キーの AWS KMS キーマテリアルのインポート

指定したキーマテリアルを使用して AWS KMS keys (KMS キー) を作成できます。

KMS キーは、データキーの論理表現です。KMS キーのメタデータには、暗号化オペレーションの実行に使用されるキーマテリアルの ID が含まれます。KMS キーを作成すると、デフォルトで はその KMS キーのキーマテリアル AWS KMS を生成します。ただし、キーマテリアルを使用せずに KMS キーを作成し、独自のキーマテリアルをその KMS キーにインポートできます。この機能は、「キーの持ち込み」(BYOK) とも呼ばれます。

注記

AWS KMS では AWS KMS、対称暗号化 AWS KMS KMS キーによって暗号化された暗号文の復号はサポートされません。暗号文がインポートされたキーマテリアルを持つ KMS キーで暗号化された場合でも、 はこのタスクに必要な暗号文形式を公開 AWS KMS せず、形式は予告なしに変更される可能性があります。

インポートされたキーマテリアルを使用する場合、 がキーマテリアルのコピーを使用 AWS KMS できるようにしながら、キーマテリアルの責任を引き続き負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。

• 要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。

• AWS サービスで独自のインフラストラクチャのキーマテリアルを使用し、 を使用して AWS KMS そのキーマテリアルのライフサイクルを管理する AWS。

• コード署名、PKI 証明書署名 AWS KMS、証明書ピン留めアプリケーションのキーなど、確立された既存のキーを で使用するには

• AWS でキーマテリアルの有効期限を設定し、手動で削除しますが、将来再び使用できるようにするには。これに対して、キー削除のスケジュールは、7 日から 30 日間の待機時間が必要となり、その後、削除された KMS キーは復元できません。

• キーマテリアルの元のコピーを所有し、キーマテリアルの完全なライフサイクル中に耐久性とディザスタリカバリを強化 AWS するために の外部に保持するため。

• 非対称キーと HMAC キーの場合、インポートすると、互換性があり相互運用可能なキーが作成され、内外で動作します AWS。

サポートされる KMS キータイプ

AWS KMS は、次のタイプの KMS キーのインポートされたキーマテリアルをサポートします。カスタムキーストア内の KMS キーにキーマテリアルをインポートすることはできません。

• 対称暗号化 KMS キー

• 非対称 KMS キー

• HMAC KMS キー

• サポートされているすべてのタイプのマルチリージョンキー。

リージョン

インポートされたキーマテリアルは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。

中国リージョンでは、対称暗号化 KMS キーの主要なマテリアル要件は他のリージョンとは異なります。詳細については、「ステップ 3: キーマテリアルを暗号化する」を参照してください。

詳細はこちら

• インポートされたキーマテリアルを持つ KMS キーの作成については、「インポートされたキーマテリアルを持つ KMS キーの作成」を参照してください。

• インポートされたキーマテリアルを持つ KMS キーの有効期限が近づいたときに通知するアラームの作成については、「インポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する」を参照してください。

• KMS キーにキーマテリアルを再インポートするには、「キーマテリアルの再インポート」を参照してください。

• インポートされたキーマテリアルを持つ KMS キーの識別と表示については、「インポートされたキーマテリアルを持つ KMS キーを特定する」を参照してください。

• インポートされたキーマテリアルを持つ KMS キーの削除に関する注意事項については、「Deleting KMS keys with imported key material」を参照してください。