翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インポートされたキーマテリアルの管理
以下のトピックでは、キーマテリアルを KMS キーにインポートおよび再インポートする方法と、インポートされたキーマテリアルを自動的に有効期限が切れるように作成する方法について説明します。
トピック
キーマテリアルのインポートの概要
次に、 AWS KMSにキーマテリアルをインポートする手順の概要を説明します。この手順の各ステップの詳細については、該当するトピックを参照してください。
-
キーマテリアルなしで KMS キーを作成 – オリジンは
EXTERNAL
である必要があります。のキーオリジンは、キーがインポートされたキーマテリアル用に設計されていることEXTERNAL
を示し、 が KMS キーのキーマテリアルを生成 AWS KMS できないようにします。後のステップで、この KMS キーに独自のキーマテリアルをインポートします。インポートするキーマテリアルは、関連付けられたキーの AWS KMS キー仕様と互換性がある必要があります。互換性の詳細については、「インポートされたキーマテリアルの要件」を参照してください。
-
ラッピングパブリックキーとインポートトークンをダウンロード – ステップ 1 を完了した後、ラッピングパブリックキーとインポートトークンをダウンロードします。これらの項目は、キーマテリアルが にインポートされている間、キーマテリアルを保護します AWS KMS。
このステップでは、RSA ラッピングキーのタイプ (「キー仕様」) と、 AWS KMSへの転送中のデータの暗号化に使用するラッピングアルゴリズムを選択します。同じキーマテリアルをインポートまたは再インポートするたびに、異なるラッピングキー仕様とラッピングキーアルゴリズムを選択できます。
-
キーマテリアルを暗号化 – ステップ 2 でダウンロードしたラッピングパブリックキーを使用して、独自のシステムで作成したキーマテリアルを暗号化します。
-
キーマテリアルのインポート — 手順 3 で作成した暗号化されたキーマテリアルと、手順 2 でダウンロードしたインポートトークンをアップロードします。
この段階で、オプションの有効期限を設定できます。インポートされたキーマテリアルの有効期限が切れると、 はそれ AWS KMS を削除し、KMS キーは使用できなくなります。この KMS キーを再度使えるようにするには、同じキーマテリアルを再インポートする必要があります。
インポートオペレーションが正常に完了すると、KMS キーのキーステータスは
PendingImport
からEnabled
に変化します。これで、KMS キーを暗号化オペレーションで使用できます。
AWS KMS は、KMS キー を作成し、ラッピングパブリックキー とインポートトークン をダウンロードし、キーマテリアル をインポートするときに、 AWS CloudTrail ログにエントリを記録します。 は、インポートされたキーマテリアル を削除するとき、または AWS KMS 期限切れのキーマテリアル を削除するときに、エントリ AWS KMS も記録します。 ImportKeyMaterial
キーマテリアルの再インポート
キーマテリアルがインポートされた KMS キーを管理する場合、キーマテリアルを再インポートしなければならない場合があります。キーマテリアルを再インポートして、有効期限の切れるキーマテリアルまたは削除されたキーマテリアルを置き換えるか、キーマテリアルの有効期限モデルまたは有効期限を変更することもできます。
KMS キーにキーマテリアルをインポートすると、KMS キーはキーマテリアルに永続的に関連付けられます。同じキーマテリアルを再インポートすることはできますが、別のキーマテリアルをその KMS キーにインポートすることはできません。キーマテリアルのローテーションはできません。 AWS KMS は、キーマテリアルがインポートされた KMS キー用のキーマテリアルを作成できません。
キーマテリアルは、スケジュールがセキュリティ要件を満たしていれば、いつでも再インポートできます。キーマテリアルが有効期限に達するかそれに近づくのを待つ必要はありません。
キーマテリアルを再インポートするには、次のような例外を除いて、最初にキーマテリアルのインポートに使用したのと同じ手順を使用します。
-
新しい KMS キーを作成する代わりに、既存の KMS キーを使用します。インポートの手順のステップ 1 はスキップできます。
-
キーマテリアルを再インポートするときに、有効期限モデルと有効期限を変更することができます。
KMS キーにキーマテリアルをインポートするたびに、KMS キーの新しいラップキーおよびインポートトークンをダウンロードして使用する必要があります。このラッピングの手順は、キーマテリアルの内容には影響しません。そのため、異なるラッピングキーおよび異なるラッピングアルゴリズムを使用して同じキーマテリアルをインポートできます。
インポートされたキーマテリアルを含む KMS キーの識別
キーマテリアルなしで KMS キーを作成する場合、KMS キーの Origin プロパティの値は EXTERNAL
であり、変更することはできません。キーステータスと違って、Origin
の値は、キーマテリアルの有無に依存しません。
EXTERNAL
オリジン値を使用して、インポートされたキーマテリアル用に設計された KMS キーを識別することができます。キーオリジンは、 AWS KMS コンソールで、または DescribeKeyオペレーションを使用して確認できます。コンソールまたは API を使用して、有効期限が切れるかどうか、いつ失効するかなどの、キーマテリアルのプロパティを表示することもできます。
