カスタムキーストアの使用 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムキーストアの使用

AWS KMS がサポートしています。カスタムキーストアにBackedAWS CloudHSM クラスター。AWS KMS を作成する場合カスタマーマスターキー(CMK) を作成すると、AWS KMS は所有し管理している AWS CloudHSM クラスターに CMK 用の抽出不可能なキーマテリアルを生成して格納します。カスタムキーストアで CMK を使用する場合、暗号化オペレーションはクラスター内の HSM で実行されます。この機能は、AWS KMS の利便性および広範囲な統合と、AWS アカウントの AWS CloudHSM クラスターの追加されたコントロールを結合します。

AWS KMS は、カスタムキーストアの作成、使用、および管理を行うための完全なコンソールと API サポートを提供します。カスタムキーストアで CMK を作成すると、あらゆる CMK と同じように使用できます。たとえば、CMK を使用して、データキーの生成やデータの暗号化を実行できます。カスタマー管理の CMK をサポートする AWS サービスを使用して、カスタムキーストアの CMK を使用することもできます。

カスタムキーストアは必要ですか?

ほとんどのユーザーにとって、デフォルトの AWS KMS キーストアはFIPS 140-2 検証済み暗号化モジュールは、セキュリティ要件を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

  • キーマテリアルは共有環境に保存できません。

  • キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。

  • キーマテリアルを生成して保存する HSM は、FIPS 140-2 レベル 3 で認定を受ける必要があります。

カスタムキーストアはどのように機能しますか?

各カスタムキーストアは、AWS アカウントの AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS は接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスター内のキー AWS CloudHSM クライアントにログインします。このクライアントには、専用暗号化ユーザークラスターの「クラスター」。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアでカスタマーマスターキー(CMK)を作成すると、AWS KMS で CMK を表示して管理します。ただし、クラスターの他のキーの場合と同様に、AWS CloudHSM でキーマテリアルを表示して管理することもできます。


      カスタムキーストアでの CMK の管理

以下の操作を実行できます。対称 CMK の作成AWS KMS によって生成されたキーマテリアルをカスタムキーストアで作成してください。次に、AWS KMS キーストアの CMK に使用するカスタムキーストアで CMK を表示して管理します。IAM ポリシーとキーポリシーを使用してアクセスをコントロールしたり、タグやエイリアスを作成したり、CMK を有効および無効にしたり、キーの削除をスケジュールしたりできます。CMKは暗号化オペレーションAWS KMS と統合する AWS サービスで使用することができます。

さらに、HSM の作成や削除、バックアップの管理など、AWS CloudHSM クラスターを完全にコントロールできます。AWS CloudHSM クライアントとサポートされているソフトウェアライブラリを使用して、CMK のキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間は、AWS KMS はそのストアにアクセスできません。また、ユーザーは、暗号化オペレーションのカスタムキーストアで CMK を使用できません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始方法

カスタムキーストアを作成して管理するには、AWS KMS と AWS CloudHSM の機能を使用します。

  1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するを選択するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、を作成する専用暗号化ユーザー (CU) アカウントを AWS KMS 用にクラスターにデプロイします。

  2. AWS KMS では、カスタムキーストアを作成するを選択します。これは、選択した AWS CloudHSM クラスターに関連付けられています。AWS KMS は、完全な管理インターフェイスカスタムキーストアを作成、表示、編集、削除することができます。

  3. カスタムキーストアを使用する準備ができたら、関連付けられた AWS CloudHSM クラスターに接続する。AWS KMS は、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用の暗号化ユーザーアカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

  4. これで、カスタムキーストアで対称 CMK を作成できます。カスタムキーストアを指定するだけで、CMK を作成できます。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、AWS Key Management Service ディスカッションフォーラム

クォータ

AWS アカウントまたはリージョンにカスタムキーストア数に対するリソースクォータはありません。ただし、AWS CloudHSM クォータがあります。たとえば、AWS CloudHSM クラスター数各 AWS アカウントとリージョンで、AWS KMS クォータはカスタムキーストアでの CMK の使用

リージョン

AWS KMS と AWS AWS CloudHSM の両方が利用可能なすべての AWS リージョンで、AWS KMS とカスタムキーストアがサポートされています。各サービスをサポートする AWS リージョンのリストは、AWS Key Management Service エンドポイントとクォータおよびAWS CloudHSM エンドポイントとクォータ()Amazon Web Services 全般的なリファレンス

サポートされていない 機能

カスタムキーストアでは、非対称 CMK非対称データキーペア、またはインポートされたキーマテリアルを持つ CMK はサポートされません。また、カスタムキーストアの CMK で自動キーローテーション を有効にすることはできません。