カスタムキーストアの作成 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムキーストアの作成

アカウントに 1 つまたは複数のカスタムキーストアを作成できます。各カスタムキーストアは、1 つのAWS CloudHSMクラスタ内の同じ AWS リージョン 。カスタムキーストアを作成する前に、前提条件を構成する必要があります。次に、カスタムキーストアを使用する前に、それを接続するをそのものにAWS CloudHSMクラスター。

ヒント

カスタムキーストアを直ちに接続する必要はありません。使用する準備ができるまで切断された状態にしておくことができます。ただし、正しく設定されていることを確認するために、接続して、接続ステータスを表示してから、切断するとよいかも知れません。

前提条件を構成する

各 AWS KMS カスタムキーストアは AWS CloudHSM クラスターにサポートされています。カスタムキーストアを作成するには、別のキーストアに関連付けられていない、アクティブな AWS CloudHSM クラスターを指定する必要があります。AWS KMS がユーザーの代わりにキーを作成して管理できる、クラスターの HSM に専用の暗号化ユーザー (CU) を作成する必要もあります。

カスタムキーストアを作成する前に、次の手順を実行します。

AWS CloudHSM クラスターを選択する

すべてのカスタムキーストアは、厳密に 1 個の AWS CloudHSM クラスターに関連付けられています。カスタムキーストアでカスタムマスターキー (CMK) を作成するとき、AWS KMS は AWS KMS で ID や Amazon リソースネーム (ARN) などの CMK メタデータを作成します。その後で、関連付けられたクラスターの HSM でキーマテリアルを作成します。新しい AWS CloudHSM クラスターを 作成するか、既存のものを使用できます。AWS KMS ではクラスターへの排他的アクセスが要求されません。

選択した AWS CloudHSM クラスターは、完全にカスタムキーストアに関連付けられます。カスタムキーストアを作成した後、関連付け済みのクラスターのクラスター ID を変更することができますが、指定したクラスターは元のクラスターとバックアップ履歴を共有する必要があります。無関係のクラスターを使用するには、新しいカスタムキーストアを作成する必要があります。

選択した AWS CloudHSM クラスターには次の特性がある必要があります。

  • クラスターがアクティブである必要があります

    クラスターを作成して初期化し、プラットフォームに AWS CloudHSM クライアントソフトウェアをインストールして、クラスターをアクティブ化する必要もあります。詳細な手順については、「」を参照してください。開始方法の セクションAWS CloudHSMユーザーガイド

  • クラスターは、同じアカウントとリージョンに存在する必要があります。としてAWS KMSカスタムキーストア。あるリージョンのカスタムキーストアを別のリージョンのクラスターに関連付けることはできません。マルチリージョンの主要なインフラストラクチャを作成するには、各リージョンにキーストアとクラスターを作成する必要があります。

  • クラスターをアカウント内の別のカスタムキーストアに関連付けることはできません。各カスタムキーストアは異なる AWS CloudHSM クラスターに関連付けられている必要があります。カスタムキーストアに関連付け済みのクラスターまたは関連付け済みのクラスターとバックアップ履歴を共有するクラスターを指定することはできません。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、AWS CloudHSM コンソールまたは DescribeClusters オペレーションを使用します。

  • クラスターはプライベートサブネットアベイラビリティーゾーン (少なくとも 2 個)リージョン内. AWS CloudHSM はすべてのアベイラビリティーゾーンでサポートされていないため、リージョン内のすべてのアベイラビリティーゾーンでプライベートサブネットを作成することをお勧めします。既存のクラスターのサブネットを再構成することはできませんが、クラスター構成の異なるサブネット を持つバックアップからクラスターを作成 することはできます。

    重要

    カスタムキーストアを作成した後は、AWS CloudHSM クラスター用に設定されたプライベートサブネットを削除しないでください。AWS KMS がクラスター構成内ですべてのサブネットを見つけることができない場合、カスタムキーストアへの接続 を試みると、SUBNET_NOT_FOUND 接続エラー状態で失敗します。詳細については、「接続障害の修復方法」を参照してください。

  • クラスターのセキュリティグループ (cloudhsm-cluster-<cluster-id>-sg) には、ポート 2223-22225 で TCP トラフィックを許可するインバウンドルールとアウトバウンドルールを含める必要があります。インバウンドルールの Source とアウトバウンドルールの Destination は、セキュリティグループ ID と一致している必要があります。これらのルールは、クラスターの作成時にデフォルトで設定されます。変更または削除しないでください。

  • クラスターは、異なるアベイラビリティーゾーンの少なくとも 2 つのアクティブな HSM を含む必要があります。HSM の数を確認するには、AWS CloudHSM コンソールか DescribeClusters オペレーションを使用します。必要に応じて、 HSM を追加できます

信頼アンカー証明書を見つける

カスタムキーストアを作成する場合、AWS CloudHSM クラスターの信頼アンカー証明書を AWS KMS にアップロードする必要があります。AWS KMS は、カスタムキーストアをクラスターに接続するために信頼アンカー証明書が必要です。

すべてのアクティブな AWS CloudHSM クラスターには信頼アンカー証明書があります。 クラスターを初期化, すると、この証明書を生成し、 customerCA.crt ファイルに保存して、クラスターに接続するホストにコピーします。

