カスタムキーストアの接続および切断 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムキーストアの接続および切断

新しいカスタムキーストアが接続されていません。カスタムキーストアでカスタマーマスターキー (CMK) を作成して使用する前に、関連付け済み AWS CloudHSM クラスターに接続する必要があります。カスタムキーストアはいつでも接続および切断でき、接続ステータスを表示できます

カスタムキーストアを接続する必要はありません。カスタムキーストアを無期限に切断された状態のままにしておき、使用する必要がある場合にのみ接続できます。ただし、定期的に接続をテストして、接続が正しく接続できることを確認するとよいでしょう。

注記

カスタムキーストアにはDISCONNECTEDステータスは、キーストアが一度も接続されていないか、明示的に接続解除した場合にのみ発生します。カスタムキーストアのステータスがCONNECTED使用に問題がある場合は、その関連するAWS CloudHSMクラスタがアクティブで、少なくとも 1 つのアクティブな HSM が含まれています。接続エラーに関するヘルプについては、カスタムキーストアのトラブルシューティング

カスタムキーストアの接続

カスタムキーストアを接続すると、AWS KMSは、関連するAWS CloudHSMクラスタに接続し、クラスタに接続してAWS CloudHSMクライアントをkmsuser の暗号化ユーザー(CU) を変換し、kmsuserパスワードを入力します。AWS KMSログインしたままAWS CloudHSMカスタムキーストアが接続されている限り、クライアントを使用します。

接続を確立するにはAWS KMSの作成セキュリティグループ名前付きkms-<custom key store ID>クラスターの仮想プライベートクラウド (VPC) での セキュリティグループには、クラスターセキュリティグループからのインバウンドトラフィックを許可する単一のルールがあります。AWS KMS は、クラスターのプライベートサブネットの各アベイラビリティーゾーンに Elastic Network Interface (ENI) を作成します。AWS KMS は kms-<cluster ID> セキュリティグループとクラスターのセキュリティグループに ENI を追加します。各 ENI の説明は KMS managed ENI for cluster <cluster-ID> です。

接続プロセスは、完了するまでに長い時間 (最長 20 分) がかかる場合があります。

カスタムキーストアを接続する前に、要件を満たしているかどうかを確認します。

  • 関連付け済みの AWS CloudHSM クラスターに少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内の HSM の数を確認するには、AWS CloudHSM コンソールでクラスターを表示するか DescribeClusters オペレーションを使用します。必要に応じて、 HSM を追加できます

  • クラスターには、kmsuser 暗号化ユーザー (CU) アカウントが必要ですが、カスタムキーストアを接続すると、その CU はクラスターにログインできません。ログアウトのヘルプについては、「ログアウトして再接続する方法」を参照してください。

  • カスタムキーストアの接続ステータスは、DISCONNECTING または FAILED にすることはできません。コンソールで接続ステータスを表示するDescribeCustomKeyStores オペレーションを使用できます。接続ステータスが FAILED である場合、カスタムキーストアを切断してから接続します。

カスタムキーストアが接続されている場合、そこで CMK を作成し、暗号化オペレーションで既存の CMK を使用できます。

カスタムキーストアの切断

カスタムキーストアを切断すると、AWS KMS が AWS CloudHSM クライアントからログアウトし、関連付け済みの AWS CloudHSM クラスターから切断して、接続をサポートするために作成したネットワークインフラストラクチャを削除します。

カスタムキーストアが切断されている場合、カスタムキーストアとカスタマーマスターキー (CMK) を管理することはできますが、カスタムキーストアで CMK を作成または使用することはできません。キーストアのステータスは DISCONNECTED で、カスタムキーストアの CMK のキーの状態は、PendingDeletion でない限り、Unavailable です。カスタムキーストアはいつでも再接続することができます。

注記

カスタムキーストアが切断されているときは、カスタムキーストアでカスタマーマスターキー (CMK) を作成したり、既存の CMK を暗号化オペレーションに使用しようとすると、すべて失敗します。この操作により、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

キーストアの切断の影響をより正確に推定するには、カスタムキーストアで CMK を識別し、その過去の使用方法を判断します。

カスタムキーストアは、次のような理由で切断する必要がある場合があります。

  • パスワードをローテーションkmsuserする。AWS KMS は AWS CloudHSM クラスターに接続するたびに kmsuser パスワードを変更します。パスワードローテーションを強制的に実行するには、切断して再接続します。

  • キー素材を監査するにはの CMK のAWS CloudHSMクラスター カスタムキーストアを切断すると、AWS KMSからログアウトするkmsusercrypto ユーザアカウントのAWS CloudHSMクライアント. これにより、クラスターに kmsuser CU としてログインし、CMK のキーマテリアルを監査および管理することができます。

  • カスタムキーストアですべての CMK を直ちに無効にするには。以下の操作を実行できます。CMK を無効化して CMK を再有効化するカスタムキーストアでAWS Management ConsoleまたはDisableKeyオペレーション. これらのオペレーションはすばやく完了しますが、一度に処理する CMK は 1 つです。切断すると、カスタムキーのすべての CMK のキー状態が直ちに Unavailable に変更され、暗号化オペレーションで使用できなくなります。

