キーの AWS KMS キーマテリアルのインポート - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーの AWS KMS キーマテリアルのインポート

指定したキーマテリアルを使用して AWS KMS keys (KMS キー) を作成できます。

KMS キーは、データキーの論理表現です。KMS キーのメタデータには、暗号化オペレーションの実行に使用されるキーマテリアルの ID が含まれます。KMS キー を作成すると、デフォルトで、 はそのKMSキーのキーマテリアル AWS KMS を生成します。ただし、KMSキーマテリアルなしでキーを作成し、独自のキーマテリアルをそのKMSキーにインポートできます。これは、「独自のキーを持ち込む」 () と呼ばれる機能ですBYOK。

そのキーが表すキーマテリアルを強調表示したキーアイコン。
注記

AWS KMS は、 AWS KMS 暗号化テキストがインポートされたKMSキーマテリアルを持つKMSキーで暗号化されていても AWS KMS、 の外部で対称暗号化キーによって暗号化された暗号テキストの復号をサポートしていません。このタスクで必要な暗号テキスト形式 AWS KMS は公開されず、形式は予告なく変更される可能性があります。

インポートされたキーマテリアルを使用する場合、キーマテリアルのコピー AWS KMS の使用を許可しながら、キーマテリアルに対する責任を引き続き負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。

  • 要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。

  • 独自のインフラストラクチャのキーマテリアルを AWS サービスと共に使用し、 を使用して AWS KMS 内のそのキーマテリアルのライフサイクルを管理するには AWS。

  • コード署名、PKI証明書署名 AWS KMS、証明書固定アプリケーションのキーなど、既存の確立されたキーを で使用するには

  • AWS および でキーマテリアルの有効期限を設定し、手動で削除しますが、今後再び使用できるようにするには。対照的に、キーの削除をスケジュールするには 7 ~ 30 日間の待機期間が必要ですが、その後、削除されたKMSキーを復元することはできません。

  • キーマテリアルの元のコピーを所有し、キーマテリアルの完全なライフサイクル中に耐久性とディザスタリカバリ AWS を強化するために の外部に保持します。

  • 非対称キーとHMACキーの場合、 をインポートすると、 内外で動作する互換性があり相互運用可能なキーが作成されます AWS。

サポートされているKMSキータイプ

AWS KMS は、次のタイプのキーのインポートされたKMSキーマテリアルをサポートします。カスタムキーストア のKMSキーにキーマテリアルをインポートすることはできません。 AWS KMS カスタムキーストア

リージョン

インポートされたキーマテリアルは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。

中国リージョンでは、対称暗号化KMSキーの主なマテリアル要件は他のリージョンとは異なります。詳細については、「ステップ 3: キーマテリアルを暗号化する」を参照してください。

詳細はこちら