カスタムキーストアの接続および切断 - AWS Key Management Service

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

カスタムキーストアの接続および切断

新しいカスタムキーストアが接続されていません。作成して使用する前に カスタマーマスターキー (CMKs)をカスタムキーストアで、関連する AWS CloudHSM クラスタ。カスタムキーストアはいつでも接続および切断でき、接続ステータスを表示できます

カスタムキーストアを接続する必要はありません。カスタムキーストアを無期限に切断された状態のままにしておき、使用する必要がある場合にのみ接続できます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。

注記

カスタムキーストアは、キーストアが一度も接続されたことがない場合、または明示的に切断された場合にのみ DISCONNECTED ステータスになります。カスタムキーストアのステータスが CONNECTED になっているものの、使用に問題がある場合は、それに関連付けられている AWS CloudHSM クラスターがアクティブで、少なくとも 1 つのアクティブな HSM が含まれていることを確認してください。接続障害のヘルプについては、「カスタムキーストアのトラブルシューティング」を参照してください。

カスタムキーストアの接続

カスタムキーストアを接続すると、AWS KMS が関連付け済みの AWS CloudHSM クラスターを見つけて接続し、kmsuser 暗号化ユーザー (CU) として AWS CloudHSM クライアントにログインし、kmsuser パスワードをローテーションします。AWS KMS は、カスタムキーストアが接続されている間、AWS CloudHSM クライアントにログインしたままになります。

接続を確立するために、AWS KMS はクラスターの Virtual Private Cloud (VPC) で kms-<custom key store ID> という名前を付けられた セキュリティグループを作成します。セキュリティグループには、クラスターセキュリティグループからのインバウンドトラフィックを許可する単一のルールがあります。AWS KMS は、クラスターのプライベートサブネットの各アベイラビリティーゾーンに Elastic Network Interface (ENI) を作成します。AWS KMS は kms-<cluster ID> セキュリティグループとクラスターのセキュリティグループに ENI を追加します。各 ENI の説明は KMS managed ENI for cluster <cluster-ID> です。

接続プロセスは、完了するまでに長い時間 (最長 20 分) がかかる場合があります。

カスタムキーストアを接続する前に、要件を満たしているかどうかを確認します。

  • 関連付け済みの AWS CloudHSM クラスターに少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内の HSM の数を確認するには、AWS CloudHSM コンソールでクラスターを表示するか DescribeClusters オペレーションを使用します。必要に応じて、HSM を追加できます。

  • クラスターには、kmsuser 暗号化ユーザー (CU) アカウントが必要ですが、カスタムキーストアを接続すると、その CU はクラスターにログインできません。ログアウトのヘルプについては、「ログアウトして再接続する方法」を参照してください。

  • カスタムキーストアの接続ステータスを次にすることはできません: DISCONNECTING または FAILED。 以下が可能です。 接続ステータスの表示 コンソールまたは カスタムキーストアの説明 操作。接続ステータスが FAILED である場合、カスタムキーストアを切断してから接続します。

カスタムキーストアが接続されると、 作成 CMKs その中にある 既存の CMKs () 暗号化操作.

カスタムキーストアの切断

カスタムキーストアを切断すると、AWS KMS が AWS CloudHSM クライアントからログアウトし、関連付け済みの AWS CloudHSM クラスターから切断して、接続をサポートするために作成したネットワークインフラストラクチャを削除します。

カスタムキーストアが切断されている間、カスタムキーストアとその カスタマーマスターキー (CMKs)、ただし、 CMKs カスタムキーストアで キーストアのステータスは DISCONNECTED および キー状態 / CMKs カスタムキーストアには Unavailable、ただし、 PendingDeletion。 カスタムキーストアはいつでも再接続できます。

注記

カスタムキーストアが切断されているときは、カスタムキーストアでカスタマーマスターキー (CMK) を作成したり、既存の CMK を暗号化オペレーションに使用しようとすると、すべて失敗します。この操作により、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

キーストアを切断した場合の影響をより正確に見積もるには、 特定する CMKs カスタムキーストアで 過去の使用を判断.

