ステップ 1: キーマテリアルなしで AWS KMS key を作成する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: キーマテリアルなしで AWS KMS key を作成する

デフォルトでは、KMS キーの作成時に AWS KMS がキーマテリアルを作成します。代わりに独自のキーマテリアルをインポートするには、最初にキーマテリアルなしで KMS キーを作成します。そして、キーマテリアルをインポートします。キーマテリアルなしで KMS キーを作成するには、AWS KMS コンソールまたは CreateKey オペレーションを使用します。

キーマテリアルなしでキーを作成するには、オリジンとして EXTERNAL を指定します。KMS キーのオリジンプロパティは変更不可です。いったん作成すると、インポートしたキーマテリアル用に設計された KMS キーを、AWS KMS または他のソースからキーマテリアルを含む KMS キーに変換することはできません。

EXTERNAL オリジンを持つ KMS キーのキーステータスであり、PendingImport であるキーマテリアルはありません。KMS キーは、無期限に PendingImport 状態を維持できます。ただし、暗号化オペレーションでは PendingImport 状態で KMS キーを使用することはできません。キーマテリアルをインポートすると、KMS キーのキーステータスが Enabled に変わり、暗号オペレーションで使用できるようになります。

AWS KMS は、KMS キーの作成パブリックキーとインポートトークンのダウンロードキーマテリアルのインポートをする際に、AWS CloudTrail ログにイベントを記録します。AWS KMS も、インポートされたキーマテリアルの削除または AWS KMS が有効期限切れのキーマテリアルの削除をする際に、CloudTrail イベントを記録します。

キーマテリアルなしで KMS キーを作成する (コンソール)

インポートされたキーマテリアルの KMS キーを 1 回作成する必要があるだけです。同じキーマテリアルを既存の KMS キーに必要な回数だけインポートおよび再インポートできますが、1 つの KMS キーに別のキーマテリアルをインポートすることはできません。詳細については、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」を参照してください。

キーマテリアルがインポートされた既存の KMS キーを、[Customer managed keys] (カスタマーマネージドキー) テーブルで検索するには、右上隅にある歯車アイコンを使用して、KMS キーのリストの [Origin] (オリジン) 列を表示します。インポートされたキーの Origin 値は EXTERNAL (キーマテリアルのインポート) です。

インポートされたキーマテリアルを持つ KMS キーを作成するには、まず目的のキータイプの KMS  キー作成手順に従ってください。ただし、以下の例外事項があります。

キーの使用方法を選択したら、次の操作を行います。

  1. [詳細オプション] を展開します。

  2. [キーマテリアルのオリジン] で、[EXTERNAL (キーマテリアルのインポート)] を選択します。

  3. インポートされたキーマテリアルの使用による影響について理解したことを示すため、[インポートされたキーの使用によるセキュリティと耐久性への影響について理解しました] の隣にあるチェックボックスをオンにします。これらの意味については、「インポートされたキーマテリアルの保護」を参照してください。

  4. オプション: インポートされたキーマテリアルを持つ マルチリージョン KMS キー を作成するには、[リージョナリティ][マルチリージョンキー] を選択します。

  5. 基本的な手順に戻ります。基本的な手順の残りのステップは、そのタイプの KMS キーについてすべて同じです。

[完了] を選択すると、キーマテリアルがなく、ステータス (キーステータス) が [インポート保留中] の KMS キーが作成されたことになります。

ただし、[カスタマー管理型のキー] テーブルに戻るのではなく、コンソールには、キーマテリアルのインポートに必要なパブリックキーとインポートトークンをダウンロードできるページが表示されます。ここでダウンロードのステップを続行することも、[キャンセル] を選択してこの時点で停止することもできます。いつでもこのダウンロードのステップに戻ることができます。

次の手順: ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード

キーマテリアルなしで KMS キーを作成する (AWS KMS API)

AWS KMS API を使用してキーマテリアルを持たない対称暗号化 KMS キーを作成するには、Origin パラメータが EXTERNAL に設定された CreateKey リクエストを送信します。次の例では、AWS Command Line Interface (AWS CLI) を使用してこのオペレーションを行う方法を示します。

$ aws kms create-key --origin EXTERNAL

コマンドが成功した場合は、以下のような出力が表示されます。AWS KMS キーの OriginEXTERNAL、その KeyStatePendingImport です。

ヒント

コマンドが成功しない場合は、KMSInvalidStateException または NotFoundException が表示されることがあります。リクエストは再試行できます。

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

後のステップで使用するために、コマンド出力からの KeyId 値をコピーしてから、「ステップ 2: ラップパブリックキーおよびインポートトークンのダウンロード」に進みます。

注記

このコマンドは、SYMMETRIC_DEFAULT の KeySpec およびENCRYPT_DECRYPT の KeyUsage を含む対称暗号化 KMS キーを作成します。オプションのパラメータ --key-spec--key-usage を使用して、非対称 KMS キーまたは HMAC KMS キーを作成できます。詳細については、CreateKey オペレーションを参照してください。