AWS KMS キーのキーマテリアルのインポート

自分で用意したキーマテリアルで AWS KMS keys (KMS キー) を作成できます。

KMS キーは、データキーの論理表現です。KMS キーのメタデータには、暗号化オペレーションの実行に使用されるキーマテリアルの ID が含まれます。KMS キーを作成すると、デフォルトで AWS KMS がその KMS キーのキーマテリアルを生成します。ただし、キーマテリアルを使用せずに KMS キーを作成し、独自のキーマテリアルをその KMS キーにインポートできます。この機能は、「キーの持ち込み」(BYOK) とも呼ばれます。

注記

AWS KMS では、暗号文が、キーマテリアルがインポートされた KMS キーで暗号化された場合でも、AWS KMS の外部の対象暗号化 KMS キーによって暗号化された AWS KMS 暗号文の復号はサポートされません。AWS KMS は、このタスクに必要な暗号文形式を公開せず、形式は予告なく変更されることがあります。

インポートされたキーマテリアルを使用する場合、AWS KMS がそのコピーを使用できるようにしている間、キーマテリアルに対して責任を負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。

• 要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。

• AWS サービスを使用してインフラストラクチャのキーマテリアルを使用する、および AWS KMS を使用して AWS 内のキーマテリアルのライフサイクルを管理するため。

• コード署名、PKI 証明書署名、証明書ピン留めアプリケーションなどに使用するキーのような、既に確立された既存のキーを AWS KMS で使用するため。

• AWS のキーマテリアルの有効期限を設定し、手動で削除しながらも、将来的に再び利用できるようにするため。これに対して、キー削除のスケジュールは、7 日から 30 日間の待機時間が必要となり、その後、削除された KMS キーは復元できません。

• キーマテリアルのオリジナルコピーを所有し、それを AWS 外に保存して、キーマテリアルのライフサイクル期間に耐久性を高めディザスタリカバリに備えるには

• 非対称キーと HMAC キーをインポートすると、AWS の内部と外部で動作する互換性のある相互運用可能なキーが作成されます。

サポートされる KMS キータイプ

AWS KMS では、次のタイプの KMS キーのインポートされたキーマテリアルがサポートされています。カスタムキーストア内の KMS キーにキーマテリアルをインポートすることはできません。

• 対称暗号化 KMS キー

• 非対称 KMS キー (ML-DSA キーを除く)

• HMAC KMS キー

• サポートされているすべてのタイプのマルチリージョンキー。

リージョン

AWS KMS がサポートする全ての AWS リージョン で、インポートされたキーマテリアルをサポートしています。

中国リージョンでは、対称暗号化 KMS キーの主要なマテリアル要件は他のリージョンとは異なります。詳細については、「ステップ 3: キーマテリアルを暗号化する」を参照してください。

詳細

• インポートされたキーマテリアルを持つ KMS キーの作成については、「インポートされたキーマテリアルを持つ KMS キーの作成」を参照してください。

• インポートされたキーマテリアルを持つ KMS キーの有効期限が近づいたときに通知するアラームの作成については、「インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する」を参照してください。

• KMS キーにキーマテリアルを再インポートするには、「キーマテリアルの再インポート」を参照してください。

• オンデマンドローテーション用に新しいキーマテリアルを KMS キーにインポートするには、「新しいキーマテリアルのインポート」および「オンデマンドキーローテーションの実行」を参照してください。

• インポートされたキーマテリアルを持つ KMS キーの識別と表示については、「インポートされたキーマテリアルを持つ KMS キーを特定する」を参照してください。

• インポートされたキーマテリアルを持つ KMS キーの削除に関する注意事項については、「Deleting KMS keys with imported key material」を参照してください。