カスタムキーストアは、次のような理由で切断する必要がある場合があります。

  • パスワードをローテーションkmsuserする。AWS KMS は AWS CloudHSM クラスターに接続するたびに kmsuser パスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。

  • 主要資料の監査 の CMKs の AWS CloudHSM クラスタ。カスタムキーストアを切断すると、AWS KMS が AWS CloudHSM クライアントの kmsuser暗号化ユーザーアカウントからログアウトします。これにより、 kmsuser CU および監査、および CMK.

  • すべての CMKs カスタムキーストアで 以下が可能です。 無効化と再有効化 CMKs カスタムキーストアで AWS マネジメントコンソール または 無効キー 操作。これらの操作は迅速に完了しますが、1つの CMK 1回に1回 切断すると、すべてのキー状態が直ちに変化します CMKs カスタムキーで Unavailable。これにより、暗号化操作で暗号化が使用できなくなります。

  • 失敗した接続試行を修復するには。カスタムキーストアを接続する試行が失敗した場合 (カスタムキーストアの接続ステータスが FAILED)、再度接続を試みる前にカスタムキーストアを切断する必要があります。

カスタムキーストアを接続する (コンソール)

AWS マネジメントコンソール でカスタムキーストアを接続するには、最初に [カスタムキーストア] ページからカスタムキーストアを選択します。この処理の完了には、最大 20 分かかることがあります。

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores (カスタムキーストア)] を選択します。

  4. 接続するカスタムキーストアを選択します。

  5. カスタムキーストアのステータスが [FAILED] の場合、接続する前にカスタムキーストアを切断する必要があります。

  6. [Key store actions (キーストアのアクション)] メニューで、[Connect custom key store (カスタムキーストアの接続)] を選択します。

AWS KMS がカスタムキーストアを結合するプロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、AWS CloudHSM クラスターに kmsuser CU としてログインして、kmsuser パスワードをローテーションします。オペレーションが完了すると、接続状態が [CONNECTED] に変わります。

オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。再度接続を試みる前に、カスタムキーストアの接続ステータスを表示します。[FAILED] である場合、再度接続する 前にカスタムキーストアを切断する必要があります。ヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

次に、。 作成 CMKs カスタムキーストアで.

カスタムキーストアを接続する (API)

切断されたカスタムキーストアを接続するには、ConnectCustomKeyStore オペレーションを使用します。関連付け済みの AWS CloudHSM クラスターは、少なくとも 1 つのアクティブな HSM が含まれている必要があり、接続状態を FAILED にすることはできません。

接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続ステータスを確認するには、DescribeCustomKeyStores オペレーションを使用します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされているすべてのプログラミング言語を使用できます。

カスタムキーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの [カスタムキーストア] ページまたは DescribeCustomKeyStores オペレーションを使用して見つけることができます。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

カスタムキーストアが接続されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTEDConnectionState 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

ConnectionState 値が [FAILED] の場合、ConnectionErrorCode 要素が失敗の原因を示します。この場合、 AWS KMS が見つかりませんでした AWS CloudHSM クラスタIDを持つアカウント内のクラスタ cluster-1a23b4cdefg。 クラスタを削除した場合、 バックアップからリストアする 元のクラスタの クラスタIDの編集 カスタムキーストア用。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" "ConnectionErrorCode": "CLUSTER_NOT_FOUND" ], }

次に、。 作成 CMKs カスタムキーストアで.

カスタムキーストアを切断する (コンソール)

AWS マネジメントコンソール でカスタムキーストアを切断するには、最初に [カスタムキーストア] ページからカスタムキーストアを選択します。

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores (カスタムキーストア)] を選択します。

  4. 切断するカスタムキーストアを選択します。

  5. [Key store actions (キーストアのアクション)] メニューで、[Disconnect custom key store (カスタムキーストアの切断)] を選択します。

オペレーションが完了すると、接続状態が [DISCONNECTING] から [DISCONNECTED] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

カスタムキーストアを切断する (API)

カスタムキーストアを切断するには、DisconnectCustomKeyStore オペレーションを使用します。オペレーションが成功すると、AWS KMS は HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされているすべてのプログラミング言語を使用できます。

この例では、カスタムキーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

カスタムキーストアが切断されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。DISCONNECTEDConnectionState 値は、カスタムキーストアが AWS CloudHSM クラスターから切断されていることを示します。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>" ], }