カスタムキーストアの使用 - AWS Key Management Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

カスタムキーストアの使用

AWS KMSは、 クラスターによってバックアップされたAWS CloudHSMカスタムキーストアをサポートします。カスタムキーストアで AWS KMS カスタマーマスターキー (CMK) を作成すると、 AWS KMSは所有および管理している CMKクラスターAWS CloudHSMに 用の抽出不可能なキーマテリアルを生成して保存します。カスタムキーストアCMKで を使用すると、暗号化オペレーションはクラスターHSMs内の で実行されます。この機能は、AWS KMS の利便性および広範囲な統合と、AWS アカウントの AWS CloudHSM クラスターの追加されたコントロールを結合します。

AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。カスタムキーストアCMKsで を作成すると、他の と同じように使用できますCMK。たとえば、 を使用して、データキーの生成やデータの暗号化を行うことができます。CMKsカスタムキーストアCMKsで、カスタマー管理の をサポートするAWSサービスで を使用することもできますCMKs。

カスタムキーストアは必要ですか?

ほとんどの場合、FIPS 140-2 検証済み暗号化モジュールによって保護されるデフォルトの AWS KMS キーストアは、セキュリティ要求を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

  • キーマテリアルは共有環境に保存できません。

  • キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。

  • キーマテリアルを生成して保存する は、HSMsFIPS 140-2 レベル 3 で認定を受ける必要があります。

カスタムキーストアはどのように機能しますか?

それぞれのカスタムキーストアは、AWS アカウントの AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスターの専用暗号化ユーザーの認証情報を使用して、クラスターのキー AWS CloudHSM クライアントにログインします。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。カスタマーマスターキーカスタムキーストアで CMKs (AWS KMS) を作成すると、 CMKsで を表示および管理AWS KMSします。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。


      カスタムキーストアCMKsでの管理

カスタムキーストアで、 によって生成されたキーマテリアルCMKsを使用して対称AWS KMSを作成できます。次に、同じ手法を使用して、キーストアCMKsで に使用するカスタムキーストアCMKsで を表示および管理します。AWS KMSIAMとキーポリシーを使用したアクセスの制御、タグとエイリアスの作成、 CMKs の有効化と無効化、キーの削除のスケジュールを行うことができます。暗号化オペレーションには を使用し、 と統合されるCMKsサービスで使用できますAWSAWS KMS

さらに、バックアップの作成や削除や管理など、AWS CloudHSMクラスターを完全に制御できます。HSMsAWS CloudHSMクライアントとサポートされているソフトウェアライブラリを使用して、 のキーマテリアルを表示、監査、管理できますCMKs。カスタムキーストアが切断されている間は、 はカスタムキーストアにアクセスするAWS KMSことができません。また、ユーザーはカスタムキーストアCMKsで暗号化オペレーションに を使用することはできません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始方法

カスタムキーストアを作成および管理するには、AWS KMS と AWS CloudHSM の機能を使用します。

  1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターでは、異なるアベイラビリティーゾーンHSMsで少なくとも 2 つのアクティブなクラスターが必要です。次に、AWS KMS のそのクラスターで専用の暗号化ユーザー (CU) アカウントを作成します。

  2. AWS KMS で、選択した AWS CloudHSM クラスターに関連するカスタムキーストアを作成します。AWS KMS は、カスタムキーストアを作成、表示、編集、削除できる完全な管理インターフェイスを提供します。

  3. カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用の暗号化ユーザーアカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

  4. これで、カスタムキーストアで対称CMKsを作成できます。作成時にカスタムキーストアを指定するだけですCMK。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、AWS Key Management Service ディスカッションフォーラム に質問を投稿してください。

クォータ

AWS アカウントまたはリージョンのカスタムキーストアの数に対するリソースクォータはありません。ただし、クォータ (各AWS CloudHSMアカウントおよびリージョンのクラスター数のクォータや、カスタムキーストアAWS CloudHSMでの の使用のクォータなど) がありますAWS。AWS KMSCMKs

Regions

AWS KMS は、AWS KMS と AWS CloudHSM の両方が利用可能なすべての AWS リージョンでカスタムキーストアをサポートします。各サービスがサポートする AWS リージョンのリストは、「AWS Key Management Service エンドポイントとクォータ」と『アマゾン ウェブ サービス全般のリファレンス』の「AWS CloudHSM エンドポイントとクォータ」を参照してください。

サポートされていない機能

カスタムキーストアは、非対称 CMKs 非対称データキーペア、またはCMKsインポートされたキーマテリアルをサポートしていません。また、カスタムキーストア内の で自動キーローテーションを有効にすることはできません。CMK