カスタムキーストアの使用 - AWS Key Management Service

カスタムキーストアの使用

AWS KMS は、AWS CloudHSM クラスターによってバックアップされるカスタムキーストアをサポートします。カスタムキーストアで AWS KMS カスタマーマスターキー (CMK) を作成すると、AWS KMS は所有し管理している AWS CloudHSM クラスターに CMK 用の抽出不可能なキーマテリアルを生成して格納します。カスタムキーストアで CMK を使用する場合、暗号化オペレーションはクラスター内の HSM で実行されます。この機能は、AWS KMS の利便性および広範囲な統合と、AWS アカウントの AWS CloudHSM クラスターの追加されたコントロールを結合します。

AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。カスタムキーストアで CMK を作成すると、あらゆる CMK と同じように使用できます。たとえば、CMK を使用して、データキーの生成やデータの暗号化を実行できます。カスタマー管理の CMK をサポートする AWS サービスを使用して、カスタムキーストアの CMK を使用することもできます。

カスタムキーストアは必要ですか?

ほとんどの場合、FIPS 140-2 検証済み暗号化モジュールによって保護されるデフォルトの AWS KMS キーストアは、セキュリティ要求を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

  • キーマテリアルは共有環境に保存できません。

  • キーマテリアルを複数の AWS リージョンにバックアップする必要があります。

  • キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。

  • キーマテリアルを生成して保存する HSM は、FIPS 140-2 レベル 3 で認定を受ける必要があります。

カスタムキーストアはどのように機能しますか?

それぞれのカスタムキーストアは、AWS アカウントの AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスターの専用暗号化ユーザーの認証情報を使用して、クラスターのキー AWS CloudHSM クライアントにログインします。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアでカスタマーマスターキー (CMK) を作成するとき、AWS KMS で CMK を表示して管理します。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。


      カスタムキーストアでの CMK の管理

カスタムキーストアで、AWS KMS によって生成されたキーマテリアルを使用して対称 CMK を作成できます。同じ手法を使って、AWS KMS キーストアの CMK に使用するカスタムキーストアで CMK を表示して管理することができます。IAM とキーポリシーを使用してアクセスをコントロールしたり、タグやエイリアスを作成したり、CMK を有効および無効にしたり、キーの削除をスケジュールしたりできます。CMK を暗号化オペレーションで使用したり、AWS KMS と統合された AWS のサービスで使用したりできます。

さらに、HSM の作成や削除やバックアップの管理など、AWS CloudHSM クラスターを完全制御できます。AWS CloudHSM クライアントとサポートされているソフトウェアライブラリを使用して、CMK のキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間は、AWS KMS はカスタムキーストアにアクセスできません。また、ユーザーは、暗号化オペレーションのカスタムキーストアで CMK を使用できません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始方法

カスタムキーストアを作成および管理するには、AWS KMS と AWS CloudHSM の機能を使用します。

  1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、AWS KMS のそのクラスターで専用の暗号化ユーザー (CU) アカウントを作成します。

  2. AWS KMS で、選択した AWS CloudHSM クラスターに関連するカスタムキーストアを作成します。AWS KMS は、カスタムキーストアを作成、表示、編集、削除できる完全な管理インターフェイスを提供します。

  3. カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用の暗号化ユーザーアカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

  4. これで、カスタムキーストアで対称 CMK を作成できます。カスタムキーストアを指定するだけで、CMK を作成できます。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、AWS Key Management Service ディスカッションフォーラム に質問を投稿してください。

クォータ

AWS アカウントまたはリージョンのカスタムキーストアの数に対するリソースクォータはありません。ただし、各 AWS リージョンでの AWS CloudHSM クラスター数のクォータと、各カスタムキーストアの CMK を使用する暗号化オペレーションのレートの クォータのリクエスト はあります。

リージョン

AWS KMS は、AWS KMS と AWS CloudHSM の両方が利用可能なすべての AWS リージョンでカスタムキーストアをサポートします。各サービスがサポートする AWS リージョンのリストは、「AWS Key Management Service エンドポイントとクォータ」と『アマゾン ウェブ サービス全般のリファレンス』の「AWS CloudHSM エンドポイントとクォータ」を参照してください。

サポートされていない機能

カスタムキーストアでは、非対称 CMK非対称データキーペア、またはインポートされたキーマテリアルを持つ CMK はサポートされません。また、カスタムキーストアの CMK で自動キーローテーション を有効にすることはできません。