AWS KMS キーのキーマテリアルのインポート - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS キーのキーマテリアルのインポート

自分で用意したキーマテリアルで AWS KMS keys (KMS キー) を作成できます。

KMS キーは、暗号化キーの論理表現です。KMS キーのメタデータには、データを暗号化および復号するために使用されるキーマテリアルの ID が含まれます。KMS キーを作成すると、デフォルトで AWS KMS がその KMS キーのキーマテリアルを生成します。ただし、キーマテリアルを使用せずに KMS キーを作成し、独自のキーマテリアルをその KMS キーにインポートできます。この機能は、「キーの持ち込み」(BYOK) とも呼ばれます。

注記

AWS KMS では、暗号文が、キーマテリアルがインポートされた KMS キーで暗号化された場合でも、AWS KMS の外部の AWS KMS 暗号文の復号はサポートされません。AWS KMS はこのタスクに必要な暗号文形式を公開せず、形式は予告なく変更される可能性があります。

インポートされたキーマテリアルは、カスタムキーストアの KMS キーを除くすべてのタイプの KMS キーでサポートされています。ただし、中国リージョンでは、KMS キーにインポートできるのは対称暗号化キーマテリアルのみです。

インポートされたキーマテリアルを使用する場合、AWS KMS がそのコピーを使用できるようにしている間、キーマテリアルに対して責任を負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。

  • 要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。

  • AWS サービスを使用してインフラストラクチャのキーマテリアルを使用する、および AWS KMS を使用して AWS 内のキーマテリアルのライフサイクルを管理するため。

  • コード署名、PKI 証明書署名、証明書ピン留めアプリケーションなどに使用するキーのような、既に確立された既存のキーを AWS KMS で使用するため。

  • AWS のキーマテリアルの有効期限を設定し、手動で削除しながらも、将来的に再び利用できるようにするため。これに対して、キー削除のスケジュールは、7 日から 30 日間の待機時間が必要となり、その後、削除された KMS キーは復元できません。

  • キーマテリアルのオリジナルコピーを所有し、それを AWS 外に保存して、キーマテリアルのライフサイクル期間に耐久性を高めディザスタリカバリに備えるには

  • 非対称キーと HMAC キーをインポートすると、AWS の内部と外部で動作する互換性のある相互運用可能なキーが作成されます。

キーマテリアルがインポートされた KMS キーの使用と管理を監査およびモニタリングできます。AWS KMS は、KMS キーを作成し、ラッピングパブリックキーとインポートトークンをダウンロードし、キーマテリアルをインポートしたときに、イベントを AWS CloudTrail ログに記録します。AWS KMS は、インポートされたキーマテリアルを手動で削除した場合や AWS KMS によって期限切れのキーマテリアルが削除された場合にもイベントを記録します。

インポートされたキーマテリアルを持つ KMS キーと、AWS KMS で生成されたキーマテリアルを持つ KMS キーの重要な違いについては、「インポートしたキーマテリアルについて」を参照してください。

サポートされている KMS キー

AWS KMS では、次のタイプの KMS キーのインポートされたキーマテリアルがサポートされています。カスタムキーストア内の KMS キーにキーマテリアルをインポートすることはできません。中国リージョンでは、キーマテリアルを対称暗号化キーにのみインポートできます。

リージョン

AWS KMS がサポートする全ての AWS リージョン で、インポートされたキーマテリアルをサポートしています。

中国リージョンでは、キーマテリアルを対称暗号化 KMS キーにのみインポートできます。また、キーマテリアルの要件は他のリージョンとは異なります。詳細については、「キーマテリアルのインポート ステップ 3: キーマテリアルを暗号化する」を参照してください。