インポートされたキーマテリアルで KMS キーを識別するには (コンソール)
-
https://console.aws.amazon.com/kms
で AWS KMS コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
次のいずれかの方法を使用して、KMS キーの
Origin
プロパティを表示します。-
KMS キーテーブルに [Origin] (オリジン) 列を追加するには、右上隅の、[Settings] (設定) アイコンを選択します。[Origin] (オリジン)、[Confirm] (確認) の順に選択します。[オリジン] 列によって、EXTERNAL (キーマテリアルのインポート) のオリジンプロパティ値を持つ KMS キーを簡単に識別できます。
-
特定の KMS キーの
Origin
プロパティ値を検索するには、KMS キーのキー ID またはエイリアスを選択します。次に、[Cryptographic configuration] (暗号の設定) タブを選択します。これらのタブは、[General configuration] (一般設定) セクションの下にあります。
-
-
キーマテリアルに関する詳細情報を表示するには、[Key material] (キーマテリアル) タブを選択します。このタブは、インポートされたキーマテリアルを持つ KMS キーのみの詳細ページに表示されます。
インポートされたキーマテリアルを持つ KMS キーを識別するには (AWS KMS API)
DescribeKey 操作を使用します。レスポンスには、次の例に示すように KMS キーの Origin
プロパティ、有効期限モデル、有効期限日が含まれます。
$
aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{ "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Origin": "EXTERNAL", "ExpirationModel": "KEY_MATERIAL_EXPIRES" "ValidTo": 2023-06-05T12:00:00+00:00, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": 2018-06-09T00:06:50.831000+00:00, "Enabled": false, "MultiRegion": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
インポートされたキーマテリアルの有効期限に関する CloudWatch アラームの作成
KMS キーにインポートされたキーマテリアルの有効期限が近づいたときに通知する CloudWatch アラームを作成できます。例えば、有効期限が 30 日未満になるとアラームが通知します。
キーマテリアルを KMS キーにインポートすると、キーマテリアルの有効期限の日時を任意で指定することができます。キーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除し、KMS キーは使用できなくなります。KMS キーを再度使用するには、キーマテリアルを再インポートする必要があります。ただし、有効期限が切れる前にキーマテリアルを再インポートすると、その KMS キーを使用するプロセスが中断されるのを防ぐことができます。
このアラームは、インポートされたキーマテリアルの有効期限が切れる KMS キー CloudWatch に対して が に AWS KMS 発行する SecondsUntilKeyMaterialExpiresメトリクスを使用します。各アラームはこのメトリクスを使用して、特定の KMS キーのインポートされたキーマテリアルを監視します。キーマテリアルの有効期限が近づいているすべての KMS キーに対して単一のアラームを作成したり、将来作成する可能性のある KMS キーに対してアラームを作成したりすることはできません。
要件
インポートされたキーマテリアルの有効期限を監視する CloudWatch アラームには、次のリソースが必要です。
-
有効期限が切れる、インポートされたキーマテリアルを含む KMS キー。ヘルプについては、「インポートされたキーマテリアルを含む KMS キーの識別」を参照してください。
-
Amazon SNS トピック 詳細については、Amazon SNS トピックの作成 CloudWatch 」を参照してください。
アラームの作成
以下の必須値を使用して、「静的しきい値に基づいて CloudWatch アラームを作成する」の手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
フィールド | 値 |
---|---|
メトリクスの選択 |
[KMS] を選択し、次に [キーごとのメトリクス] を選択します。 KMS キーと メトリクスリストには、インポートされたキーマテリアルが有効期限切れになっている KMS キーの |
統計) | 最小値 |
[Period] (期間) | 1 分 |
しきい値タイプ | 静的 |
Whenever ..。 | メトリクス名 が 1 より大きい場合は必ず |
インポートされたキーマテリアルの削除
