カスタムキーストア

AWS KMS は、AWS CloudHSM クラスターでバックアップされたカスタムキーストアをサポートします。カスタムキーストアで AWS KMS key を作成すると、AWS KMS は所有し管理する AWS CloudHSM クラスターで、KMS キーの抽出不可能なキーマテリアルを生成して保存します。カスタムキーストアで KMS キーを使用する際、暗号化オペレーションはクラスター内の HSM で実行されます。この機能により、AWS KMS の利便性および広範囲な統合と、AWS アカウント の AWS CloudHSM クラスターの追加コントロールが結合されます。

AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。任意の KMS キーを使用するのと同じ方法で、カスタムキーストア内の KMS キーを使用できます。例えば、KMS キーを使用して、データキーの生成やデータの暗号化を実行できます。カスタマーマネージドキーをサポートする AWS のサービスを使用して、カスタムキーストアで KMS キーを使用することもできます。

カスタムキーストアは必要ですか?

FIPS 140-2 検証済み暗号化モジュールによって保護されているデフォルトの AWS KMS キーストアは、ほとんどのユーザーのセキュリティ要件を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

• キーマテリアルは共有環境に保存できません。

• キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。

• キーマテリアルを生成して保存する HSM は、FIPS 140-2 レベル 3 で認定を受ける必要があります。

カスタムキーストアはどのように機能しますか?

各カスタムキーストアは、AWS アカウント の AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスター内の専用 crypto user の認証情報を使用して、キー AWS CloudHSM のクライアントにログインします。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアで AWS KMS keys を作成する際は、AWS KMS で KMS キーを表示して管理します。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。

カスタムキーストアで、AWS KMS が生成したキーマテリアルを持つ対称暗号化 KMS キーを作成することができます。同じ方法を使用して、AWS KMS キーストアの KMS キーに使用するカスタムキーストアで、KMS キーを表示して管理することができます。IAM ポリシーとキーポリシーを使用してアクセスを制御したり、タグやエイリアスを作成したり、KMS キーを有効および無効にしたり、キーの削除をスケジューリングルしたりできます。KMS キーを暗号化オペレーションで使用したり、AWS KMS と統合された AWS のサービスで使用したりできます。

さらに、HSM の作成や削除やバックアップの管理など、AWS CloudHSM クラスターを完全制御できます。AWS CloudHSM クライアントおよびサポートされているソフトウェアライブラリを使用して、KMS キーのキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間、AWS KMS はカスタムキーストアにアクセスできません。また、ユーザーはカスタムキーストアで、暗号化オペレーションに KMS キーを使用することができません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始方法

カスタムキーストアを作成および管理するには、AWS KMS と AWS CloudHSM の機能を使用します。

1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、AWS KMS のクラスターで専用 crypto user (CU) アカウントを作成します。

2. AWS KMS で、選択した AWS CloudHSM クラスターに関連付けられたカスタムキーストアを作成します。AWS KMS はカスタムキーストアの作成、表示、編集、削除を可能にする完全な管理インターフェイスを提供します。

3. カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用 crypto user アカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

4. これで、カスタムキーストアで対称暗号化 KMS キーを作成できるようになりました。カスタムキーストアを指定するだけで、KMS キーを作成できます。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、または AWS Key Management Service ディスカッションフォーラムに質問を投稿してください。

クォータ

AWS アカウント またはリージョンでは、カスタムキーストアの数に対するリソースクォータはありません。ただし、各 AWS アカウント およびリージョンの AWS CloudHSM クラスターの数に関するクォータ、およびカスタムキーストアでの KMS キーの使用に関する AWS KMS クォータなどの AWS CloudHSM クォータはあります。

リージョン

AWS KMS は、AWS KMS と AWS CloudHSM の両方が使用可能なすべての AWS リージョン でカスタムキーストアをサポートします。各サービスをサポートする AWS リージョン のリストについては、Amazon Web Services 全般のリファレンスの AWS Key Management Service エンドポイントとクォータおよび AWS CloudHSM エンドポイントとクォータを参照してください。

サポートされていない機能

AWS KMS はカスタムキーストアで次の機能をサポートしていません。

• 非対称 KMS キー

• 非対称データキーペア

• HMAC KMS キー

• インポートされたキーマテリアルを持つ KMS キー

• 自動キーローテーション

• マルチリージョンキー

トピック

• カスタムキーストアとは
• カスタムキーストアへのアクセスのコントロール
• カスタムキーストアの作成
• カスタムキーストアの管理
• カスタムキーストアで KMS キーを管理する
• カスタムキーストアのトラブルシューティング