キーマテリアルをインポートするステップ 1: キーマテリアルなしで AWS KMS key を作成する - AWS Key Management Service
キーマテリアルなしで KMS キーを作成する (コンソール)キーマテリアルなしで KMS キーを作成する (AWS KMS API)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーマテリアルをインポートするステップ 1: キーマテリアルなしで AWS KMS key を作成する

デフォルトでは、KMS キーの作成時に AWS KMS がキーマテリアルを作成します。代わりに独自のキーマテリアルをインポートするには、最初にキーマテリアルなしで KMS キーを作成します。そして、キーマテリアルをインポートします。キーマテリアルなしで KMS キーを作成するには、 AWS KMS コンソールまたは CreateKeyオペレーションを使用します。

キーマテリアルなしでキーを作成するには、オリジンとして EXTERNAL を指定します。KMS キーのオリジンプロパティは変更不可です。いったん作成すると、インポートしたキーマテリアル用に設計された KMS キーを、AWS KMS または他のソースからキーマテリアルを含む KMS キーに変換することはできません。

EXTERNAL オリジンを持つ KMS キーのキーステータスであり、PendingImport であるキーマテリアルはありません。KMS キーは、無期限に PendingImport 状態を維持できます。ただし、暗号化オペレーションでは PendingImport 状態で KMS キーを使用することはできません。キーマテリアルをインポートすると、KMS キーのキーステータスが Enabled に変わり、暗号オペレーションで使用できるようになります。

AWS KMS は、KMS キー を作成しパブリックキー とインポートトークン をダウンロードし、キーマテリアル をインポートするときに、AWS CloudTrailログにイベントを記録します。 は、インポートされたキーマテリアルを削除するとき、または が期限切れのキーマテリアル AWS KMS を削除するときにAWS KMSも CloudTrail イベントを記録します。 DeleteExpiredKeyMaterial

インポートしたキーマテリアルでマルチリージョンキーを作成する方法の詳細については、キーマテリアルをマルチリージョンキーにインポートする を参照してください。

キーマテリアルなしで KMS キーを作成する (コンソール)

インポートされたキーマテリアルの KMS キーを 1 回作成する必要があるだけです。同じキーマテリアルを既存の KMS キーに必要な回数だけインポートおよび再インポートできますが、1 つの KMS キーに別のキーマテリアルをインポートすることはできません。詳細については、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」を参照してください。

キーマテリアルがインポートされた既存の KMS キーを、[Customer managed keys] (カスタマーマネージドキー) テーブルで検索するには、右上隅にある歯車アイコンを使用して、KMS キーのリストの [Origin] (オリジン) 列を表示します。インポートされたキーの Origin 値は EXTERNAL (キーマテリアルのインポート) です。

キーマテリアルがインポートされた KMS キーを作成するには、まず基本的な手順に従って、目的のキータイプの KMS キーを作成します。ただし、次の例外があります。

キーの使用方法を選択したら、次の操作を行います。

  1. [詳細オプション] を展開します。

  2. [キーマテリアルのオリジン] で、[EXTERNAL (キーマテリアルのインポート)] を選択します。

  3. インポートされたキーマテリアルの使用による影響について理解したことを示すため、[インポートされたキーの使用によるセキュリティと耐久性への影響について理解しました] の隣にあるチェックボックスをオンにします。これらの意味については、「インポートされたキーマテリアルの保護」を参照してください。

  4. 基本的な手順に戻ります。基本的な手順の残りのステップは、そのタイプの KMS キーについてすべて同じです。

[完了] を選択すると、キーマテリアルがなく、ステータス (キーステータス) が [インポート保留中] の KMS キーが作成されたことになります。

ただし、[カスタマー管理型のキー] テーブルに戻るのではなく、コンソールには、キーマテリアルのインポートに必要なパブリックキーとインポートトークンをダウンロードできるページが表示されます。ここでダウンロードのステップを続行することも、[キャンセル] を選択してこの時点で停止することもできます。いつでもこのダウンロードのステップに戻ることができます。

次の手順: ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード

キーマテリアルなしで KMS キーを作成する (AWS KMS API)

AWS KMS API を使用して、キーマテリアルなしで対称暗号化 KMS キーを作成するには、 Originパラメータを に設定して CreateKeyリクエストを送信しますEXTERNAL。次の例では、AWS Command Line Interface (AWS CLI) を使用してこのオペレーションを行う方法を示します。

$ aws kms create-key --origin EXTERNAL

コマンドが成功した場合は、以下のような出力が表示されます。AWS KMS キーの OriginEXTERNAL、その KeyStatePendingImport です。

ヒント

コマンドが成功しない場合は、KMSInvalidStateException または NotFoundException が表示されることがあります。リクエストは再試行できます。

{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

後のステップで使用するために、コマンド出力からの KeyId 値をコピーしてから、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」に進みます。

注記

このコマンドは、SYMMETRIC_DEFAULT の KeySpec およびENCRYPT_DECRYPT の KeyUsage を含む対称暗号化 KMS キーを作成します。オプションのパラメータ --key-spec--key-usage を使用して、非対称 KMS キーまたは HMAC KMS キーを作成できます。詳細については、CreateKey オペレーションを参照してください。