翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
KMS キーストアで AWS CloudHSM キーを作成する
AWS CloudHSM キーストアを作成したら、キーストア AWS KMS keys で を作成できます。これらは、 が AWS KMS 生成するKMSキーマテリアルを持つ対称暗号化キーである必要があります。非対称KMSキー、HMACKMSキー、またはインポートされたKMSキーマテリアルを持つキーをカスタムキーストアに作成することはできません。 キーの AWS KMS キーマテリアルのインポートまた、カスタムKMSキーストアで対称暗号化キーを使用して非対称データキーペアを生成することはできません。
KMS キーストアで AWS CloudHSM キーを作成するには、 AWS CloudHSM キーストアが関連付けられた AWS CloudHSM クラスターに接続され、クラスターに異なるアベイラビリティーゾーンHSMsで少なくとも 2 つのアクティブな が含まれている必要があります。の接続状態と の数を確認するにはHSMs、 のAWS CloudHSM キーストアページを参照してください AWS Management Console。API オペレーションを使用する場合は、 DescribeCustomKeyStoresオペレーションを使用して、 AWS CloudHSM キーストアが接続されていることを確認します。クラスターとそのアベイラビリティーゾーンHSMsでアクティブな の数を確認するには、 AWS CloudHSM DescribeClustersオペレーションを使用します。
KMS キーストアで AWS CloudHSM キーを作成すると、 AWS KMS によってKMSキーが作成されます AWS KMS。ただし、関連付けられた AWS CloudHSM クラスターでキーのKMSキーマテリアルが作成されます。具体的には、 はkmsuser、作成した CU としてクラスターに AWS KMS サインインします。次に、クラスターに永続的で抽出不可能な 256 ビットの Advanced Encryption Standard (AES) 対称キーを作成します。 AWS KMS は、クラスターでのみ表示されるキーラベル属性の値を、KMSキーの Amazon リソースネーム (ARN) に設定します。
コマンドが成功すると、新しいキーのKMSキーステータスは Enabled
、オリジンは になりますAWS_CLOUDHSM
。作成後にKMSキーのオリジンを変更することはできません。 AWS KMS コンソールで、または DescribeKeyオペレーションを使用して AWS CloudHSM キーストアでKMSキーを表示すると、キー ID、キーの状態、作成日などの一般的なプロパティを確認できます。カスタムキーストア ID と AWS CloudHSM
クラスター ID (オプション) を確認することもできます。
KMS キーストアで AWS CloudHSM キーを作成しようとすると失敗する場合は、エラーメッセージを使用して原因を特定してください。 AWS CloudHSM キーストアが接続されていない (CustomKeyStoreInvalidStateException
) か、関連付けられた AWS CloudHSM クラスターに、このオペレーションに必要な 2 つのアクティブな がない () HSMs ことを示している可能性がありますCloudHsmClusterInvalidConfigurationException
。ヘルプについては、を参照してください カスタムキーストアのトラブルシューティング。
AWS CloudHSM キーストアにKMSキーを作成する オペレーションの AWS CloudTrail ログの例については、「」を参照してくださいCreateKey。
クラウドKMSHSMキーストアで新しいキーを作成する
対称暗号化KMSキーは、 コンソールの AWS CloudHSM キーストアで AWS KMS 作成することも、 CreateKeyオペレーションを使用して作成することもできます。
キーストアKMSに対称暗号化 AWS CloudHSM キーを作成するには、次の手順に従います。
注記
エイリアス、説明、またはタグには、機密情報や重要情報を含めないでください。これらのフィールドは、 CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/kms
で AWS Key Management Service (AWS KMS) コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
[Create key] (キーの作成) を選択します。
-
[対称] を選択します。
-
[Key usage] (キーの使用) では、[Encrypt and decrypt] (暗号化および復号化) オプションがすでに選択されています。この設定は変更しないでください。
-
[Advanced options (詳細オプション)] を選択します。
-
[キーマテリアルのオリジン] で、[AWS CloudHSM キーストア] を選択します。
キーストアにマルチリージョン AWS CloudHSM キーを作成することはできません。
-
[Next (次へ)] を選択します。
-
新しい AWS CloudHSM キーの KMSキーストアを選択します。新しい AWS CloudHSM キーストアを作成するには、カスタムキーストアの作成を選択します。
選択する AWS CloudHSM キーストアのステータスは Connected である必要があります。関連付けられた AWS CloudHSM クラスターはアクティブで、異なるアベイラビリティーゾーンHSMsに少なくとも 2 つのアクティブな が含まれている必要があります。
AWS CloudHSM キーストアの接続については、「」を参照してくださいAWS CloudHSM キーストアを切断する。を追加する方法についてはHSMs、「 AWS CloudHSM ユーザーガイド」の「 の追加HSM」を参照してください。
-
[Next (次へ)] を選択します。
-
KMS キーのエイリアスとオプションの説明を入力します。
-
(オプション)。タグの追加ページで、KMSキーを識別または分類するタグを追加します。
AWS リソースにタグを追加すると、 はタグ別に集計された使用量とコストを含むコスト配分レポート AWS を生成します。タグは、KMSキーへのアクセスを制御するためにも使用できます。KMS キーのタグ付けの詳細については、のタグ AWS KMS「」および「」を参照してくださいAWS KMS の ABAC。
-
[Next (次へ)] を選択します。
-
キー管理者セクションで、KMSキーを管理できるIAMユーザーとロールを選択します。詳細については、「キー管理者にKMSキーの管理を許可する」を参照してください。
メモ
IAM ポリシーは、IAM他のユーザーとロールにKMSキーを使用するアクセス許可を付与できます。
IAM のベストプラクティスでは、長期的な認証情報を持つIAMユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAMロールを使用します。詳細については、「 IAMユーザーガイド」の「 のセキュリティのベストプラクティスIAM」を参照してください。