インポートされたキーマテリアルは、KMS キーからいつでも削除できます。また、インポートされたキーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除します。どちらの場合も、キーマテリアルが削除されると、KMS キーのキーステータスがインポート保留中に変わり、同じキーマテリアルを再インポートするまで、KMS キーを暗号化オペレーションで使用することはできません。(別のキーマテリアルを KMS キーにインポートすることはできません)。
KMS キーの無効化とアクセス許可の取り消しに加えて、キーマテリアルの削除は、KMS キーの使用をすぐに、しかし一時的に停止する戦略として使用できます。これとは対照的に、キーマテリアルがインポートされた KMS キーの削除をスケジュールすることでも、KMS キーの使用をすぐに停止できます。ただし、待機期間中に削除をキャンセルしないと、KMS キー、キーマテリアル、およびすべてのキーメタデータは完全に削除されます。詳細については、「キーマテリアルがインポートされた KMS キーの削除」を参照してください。
キーマテリアルを削除するには、 AWS KMS コンソールまたは DeleteImportedKeyMaterial API operation. AWS KMS records を使用して、インポートされたキーマテリアルを削除するとき、および がAWS KMS 期限切れのキーマテリアル を削除するときに、 AWS CloudTrail ログにエントリを記録します。
キーマテリアルの削除が AWS サービスに与える影響
キーマテリアルを削除すると、キーマテリアルを持たない KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は に影響し AWS のサービス、その多くはデータキーを使用してリソースを保護します。詳細については、「使用できないKMSキーがデータキーに与える影響」を参照してください。
キー資料の削除 (コンソール)
を使用してキーマテリアル AWS Management Console を削除できます。
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/kms
で AWS Key Management Service (AWS KMS) コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
次のいずれかを行います。
-
キーマテリアルがインポートされた KMS キーのチェックボックスをオンにします。[キーのアクション]、[キーマテリアルの削除] を選択します。
-
キーマテリアルがインポートされた KMS キーのエイリアスまたはキー ID を選択します。[ キーマテリアル ] タブを選択し、[ キーマテリアルを削除] を選択します。
-
-
キーマテリアルを削除することを確認してから、[キーマテリアルの削除] を選択します。KMS キーのステータスに対応するそのキーステータスは、インポート保留中に変わります。
キーマテリアルの削除 (AWS KMS API)
AWS KMS API を使用してキーマテリアルを削除するには、 DeleteImportedKeyMaterial リクエストを送信します。次の例では、AWS CLI
を、削除する予定のキーマテリアルを持つ KMS キーのキー ID と置き換えます。KMS キーのキー ID または ARN を使用できますが、このオペレーションにエイリアスを使用することはできません。1234abcd-12ab-34cd-56ef-1234567890ab
$
aws kms delete-imported-key-material --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
キーマテリアルがインポートされた KMS キーの削除
キーマテリアルがインポートされた KMS キーのキーマテリアルの削除は一時的で、元に戻すことができます。キーを復元するには、キーマテリアルを再インポートします。
一方、KMS キーの削除は破棄できません。キーの削除をスケジュールし、必要な待機期間が終了すると、 AWS KMS は KMS キー、そのキーマテリアル、および KMS キーに関連付けられたすべてのメタデータを完全におよび元に戻すことなく削除します。
ただし、キーマテリアルがインポートされた KMS キーを削除した場合のリスクと結果は、KMS キーのタイプ (「キー仕様」) によって異なります。
-
対称暗号化キー – 対称暗号化 KMS キーを削除すると、そのキーで暗号化された残りの暗号文はすべて回復できなくなります。同じキーマテリアルを使用しても、削除された対称暗号化 KMS キーの暗号文を復号できる新しい対称暗号化 KMS キーを作成することはできません。各 KMS キーに固有のメタデータは、各対称暗号文に暗号的にバインドされます。このセキュリティ機能により、対称暗号文を暗号化した KMS キーのみで復号できることが保証されますが、同等の KMS キーを再作成することができなくなっています。
-
非対称キーと HMAC キー — 元のキーマテリアルがある場合は、削除された非対称キーまたは HMAC KMS キーと同じ暗号化プロパティを持つ新しい KMS キーを作成できます。 は、標準の RSA 暗号文と署名、ECC 署名、および HMAC タグ AWS KMS を生成します。これには、一意のセキュリティ機能は含まれません。また、HMAC キーまたは非対称キーペアのプライベートキーを AWSの外部で使用できます。
同じ非対称キーマテリアルまたは HMAC キーマテリアルを使用して作成した新しい KMS キーには、異なるキー識別子が割り当てられます。新しいキーポリシーを作成し、エイリアスをすべて再作成し、新しいキーを参照するように既存の IAM ポリシーとアクセス許可を更新する必要があります。