  • 失敗した接続試行を修復するには。カスタムキーストアを接続する試行が失敗した場合 (カスタムキーストアの接続ステータスが FAILED)、再度接続を試みる前にカスタムキーストアを切断する必要があります。

カスタムキーストアを接続する (コンソール)

AWS Management Console でカスタムキーストアを接続するには、最初に [カスタムキーストア] ページからカスタムキーストアを選択します。この処理の完了には、最大 20 分かかることがあります。

  1. にサインインします。AWS Management Console[(マテリアルマテリアル)AWS Key Management Service(AWS KMS) コンソールhttps://console.aws.amazon.com/kms

  2. を変更するにはAWSリージョンを使用するには、ページの右上隅にある [リージョンセレクター] を使用します。

  3. ナビゲーションペインで、[Custom key stores (カスタムキーストア)] を選択します。

  4. 接続するカスタムキーストアを選択します。

  5. カスタムキーストアのステータスが [FAILED] の場合、接続する前にカスタムキーストアを切断する必要があります。

  6. [Key store actions (キーストアのアクション)] メニューで、[Connect custom key store (カスタムキーストアの接続)] を選択します。

AWS KMS がカスタムキーストアを結合するプロセスを開始します。関連付け済みの AWS CloudHSM クラスターを見つけ、必要なネットワークインフラストラクチャを構築し、そのインフラストラクチャに接続し、AWS CloudHSM クラスターに kmsuser CU としてログインして、kmsuser パスワードをローテーションします。オペレーションが完了すると、接続状態が [CONNECTED] に変わります。

オペレーションが失敗すると、失敗の理由を説明するエラーメッセージが表示されます。再度接続を試みる前に、カスタムキーストアの接続ステータスを表示します。[FAILED] である場合、再度接続する 前にカスタムキーストアを切断する必要があります。ヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

次: カスタムキーストアでの CMK の作成

カスタムキーストアを接続する (API)

切断されたカスタムキーストアを接続するには、ConnectCustomKeyStore オペレーションを使用します。関連付け済みの AWS CloudHSM クラスターは、少なくとも 1 つのアクティブな HSM が含まれている必要があり、接続状態を FAILED にすることはできません。

接続プロセスは、完了するまでに長い時間 (最長 20 分) かかります。すぐに失敗しない限り、オペレーションは HTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。ただし、この初期レスポンスは接続に成功したことを示していません。カスタムキーストアの接続ステータスを確認するには、DescribeCustomKeyStores オペレーションを使用します。

このセクションの例ではAWS Command Line Interface(AWS CLI)ただし、サポートされている任意のプログラミング言語を使用できます。

カスタムキーストアを識別するには、カスタムキーストア ID を使用します。ID はコンソールの [カスタムキーストア] ページまたは DescribeCustomKeyStores オペレーションを使用して見つけることができます。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

カスタムキーストアが接続されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。CONNECTEDConnectionState 値は、カスタムキーストアがその AWS CloudHSM クラスターに接続されていることを示します。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

ConnectionState 値が [FAILED] の場合、ConnectionErrorCode 要素が失敗の原因を示します。この場合は、AWS KMS が、クラスター ID cluster-1a23b4cdefg のアカウントで AWS CloudHSM クラスターを見つけることができませんでした。クラスターを削除した場合、元のクラスターのバックアップから復元することができ、その後でカスタムキーストアのクラスター ID を編集できます。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" "ConnectionErrorCode": "CLUSTER_NOT_FOUND" ], }

次: カスタムキーストアでの CMK の作成

カスタムキーストアを切断する (コンソール)

AWS Management Console でカスタムキーストアを切断するには、最初に [カスタムキーストア] ページからカスタムキーストアを選択します。

  1. にサインインします。AWS Management Console[(マテリアルマテリアル)AWS Key Management Service(AWS KMS) コンソールhttps://console.aws.amazon.com/kms

  2. を変更するにはAWSリージョンを使用するには、ページの右上隅にある [リージョンセレクター] を使用します。

  3. ナビゲーションペインで、[Custom key stores (カスタムキーストア)] を選択します。

  4. 切断するカスタムキーストアを選択します。

  5. [Key store actions (キーストアのアクション)] メニューで、[Disconnect custom key store (カスタムキーストアの切断)] を選択します。

オペレーションが完了すると、接続状態が [DISCONNECTING] から [DISCONNECTED] に変わります。オペレーションが失敗した場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「」を参照してください カスタムキーストアのトラブルシューティング

カスタムキーストアを切断する (API)

カスタムキーストアを切断するには、DisconnectCustomKeyStoreオペレーション. オペレーションが成功した場合は、AWS KMSHTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。

このセクションの例ではAWS Command Line Interface(AWS CLI)ただし、サポートされている任意のプログラミング言語を使用できます。

この例では、カスタムキーストアを切断します。この例を実行する前に、例の ID を有効な ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

カスタムキーストアが切断されていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータ のどちらかを使用して (両方は使用できません) レスポンスを特定のカスタムキーストアに制限できます。DISCONNECTEDConnectionState 値は、カスタムキーストアが AWS CloudHSM クラスターから切断されていることを示します。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>" ], }