AWS Key Management Service
開発者ガイド

カスタムキーストアの使用

AWS KMS は、AWS CloudHSM クラスターによってバックアップされるカスタムキーストアをサポートします。カスタムキーストアで AWS KMS カスタマーマスターキー (CMK) を作成すると、AWS KMS は所有し管理している AWS CloudHSM クラスターに CMK 用の抽出不可能なキーマテリアルを生成して格納します。カスタムキーストアで CMK を使用する場合、暗号化オペレーションはクラスター内の HSM で実行されます。この機能は、AWS KMS の利便性および広範囲な統合と、AWS アカウントの AWS CloudHSM クラスターの追加されたコントロールを結合します。

AWS KMS は、フルコンソールと API サポートを提供して、カスタムキーストアを作成、使用、および管理します。カスタムキーストアで CMK を作成すると、あらゆる CMK と同じように使用できます。たとえば、CMK を使用して、データキーの生成やデータの暗号化を実行できます。カスタマー管理の CMK をサポートする AWS サービスを使用して、カスタムキーストアの CMK を使用することもできます。

カスタムキーストアは必要ですか?

ほとんどの場合、FIPS 140-2 検証済み暗号化モジュールによって保護されるデフォルトの AWS KMS キーストアは、セキュリティ要求を満たします。メンテナンス責任や追加サービスへの依存の強化は必要ありません。

ただし、組織に次のいずれかの要件がある場合、カスタムキーストアの作成を検討してください。

  • キーマテリアルは共有環境に保存できません。

  • キーマテリアルを複数の AWS リージョンにバックアップする必要があります。

  • キーマテリアルは、補助的な、独立した監査パスの対象とする必要があります。

  • キーマテリアルを生成して保存する HSM は、FIPS 140-2 レベル 3 で認定を受ける必要があります。

カスタムキーストアはどのように機能しますか?

それぞれのカスタムキーストアは、AWS アカウントの AWS CloudHSM クラスターに関連付けられます。カスタムキーストアをそのクラスターに接続すると、AWS KMS が、接続をサポートするためにネットワークインフラストラクチャを作成します。次に、クラスターの専用暗号化ユーザーの認証情報を使用して、クラスターのキー AWS CloudHSM クライアントにログインします。

AWS KMS でカスタムキーストアを作成して管理し、AWS CloudHSM で HSM クラスターを作成して管理します。AWS KMS カスタムキーストアでカスタマーマスターキー (CMK) を作成するとき、AWS KMS で CMK を表示して管理します。ただし、クラスターの他のキーに実行するのと同じように、AWS CloudHSM でキーマテリアルを表示して管理することもできます。


      カスタムキーストアでの CMK の管理

同じ手法を使って、AWS KMS キーストアの CMK に使用するカスタムキーストアで CMK を表示して管理することができます。IAM とキーポリシーを使用してアクセスをコントロールしたり、タグやエイリアスを作成したり、CMK を有効および無効にしたり、キーの削除をスケジュールしたりできます。CMK を暗号化オペレーションに使用したり、AWS KMS と統合する AWS サービスと使用したりできます。ただし、自動キーローテーションを有効にすることはできません。また、キーマテリアルをカスタムキーストアの CMK にインポートすることはできません。

さらに、HSM の作成や削除やバックアップの管理など、AWS CloudHSM クラスターを完全制御できます。AWS CloudHSM クライアントとサポートされているソフトウェアライブラリを使用して、CMK のキーマテリアルを表示、監査、管理できます。カスタムキーストアが切断されている間は、AWS KMS はカスタムキーストアにアクセスできません。また、ユーザーは、暗号化オペレーションのカスタムキーストアで CMK を使用できません。こうした制御の強化により、カスタムキーストアがそれを必要とする組織のための強力なソリューションとなります。

開始する

カスタムキーストアを作成および管理するには、AWS KMS と AWS CloudHSM の機能を使用します。

  1. AWS CloudHSM で開始します。アクティブな AWS CloudHSM クラスターを作成するか、既存のクラスターを選択します。クラスターには、少なくとも 2 つの異なるアベイラビリティーゾーンのアクティブな HSM が必要です。次に、AWS KMS のそのクラスターで専用の暗号化ユーザー (CU) アカウントを作成します。

  2. AWS KMS で、選択した AWS CloudHSM クラスターに関連するカスタムキーストアを作成します。AWS KMS は、カスタムキーストアを作成、表示、編集、削除できる完全な管理インターフェイスを提供します。

  3. カスタムキーストアを使用する準備ができると、その関連付けられた AWS CloudHSM クラスターに接続されます。AWS KMS が、接続をサポートするのに必要なネットワークインフラストラクチャを作成します。次に、専用の暗号化ユーザーアカウント認証情報を使用してクラスターへのログインが行われ、クラスターでキーマテリアルを生成して管理できるようになります。

  4. これで、カスタムキーストアでカスタマーマスターキー (CMK) 作成することができます。カスタムキーストアを指定するだけで、CMK を作成できます。

どの時点で問題が発生しても、「カスタムキーストアのトラブルシューティング」トピックでヘルプを見つけることができます。回答が見つからない場合は、このガイドの各ページの下部にあるフィードバックリンクを使用するか、AWS Key Management Service ディスカッションフォーラム に質問を投稿してください。

制限

AWS アカウントまたはリージョンのカスタムキーストアの数に制限はありません。ただし、各 AWS リージョンでの AWS CloudHSM クラスター数の制限と、各カスタムキーストアの CMK を使用する暗号化オペレーションのレートのスロットル制限はあります。

リージョン

AWS KMS は、AWS KMS と AWS CloudHSM の両方が利用可能なすべての AWS リージョンでカスタムキーストアをサポートします (アジアパシフィック (香港)、欧州 (ストックホルム)、中東 (バーレーン)、AWS GovCloud (米国東部)、AWS GovCloud (米国西部) を除く)。各サービスをサポートする AWS リージョンのリストは、AWS Key Management Service および AWS CloudHSM を参照してください。