カスタムキーストア
AWS KMS は、AWS CloudHSM クラスターでバックアップされたカスタムキーストアをサポートします。カスタムキーストアで AWS KMS key を作成すると、AWS KMS は所有し管理する AWS CloudHSM クラスターで、KMS キーの抽出不可能なキーマテリアルを生成して保存します。カスタムキーストアで KMS キーを使用する際、暗号化オペレーションはクラスター内の HSM で実行されます。この機能により、AWS KMS の利便性および広範囲な統合と、AWS アカウント の AWS CloudHSM クラスターの追加コントロールが結合されます。
AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。任意の KMS キーを使用するのと同じ方法で、カスタムキーストア内の KMS キーを使用できます。例えば、KMS キーを使用して、データキーの生成やデータの暗号化を実行できます。カスタマーマネージドキーをサポートする AWS のサービスを使用して、カスタムキーストアで KMS キーを使用することもできます。
カスタムキーストアは必要ですか?
FIPS 140-2 検証済み暗号化モジュール
ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。
-
キーマテリアルは共有環境に保存できません。
-
キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。
-
キーマテリアルを生成して保存する HSM は、FIPS 140-2 レベル 3 で認定を受ける必要があります。
カスタムキーストアはどのように機能しますか?
各カスタムキーストアは、AWS アカウント の AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスター内の専用 crypto user の認証情報を使用して、キー AWS CloudHSM のクライアントにログインします。
AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアで AWS KMS keys を作成する際は、AWS KMS で KMS キーを表示して管理します。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。

カスタムキーストアで、AWS KMS が生成したキーマテリアルを持つ対称暗号化 KMS キーを作成することができます。同じ方法を使用して、AWS KMS キーストアの KMS キーに使用するカスタムキーストアで、KMS キーを表示して管理することができます。IAM ポリシーとキーポリシーを使用してアクセスを制御したり、タグやエイリアスを作成したり、KMS キーを有効および無効にしたり、キーの削除をスケジューリングルしたりできます。KMS キーを暗号化オペレーションで使用したり、AWS KMS と統合された AWS のサービスで使用したりできます。
さらに、HSM の作成や削除やバックアップの管理など、AWS CloudHSM クラスターを完全制御できます。AWS CloudHSM クライアントおよびサポートされているソフトウェアライブラリを使用して、KMS キーのキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間、AWS KMS はカスタムキーストアにアクセスできません。また、ユーザーはカスタムキーストアで、暗号化オペレーションに KMS キーを使用することができません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。
開始方法
カスタムキーストアを作成および管理するには、AWS KMS と AWS CloudHSM の機能を使用します。
-
AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、AWS KMS のクラスターで専用 crypto user (CU) アカウントを作成します。
-
AWS KMS で、選択した AWS CloudHSM クラスターに関連付けられたカスタムキーストアを作成します。AWS KMS はカスタムキーストアの作成、表示、編集、削除を可能にする完全な管理インターフェイスを提供します。
-
カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用 crypto user アカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。
-
これで、カスタムキーストアで対称暗号化 KMS キーを作成できるようになりました。カスタムキーストアを指定するだけで、KMS キーを作成できます。
どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、または AWS Key Management Service ディスカッションフォーラム
クォータ
AWS アカウント またはリージョンでは、カスタムキーストアの数に対するリソースクォータはありません。ただし、各 AWS アカウント およびリージョンの AWS CloudHSM クラスターの数に関するクォータ、およびカスタムキーストアでの KMS キーの使用に関する AWS KMS クォータなどの AWS CloudHSM クォータはあります。
リージョン
AWS KMS は、AWS KMS と AWS CloudHSM の両方が使用可能なすべての AWS リージョン でカスタムキーストアをサポートします。各サービスをサポートする AWS リージョン のリストについては、Amazon Web Services 全般のリファレンスの AWS Key Management Service エンドポイントとクォータおよび AWS CloudHSM エンドポイントとクォータを参照してください。
サポートされていない機能
AWS KMS はカスタムキーストアで次の機能をサポートしていません。
トピック