翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーマテリアルをインポートするステップ 1: キーマテリアルなしで AWS KMS key を作成する
デフォルトでは、KMS キーの作成時に AWS KMS がキーマテリアルを作成します。代わりに独自のキーマテリアルをインポートするには、最初にキーマテリアルなしで KMS キーを作成します。そして、キーマテリアルをインポートします。キーマテリアルなしで KMS キーを作成するには、 AWS KMS コンソールまたは CreateKeyオペレーションを使用します。
キーマテリアルなしでキーを作成するには、オリジンとして EXTERNAL
を指定します。KMS キーのオリジンプロパティは変更不可です。いったん作成すると、インポートしたキーマテリアル用に設計された KMS キーを、AWS KMS または他のソースからキーマテリアルを含む KMS キーに変換することはできません。
EXTERNAL
オリジンを持つ KMS キーのキーステータスであり、PendingImport
であるキーマテリアルはありません。KMS キーは、無期限に PendingImport
状態を維持できます。ただし、暗号化オペレーションでは PendingImport
状態で KMS キーを使用することはできません。キーマテリアルをインポートすると、KMS キーのキーステータスが Enabled
に変わり、暗号オペレーションで使用できるようになります。
AWS KMS は、KMS キー を作成し、パブリックキー とインポートトークン をダウンロードし、キーマテリアル をインポートするときに、AWS CloudTrailログにイベントを記録します。 は、インポートされたキーマテリアルを削除するとき、または が期限切れのキーマテリアル AWS KMS を削除するときにAWS KMSも CloudTrail イベントを記録します。 DeleteExpiredKeyMaterial
インポートしたキーマテリアルでマルチリージョンキーを作成する方法の詳細については、キーマテリアルをマルチリージョンキーにインポートする を参照してください。
キーマテリアルなしで KMS キーを作成する (コンソール)
インポートされたキーマテリアルの KMS キーを 1 回作成する必要があるだけです。同じキーマテリアルを既存の KMS キーに必要な回数だけインポートおよび再インポートできますが、1 つの KMS キーに別のキーマテリアルをインポートすることはできません。詳細については、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」を参照してください。
キーマテリアルがインポートされた既存の KMS キーを、[Customer managed keys] (カスタマーマネージドキー) テーブルで検索するには、右上隅にある歯車アイコンを使用して、KMS キーのリストの [Origin] (オリジン) 列を表示します。インポートされたキーの Origin 値は EXTERNAL (キーマテリアルのインポート) です。
キーマテリアルがインポートされた KMS キーを作成するには、まず基本的な手順に従って、目的のキータイプの KMS キーを作成します。ただし、次の例外があります。
キーの使用方法を選択したら、次の操作を行います。
-
[詳細オプション] を展開します。
-
[キーマテリアルのオリジン] で、[EXTERNAL (キーマテリアルのインポート)] を選択します。
-
インポートされたキーマテリアルの使用による影響について理解したことを示すため、[インポートされたキーの使用によるセキュリティと耐久性への影響について理解しました] の隣にあるチェックボックスをオンにします。これらの意味については、「インポートされたキーマテリアルの保護」を参照してください。
-
基本的な手順に戻ります。基本的な手順の残りのステップは、そのタイプの KMS キーについてすべて同じです。
[完了] を選択すると、キーマテリアルがなく、ステータス (キーステータス) が [インポート保留中] の KMS キーが作成されたことになります。
ただし、[カスタマー管理型のキー] テーブルに戻るのではなく、コンソールには、キーマテリアルのインポートに必要なパブリックキーとインポートトークンをダウンロードできるページが表示されます。ここでダウンロードのステップを続行することも、[キャンセル] を選択してこの時点で停止することもできます。いつでもこのダウンロードのステップに戻ることができます。
次の手順: ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード
キーマテリアルなしで KMS キーを作成する (AWS KMS API)
AWS KMS API を使用して、キーマテリアルなしで対称暗号化 KMS キーを作成するには、 Origin
パラメータを に設定して CreateKeyリクエストを送信しますEXTERNAL
。次の例では、AWS Command Line Interface (AWS CLI)
$
aws kms create-key --origin EXTERNAL
コマンドが成功した場合は、以下のような出力が表示されます。AWS KMS キーの Origin
は EXTERNAL
、その KeyState
は PendingImport
です。
ヒント
コマンドが成功しない場合は、KMSInvalidStateException
または NotFoundException
が表示されることがあります。リクエストは再試行できます。
{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
後のステップで使用するために、コマンド出力からの KeyId
値をコピーしてから、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」に進みます。
注記
このコマンドは、SYMMETRIC_DEFAULT
の KeySpec
およびENCRYPT_DECRYPT
の KeyUsage
を含む対称暗号化 KMS キーを作成します。オプションのパラメータ --key-spec
と --key-usage
を使用して、非対称 KMS キーまたは HMAC KMS キーを作成できます。詳細については、CreateKey オペレーションを参照してください。