翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 1: キーマテリアルなしで AWS KMS key を作成する
デフォルトでは、KMS キーの作成時に AWS KMS がキーマテリアルを作成します。代わりに独自のキーマテリアルをインポートするには、最初にキーマテリアルなしで KMS キーを作成します。そして、キーマテリアルをインポートします。キーマテリアルなしで KMS キーを作成するには、AWS KMS コンソールまたは CreateKey オペレーションを使用します。
キーマテリアルなしでキーを作成するには、オリジンとして EXTERNAL
を指定します。KMS キーのオリジンプロパティは変更不可です。いったん作成すると、インポートしたキーマテリアル用に設計された KMS キーを、AWS KMS または他のソースからキーマテリアルを含む KMS キーに変換することはできません。
EXTERNAL
オリジンを持つ KMS キーのキーステータスであり、PendingImport
であるキーマテリアルはありません。KMS キーは、無期限に PendingImport
状態を維持できます。ただし、暗号化オペレーションでは PendingImport
状態で KMS キーを使用することはできません。キーマテリアルをインポートすると、KMS キーのキーステータスが Enabled
に変わり、暗号オペレーションで使用できるようになります。
AWS KMS は、KMS キーの作成、パブリックキーとインポートトークンのダウンロード、キーマテリアルのインポートをする際に、AWS CloudTrail ログにイベントを記録します。AWS KMS も、インポートされたキーマテリアルの削除または AWS KMS が有効期限切れのキーマテリアルの削除をする際に、CloudTrail イベントを記録します。
キーマテリアルなしで KMS キーを作成する (コンソール)
インポートされたキーマテリアルの KMS キーを 1 回作成する必要があるだけです。同じキーマテリアルを既存の KMS キーに必要な回数だけインポートおよび再インポートできますが、1 つの KMS キーに別のキーマテリアルをインポートすることはできません。詳細については、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」を参照してください。
キーマテリアルがインポートされた既存の KMS キーを、[Customer managed keys] (カスタマーマネージドキー) テーブルで検索するには、右上隅にある歯車アイコンを使用して、KMS キーのリストの [Origin] (オリジン) 列を表示します。インポートされたキーの Origin 値は EXTERNAL (キーマテリアルのインポート) です。
インポートされたキーマテリアルを持つ KMS キーを作成するには、まず目的のキータイプの KMS キー作成手順に従ってください。ただし、以下の例外事項があります。
キーの使用方法を選択したら、次の操作を行います。
-
[詳細オプション] を展開します。
-
[キーマテリアルのオリジン] で、[EXTERNAL (キーマテリアルのインポート)] を選択します。
-
インポートされたキーマテリアルの使用による影響について理解したことを示すため、[インポートされたキーの使用によるセキュリティと耐久性への影響について理解しました] の隣にあるチェックボックスをオンにします。これらの意味については、「インポートされたキーマテリアルの保護」を参照してください。
-
オプション: インポートされたキーマテリアルを持つ マルチリージョン KMS キー を作成するには、[リージョナリティ] で [マルチリージョンキー] を選択します。
-
基本的な手順に戻ります。基本的な手順の残りのステップは、そのタイプの KMS キーについてすべて同じです。
[完了] を選択すると、キーマテリアルがなく、ステータス (キーステータス) が [インポート保留中] の KMS キーが作成されたことになります。
ただし、[カスタマー管理型のキー] テーブルに戻るのではなく、コンソールには、キーマテリアルのインポートに必要なパブリックキーとインポートトークンをダウンロードできるページが表示されます。ここでダウンロードのステップを続行することも、[キャンセル] を選択してこの時点で停止することもできます。いつでもこのダウンロードのステップに戻ることができます。
次の手順: ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード
キーマテリアルなしで KMS キーを作成する (AWS KMS API)
AWS KMS API を使用してキーマテリアルを持たない対称暗号化 KMS キーを作成するには、Origin
パラメータが EXTERNAL
に設定された CreateKey リクエストを送信します。次の例では、AWS Command Line Interface (AWS CLI)
$
aws kms create-key --origin EXTERNAL
コマンドが成功した場合は、以下のような出力が表示されます。AWS KMS キーの Origin
は EXTERNAL
、その KeyState
は PendingImport
です。
ヒント
コマンドが成功しない場合は、KMSInvalidStateException
または NotFoundException
が表示されることがあります。リクエストは再試行できます。
{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
後のステップで使用するために、コマンド出力からの KeyId
値をコピーしてから、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」に進みます。
注記
このコマンドは、SYMMETRIC_DEFAULT
の KeySpec
およびENCRYPT_DECRYPT
の KeyUsage
を含む対称暗号化 KMS キーを作成します。オプションのパラメータ --key-spec
と --key-usage
を使用して、非対称 KMS キーまたは HMAC KMS キーを作成できます。詳細については、CreateKey オペレーションを参照してください。