キーマテリアルのインポート ステップ 4: キーマテリアルのインポート - AWS Key Management Service

キーマテリアルのインポート ステップ 4: キーマテリアルのインポート

キーマテリアルを暗号化すると、キーマテリアルをインポートして AWS KMS key で使用できます。キーマテリアルをインポートするには、ステップ 3: キーマテリアルを暗号化する から暗号化されたキーマテリアルと、ステップ 2: パブリックキーおよびインポートトークンのダウンロード でダウンロードしたインポートトークンをアップロードします。公開キーとインポートトークンをダウンロードしたときに指定したものと同じ KMS キーに、キーマテリアルをインポートする必要があります。

キーマテリアルをインポートする場合、オプションでキーマテリアルが有効期限切れになる時間を指定することができます。キーマテリアルが有効期限切れになると、AWS KMS はキーマテリアルを削除し、KMS キーは使用不可能になります。KMS キーを再度使用するには、キーマテリアルを再インポートする必要があります。

キーマテリアルが正常にインポートされると、KMS キーのキーステータスが有効に変更され、KMS キーを使用できます。

AWS Management Console または AWS KMS API を使用して、キーマテリアルをインポートできます。HTTP リクエストを作成することにより、または AWS SDKsAWS Command Line Interface または AWS Tools for PowerShell を使用することにより、直接 API を使用できます。

キーマテリアルをインポートすると、ImportKeyMaterial エントリが AWS CloudTrail ログに追加され、ImportKeyMaterial オペレーションを記録します。CloudTrail エントリは、AWS KMS コンソールまたは AWS KMS API のどちらを使用する場合でも同じです。

キーマテリアルのインポート (コンソール)

AWS Management Console を使用して、キーマテリアルをインポートできます。

  1. [ラップキーとインポートトークンのダウンロード] ページが表示されている場合は、「ステップ 8」に進みます。

  2. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  3. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  4. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

  5. 公開キーとインポートトークンをダウンロードした KMS キーの、キー ID またはエイリアスを選択します。

  6. [ 暗号構成 ] タブを選択し、その値を表示します。タブは、KMS キーの詳細ページの一般設定セクションにあります。

    [Symmetric] (対称) の [Key type] (キータイプ) および EXTERNAL の [Origin] (オリジン) で、キーマテリアルのみを KMS キーにインポートできます。インポートされたキーマテリアルで KMS キーを作成する方法の詳細については、AWS KMS キーにキーマテリアルをインポートする を参照してください。

  7. [ キー素材 ] タブを選択し、[ キー素材をアップロード] を選択します。

    キーマテリアルタブは、キータイプ対称で、オリジンの値が EXTERNAL の KMS キーに対してのみ表示されます。

  8. [Encrypted key material and import token (暗号化されたキーマテリアルとインポートトークン)] セクションの [Wrapped key material (ラップされたキーマテリアル)] で、[ファイルの選択] を選択します。次に、ラップされた (暗号化された) キーマテリアルを含むファイルをアップロードします。

  9. [Encrypted key material and import token (暗号化されたキーマテリアルとインポートトークン)] セクションの [インポートトークン] で、[ファイルの選択] を選択します。ダウンロードしたインポートトークンを含むファイルをアップロードします。

  10. [有効期限オプション] セクションで、キーマテリアルの有効期限が切れているかどうかを判断します。有効期限の日時を設定するには、[キーマテリアルの有効期限] を選択し、カレンダーを使用して日付と時刻を選択します。

  11. [完了] または [キーマテリアルのアップロード] を選択します。

キーマテリアルをインポートする (AWS KMS API)

AWS KMS API を使用してキーマテリアルをインポートするには、ImportKeyMaterial リクエストを送信します。次の例では、AWS CLI を使用してこのオペレーションを行う方法を示します。

この例では、キーマテリアルの有効期限を指定しています。有効期限のないキーマテリアルをインポートするには、KEY_MATERIAL_EXPIRESKEY_MATERIAL_DOES_NOT_EXPIRE と置き換え、--valid-to パラメータを除外します。

この例を使用するには:

  1. 1234abcd-12ab-34cd-56ef-1234567890ab を、公開キーとインポートトークンをダウンロードしたときに使用した KMS キーのキー ID と置き換えます。KMS キーを識別するには、その キー ID または ARN を使用します。このオペレーションにエイリアスを使用することはできません。

  2. EncryptedKeyMaterial.bin を、暗号化されたキーマテリアルを含むファイル名に置き換えます。

  3. ImportToken.bin を、インポートトークンを含むファイル名に置き換えます。

$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2019-09-17T12:00:00-08:00