWS CloudHSM キーストアは、ユーザーがキーストアを一度も接続したことがないか明示的に切断した場合のみ、接続ステータスが DISCONNECTED になります。AWS CloudHSM キーストアの接続ステータスが CONNECTED になっているのに使用できないときは、それに関連付けられた AWS CloudHSM クラスターがアクティブになっていること、および、アクティブな HSM が 1 つ以上含まれていることを確認します。接続障害については、カスタムキーストアのトラブルシューティング を参照してください。

AWS CloudHSM キーストアを接続すると、AWS KMS は関連付けられた AWS CloudHSM クラスターを検索し、そのクラスターに接続して、kmsuser Crypto User (CU) として AWS CloudHSM クライアントにログインし、その後 kmsuser パスワードをローテーションします。AWS CloudHSM キーストアが接続されている限り、AWS KMS は AWS CloudHSM クライアントにログインし続けます。

接続を確立するために、AWS KMS は kms-<custom key store ID> という名前のセキュリティグループを、クラスターの仮想プライベートクラウド (VPC) で作成します。セキュリティグループには、クラスターセキュリティグループからのインバウンドトラフィックを許可する単一のルールがあります。AWS KMS は、クラスターのプライベートサブネットの各アベイラビリティーゾーンに Elastic Network Interface (ENI) を作成します。AWS KMS は kms-<cluster ID> セキュリティグループとクラスターのセキュリティグループに ENI を追加します。各 ENI の説明は KMS managed ENI for cluster <cluster-ID> です。

接続プロセスは、完了するまでに長い時間 (最長 20 分) がかかる場合があります。

AWS CloudHSM キーストアを接続する前に、要件を満たしているかどうかを確認します。

  • 関連付け済みの AWS CloudHSM クラスターに少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内の HSM の数を確認するには、AWS CloudHSM コンソールでクラスターを表示するか DescribeClusters オペレーションを使用します。必要に応じて、HSM を追加できます。

  • クラスターには kmsuser Crypto User (CU) アカウントが必要ですが、AWS CloudHSM キーストアを接続しているときは、この CU はクラスターにログインできません。ログアウトのヘルプについては、「ログアウトして再接続する方法」を参照してください。

  • AWS CloudHSM キーストアの接続ステータスは、DISCONNECTING または FAILED にすることはできません。接続ステータスを確認するには、AWS KMS コンソールまたは DescribeCustomKeyStores レスポンスを使用します。接続ステータスが FAILED の場合、カスタムキーストアを切断し、問題を解決してから接続します。

接続障害については、接続障害の修復方法 を参照してください。

AWS CloudHSM キーストアが接続されているときは、そこで KMS キーを作成し、暗号化オペレーションで既存の KMS キーを使用することができます。

AWS CloudHSM キーストアへの接続および再接続

AWS KMS コンソールで、または ConnectCustomKeyStore オペレーションを使用して、AWS CloudHSM キーストアを接続または再接続することができます。

AWS Management Console で AWS CloudHSM キーストアを接続するには、まず、[Custom key stores] (カスタムキーストア) ページで AWS CloudHSM キーストアを選択します。この接続処理には、完了までに最大で 20 分かかります。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 接続する AWS CloudHSM キーストアの行を選択します。

    AWS CloudHSM キーストアの接続状態が [失敗] になっている場合は、カスタムキーストアを切断してからキーストアを接続する必要があります。

  5. [Key store actions] (キーストアアクション) メニューから [Connect] (接続) を選択します。

AWS KMS がカスタムキーストアを結合するプロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、AWS CloudHSM クラスターに kmsuser CU としてログインして、kmsuser パスワードをローテーションします。操作が完了すると、接続状態が [接続済み] に変わります。

オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。再度接続を試みる前に、AWS CloudHSM キーストアの接続ステータスを表示します。状態が [失敗] になっている場合は、カスタムキーストアを切断してからキーストアをもう一度接続する必要があります。ヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

次の手順: AWS CloudHSM キーストアで KMS キーを作成する

切断された AWS CloudHSM キーストアを接続するには、ConnectCustomKeyStore オペレーションを使用します。関連付けられた AWS CloudHSM クラスターにはアクティブな HSM が 1 つ以上含まれている必要があります。また、接続ステータスを FAILED にすることはできません。

接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続ステータスを判断するときは、DescribeCustomKeyStores のレスポンスを確認します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

AWS CloudHSM キーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの [Custom key stores] (カスタムキーストア) ページで確認できます。またはパラメータなしで DescribeCustomKeyStores オペレーションを使って確認することもできます。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM キーストアが接続されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTEDConnectionState 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。

注記

AWS CloudHSM キーストアと外部のキーストアを区別するために、DescribeCustomKeyStores レスポンスに CustomKeyStoreType フィールドが追加されました。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

ConnectionState 値が [FAILED] の場合、ConnectionErrorCode 要素が失敗の原因を示します。この場合は、AWS KMS が、クラスター ID cluster-1a23b4cdefg のアカウントで AWS CloudHSM クラスターを見つけることができませんでした。クラスターを削除した場合、元のクラスターのバックアップから復元することができ、その後でカスタムキーストアのクラスター ID を編集できます。接続エラーコードの対処方法については「接続障害の修復方法」を参照してください。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}