カスタムキーストアの使用

AWS KMSが をサポートカスタムキーストアにBackedAWS CloudHSMクラスター。カスタムキーストアで AWS KMS カスタマーマスターキー (CMK) を作成すると、AWS KMS は所有し管理している AWS CloudHSM クラスターに CMK 用の抽出不可能なキーマテリアルを生成して格納します。カスタムキーストアで CMK を使用する場合、暗号化オペレーションはクラスター内の HSM で実行されます。この機能は、の利便性および広範囲な統合を結合します。AWS KMSのコントロールが追加されたAWS CloudHSMクラスターの AWS アカウント 。

AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。カスタムキーストアで CMK を作成すると、あらゆる CMK と同じように使用できます。たとえば、CMK を使用して、データキーの生成やデータの暗号化を実行できます。カスタマー管理の CMK をサポートする AWS サービスを使用して、カスタムキーストアの CMK を使用することもできます。

カスタムキーストアは必要ですか?

ほとんどのユーザーでは、デフォルトのAWS KMSによって保護されているキーストアFIPS 140-2 検証済みの暗号化モジュールは、セキュリティ要件を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

• キーマテリアルは共有環境に保存できません。

• キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。

• キーマテリアルを生成して保存する HSM は、FIPS 140-2 レベル 3 で認定を受ける必要があります。

カスタムキーストアはどのように機能しますか?

各カスタムキーストアは、AWS CloudHSMクラスターの AWS アカウント 。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、キーにログインしますAWS CloudHSMの認証情報を使用して、クラスター内の専用暗号化ユーザークラスターの「クラスター」。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアでカスタマーマスターキー (CMK) を作成するとき、AWS KMS で CMK を表示して管理します。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。

以下の操作を実行できます。対称 CMK の作成によって生成されたキーマテリアルとAWS KMSカスタムキーストアでの 同じ手法を使って、AWS KMS キーストアの CMK に使用するカスタムキーストアで CMK を表示して管理することができます。IAM とキーポリシーを使用してアクセスをコントロールしたり、タグやエイリアスを作成したり、CMK を有効および無効にしたり、キーの削除をスケジュールしたりできます。CMK を暗号化オペレーションで使用したり、AWS KMS と統合された AWS のサービスで使用したりできます。

さらに、HSM の作成や削除やバックアップの管理など、AWS CloudHSM クラスターを完全制御できます。AWS CloudHSM クライアントとサポートされているソフトウェアライブラリを使用して、CMK のキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間は、AWS KMS はカスタムキーストアにアクセスできません。また、ユーザーは、暗号化オペレーションのカスタムキーストアで CMK を使用できません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始方法

カスタムキーストアを作成および管理するには、AWS KMS と AWS CloudHSM の機能を使用します。

1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、作成する専用暗号化ユーザー (CU) アカウントのクラスタでAWS KMS。

2. EclipseAWS KMS,カスタムキーストアの作成に関連付けられているAWS CloudHSMクラスターを作成します。AWS KMS提供完全な管理インターフェイスカスタムキーストアの作成、表示、編集、削除を行うことができます。

3. カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用の暗号化ユーザーアカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

4. これで、カスタムキーストアで対称 CMK を作成できます。カスタムキーストアを指定するだけで、CMK を作成できます。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、または AWS Key Management Service ディスカッションフォーラムに質問を投稿してください。

クォータ

カスタムキーストアの数に対するリソースクォータはありません。 AWS アカウント リージョンまたはリージョン。ただし、AWS CloudHSMのクォータなど、の数AWS CloudHSMクラスター各 AWS アカウント と地域、およびAWS KMSの「クォータ」カスタムキーストアでの CMK の使用。

Regions

AWS KMSは、すべての AWS リージョン ここで、両方AWS KMSおよびAWS CloudHSMが利用可能です。のリストについては AWS リージョン 各サービスをサポートするAWS Key Management ServiceエンドポイントとクォータおよびAWS CloudHSMエンドポイントとクォータ()Amazon Web Services 全般のリファレンス。

サポートされていない 機能

AWS KMSは、以下をサポートしていません。AWS KMSカスタムキーストアでの

• 非対称 CMK

• 非対称データキーペア

• CMK でインポートしたキーマテリアル

• 自動キー回転

• マルチリージョンキー

トピック

• カスタムキーストアとは
• カスタムキーストアへのアクセスのコントロール
• カスタムキーストアの作成
• カスタムキーストアの管理
• カスタムキーストアでの CMK の管理
• カスタムキーストアのトラブルシューティング