AWS KMS コンソールは、ステートメント識別子 の下のキーポリシーにキー管理者を追加します
"Allow access for Key Administrators"
。このステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。 -
(オプション) これらのキー管理者がこのKMSキーを削除できないようにするには、キー管理者にこのキーの削除を許可するページの下部にあるボックスをオフにします。
-
[Next (次へ)] を選択します。
-
このアカウントセクションで、暗号化オペレーションで KMSキー AWS アカウント を使用できるこのIAMユーザーとロールを選択します。詳細については、「キーユーザーにKMSキーの使用を許可する」を参照してください。
メモ
IAM のベストプラクティスでは、長期的な認証情報を持つIAMユーザーの使用は推奨されていません。可能な限り、一時的な認証情報を提供する IAMロールを使用します。詳細については、「 IAMユーザーガイド」の「 のセキュリティのベストプラクティスIAM」を参照してください。
AWS KMS コンソールは、ステートメント識別子
"Allow use of the key"
および のキーポリシーにキーユーザーを追加します"Allow attachment of persistent resources"
。これらのステートメント識別子を変更すると、ステートメントに加えた更新がコンソールに表示される方法に影響する可能性があります。 -
(オプション) 暗号化オペレーションにこのKMSキーを使用すること AWS アカウント を他の に許可できます。これを行うには、ページの下部にある「その他の AWS アカウント」セクションで、「別のアカウントを追加 AWS アカウント」を選択し、外部アカウントの AWS アカウント ID を入力します。複数の外部アカウントを追加するには、この手順を繰り返します。
注記
また、他の の管理者は、ユーザーのIAMポリシーを作成してKMS、キーへのアクセスを許可 AWS アカウント する必要があります。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。
-
[Next (次へ)] を選択します。
-
キーのキーポリシーステートメントを確認します。キーポリシーを変更するには、編集を選択します。
-
[Next (次へ)] を選択します。
-
選択したキー設定を確認します。戻って、すべての設定を変更することもできます。
-
終了したら、[Finish] (完了) を選択し、キーを作成します。
手順が成功すると、選択したKMSキーストアに新しい AWS CloudHSM キーが表示されます。新しいKMSキーの名前またはエイリアスを選択すると、詳細ページの暗号化設定タブに、KMSキーのオリジン (AWS CloudHSM)、カスタムキーストアの名前、ID、タイプ、 AWS CloudHSM クラスターの ID が表示されます。手順が失敗すると、失敗を説明するエラーメッセージが表示されます。
ヒント
カスタムKMSキーストア内のキーを識別しやすくするために、カスタマーマネージドキーページで、カスタムキーストア ID 列をディスプレイに追加します。右上隅にある歯車アイコンをクリックし、[Custom key store ID (カスタムキーストア ID)] を選択します。詳細については、「コンソールの表示をカスタマイズする」を参照してください。
キーストアに AWS CloudHSM new AWS KMS key (KMS キー) を作成するには、 CreateKeyオペレーションを使用します。CustomKeyStoreId
パラメータを使用してカスタムキーストアを識別し、AWS_CLOUDHSM
の Origin
値を指定します。
また、キーポリシーを指定するために Policy
パラメータが必要になる場合もあります。キーポリシー (PutKeyPolicy) を変更し、説明やタグなどのオプション要素をいつでも追加できます。
このセクションの例では AWS Command Line Interface
(AWS CLI)
次の例では、 AWS CloudHSM キーストアが関連付けられた AWS CloudHSM クラスターに接続されていることを確認する DescribeCustomKeyStoresオペレーションの呼び出しから始まります。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。特定の AWS CloudHSM キーストアのみを記述するには、その CustomKeyStoreId
または CustomKeyStoreName
パラメータを使用します (両方ではありません)。
このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。
注記
Description
フィールドまたは Tags
フィールドには、機密情報や重要情報を含めないでください。これらのフィールドは、 CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
$
aws kms describe-custom-key-stores --custom-key-store-id
cks-1234567890abcdef0
{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS CloudHSM key store", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
次のコマンド例では、 DescribeClustersオペレーションを使用して、 ExampleKeyStore
(cluster-1a23b4cdefg) に関連付けられている AWS CloudHSM クラスターに少なくとも 2 つのアクティブな があることを確認しますHSMs。クラスターの が 2 つ未満の場合HSMs、CreateKey
オペレーションは失敗します。
$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }
このコマンド例では、 CreateKeyオペレーションを使用して KMSキーストアに AWS CloudHSM キーを作成します。KMS キーストアで AWS CloudHSM キーを作成するには、キーストアのカスタム AWS CloudHSM キーストア ID を指定し、 Origin
の値を指定する必要がありますAWS_CLOUDHSM
。
レスポンスには、カスタムキーストアIDsの と AWS CloudHSM クラスターが含まれます。
このコマンドを実行する前に、例のカスタムキーストア ID を有効な ID に置き換えます。
$
aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id
cks-1234567890abcdef0
{ "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "MultiRegion": false, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }