カスタムキーストア - AWS Key Management Service

カスタムキーストア

AWS KMS は、AWS CloudHSM クラスターでバックアップされたカスタムキーストアをサポートします。カスタムキーストアで AWS KMS key を作成すると、AWS KMS は所有し管理する AWS CloudHSM クラスターで、KMS キーの抽出不可能なキーマテリアルを生成して保存します。カスタムキーストアで KMS キーを使用する際、暗号化オペレーションはクラスター内の HSM で実行されます。この機能により、AWS KMS の利便性および広範囲な統合と、AWS アカウント の AWS CloudHSM クラスターの追加コントロールが結合されます。

AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。任意の KMS キーを使用するのと同じ方法で、カスタムキーストア内の KMS キーを使用できます。例えば、KMS キーを使用して、データキーの生成やデータの暗号化を実行できます。カスタマーマネージドキーをサポートする AWS のサービスを使用して、カスタムキーストアで KMS キーを使用することもできます。

カスタムキーストアは必要ですか?

FIPS 140-2 検証済み暗号化モジュールによって保護されているデフォルトの AWS KMS キーストアは、ほとんどのユーザーのセキュリティ要件を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

  • キーマテリアルは共有環境に保存できません。

  • キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。

  • キーマテリアルを生成して保存する HSM は、FIPS 140-2 レベル 3 で認定を受ける必要があります。

カスタムキーストアはどのように機能しますか?

各カスタムキーストアは、AWS アカウント の AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスター内の専用暗号化ユーザーの認証情報を使用して、キー AWS CloudHSM のクライアントにログインします。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアで AWS KMS keys を作成する際は、AWS KMS で KMS キーを表示して管理します。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。


      カスタムキーストアで KMS キーを管理する

カスタムキーストアで、AWS KMS が生成したキーマテリアルを持つ対称暗号化 KMS キーを作成することができます。同じ方法を使用して、AWS KMS キーストアの KMS キーに使用するカスタムキーストアで、KMS キーを表示して管理することができます。IAM ポリシーとキーポリシーを使用してアクセスを制御したり、タグやエイリアスを作成したり、KMS キーを有効および無効にしたり、キーの削除をスケジューリングルしたりできます。KMS キーを暗号化オペレーションで使用したり、AWS KMS と統合された AWS のサービスで使用したりできます。

さらに、HSM の作成や削除やバックアップの管理など、AWS CloudHSM クラスターを完全制御できます。AWS CloudHSM クライアントおよびサポートされているソフトウェアライブラリを使用して、KMS キーのキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間、AWS KMS はカスタムキーストアにアクセスできません。また、ユーザーはカスタムキーストアで、暗号化オペレーションに KMS キーを使用することができません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始方法

カスタムキーストアを作成および管理するには、AWS KMS と AWS CloudHSM の機能を使用します。

  1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、AWS KMS のクラスターで専用暗号化ユーザー (CU) アカウントを作成します。

  2. AWS KMS で、選択した AWS CloudHSM クラスターに関連付けられたカスタムキーストアを作成します。AWS KMS はカスタムキーストアの作成、表示、編集、削除を可能にする完全な管理インターフェイスを提供します。

  3. カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用の暗号化ユーザーアカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

  4. これで、カスタムキーストアで対称暗号化 KMS キーを作成できるようになりました。カスタムキーストアを指定するだけで、KMS キーを作成できます。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、または AWS Key Management Service ディスカッションフォーラムに質問を投稿してください。

クォータ

AWS アカウント またはリージョンでは、カスタムキーストアの数に対するリソースクォータはありません。ただし、各 AWS アカウント およびリージョンの AWS CloudHSM クラスターの数に関するクォータ、およびカスタムキーストアでの KMS キーの使用に関する AWS KMS クォータなどの AWS CloudHSM クォータはあります。

リージョン

AWS KMS は、AWS KMS と AWS CloudHSM の両方が使用可能なすべての AWS リージョン でカスタムキーストアをサポートします。各サービスをサポートする AWS リージョン のリストについては、Amazon Web Services 全般のリファレンスAWS Key Management Service エンドポイントとクォータおよび AWS CloudHSM エンドポイントとクォータを参照してください。

サポートされていない機能

AWS KMS はカスタムキーストアで次の機能をサポートしていません。