AWS KMS 用の kmsuser 暗号化ユーザーを作成する

カスタムキーストアを管理するために、AWS KMS は選択したクラスターで kmsuser 暗号化ユーザー (CU) アカウントにログインします。カスタムキーストアを作成する前に kmsuser CU を作成する必要があります。カスタムキーストアを作成するとき、AWS KMS に kmsuser のパスワードを指定します。AWS KMS は、カスタムキーストアを関連付け済みの AWS CloudHSM クラスターに接続するたびに kmsuser パスワードをローテーションします。

重要

kmsuser CU を作成するとき、2FA オプションを指定しないでください。指定すると、AWS KMS はログインできず、カスタムキーストアはこの AWS CloudHSM クラスターに接続できません。2FA を指定すると、元に戻すことはできません。代わりに、CU を削除して再作成する必要があります。

kmsuser CU を作成するには、次の手順に従います。

  1. cloudhsm_mgmt_mgmt_mgmt_mgmtcloudhsm_mgmt_mgmt_mgmt_の セクションAWS CloudHSMユーザーガイド

  2. cloudhsm_mgmt_util で cre ateUser コマンドを使用して、という名前の CU を作成します kmsuser。パスワードは 7〜32 の英数字で構成する必要があります。大文字と小文字が区別され、特殊文字を含めることはできません。

    たとえば、次のコマンド例では、パスワードが kmsPswdkmsuser CU を作成します。

    aws-cloudhsm> createUser CU kmsuser kmsPswd

カスタムキーストアを作成する (コンソール)

作成するとカスタムキーストア()AWS Management Consoleを追加して作成することができます。の前提条件をワークフローの一部として使用します。ただし、プロセスは事前に構成しておくとより高速です。

  1. にサインインします。AWS Management Consoleを開き、[AWS Key Management Service(AWS KMS) コンソールでhttps://console.aws.amazon.com/kms

  2. を変更するにはAWSリージョンを使用するには、ページの右上隅にある [リージョンセレクター] を使用します。

  3. ナビゲーションペインで、[Custom key stores (カスタムキーストア)] を選択します。

  4. [Create key store (キーストアの作成)] を選択します。

  5. カスタムキーストアのわかりやすい名前を入力します。名前はアカウント内で一意である必要があります。

  6. カスタムキーストアに AWS CloudHSM クラスターを選択します。または、新しいを作成するにはAWS CloudHSMクラスタで、を作成するAWS CloudHSMクラスターリンクします。

    クラスターは、カスタムキーストアとの関連付けの要件を 満たす必要があります。メニューに、カスタムキーストアにまだ関連付けられていないアカウントおよびリージョンのカスタムキーストアが表示されます。

  7. [ファイルのアップロード] を選択し、選択した AWS CloudHSM クラスターの信頼アンカー証明書をアップロードします。これは、customerCA.crtファイルの作成時に作成したクラスターの初期化

  8. 選択したクラスターで作成した kmsuser 暗号化ユーザー (CU) のパスワードを入力します。

  9. [Create] (作成) をクリックします。

手順が正常に完了すると、新しいカスタムキーストアがアカウントとリージョンのカスタムキーストアのリストに表示されます。正常に完了しなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「」を参照してください カスタムキーストアのトラブルシューティング

次: 新しいカスタムキーストアは自動的に接続されません。カスタムキーストアでカスタマーマスターキー (CMK) を作成する前に、カスタムキーストアを接続します。に関連付けられたAWS CloudHSMクラスター。

カスタムキーストアを作成する (API)

-CreateCustomKeyStoreオペレーションは、新しいを作成するカスタムキーストアに関連付けられたAWS CloudHSMクラスターとリージョンにあります。これらの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用できます。

CreateCustomKeyStore オペレーションでは、次のパラメータ値が必要です。

  • CustomKeystorename — アカウント内で一意のカスタムキーストアのフレンドリ名。

  • CloudHsmClusterID — カスタムキーストアとの関連付け の要件を満たす クラスターのクラスター ID。

  • KeyStorePassword — 指定したクラスター内の kmsuser CU アカウントのパスワード。

  • TrustAnchorCertificate — のコンテンツcustomerCA.crtファイルの作成時に作成したクラスターの初期化

次の例では、架空のクラスター ID を使用します。コマンドを実行する前に、有効なクラスター ID と置き換えます。

$ aws kms create-custom-key-store --custom-key-store-name ExampleKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate <certificate-goes-here>

AWS CLI を使用している場合、その内容ではなく、信頼アンカー証明書ファイルを指定できます。次の例では、customerCA.crt ファイルはルートディレクトリにあります。

$ aws kms create-custom-key-store --custom-key-store-name ExampleKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate file://customerCA.crt

オペレーションが正常に終了したら、次のレスポンス例に示すように、CreateCustomKeyStore はカスタムキーストア ID を返します。

{ "CustomKeyStoreId": cks-1234567890abcdef0 }

オペレーションが失敗した場合は、例外で示されているエラーを修正して、もう一度試してください。その他のヘルプについては、「」を参照してください カスタムキーストアのトラブルシューティング

次に、カスタムキーストアを使用するには、その AWS CloudHSM クラスターに接続します