翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーの AWS KMS キーマテリアルのインポート
指定したキーマテリアルを使用して AWS KMS keys (KMS キー) を作成できます。
KMS キーは、データキーの論理表現です。KMS キーのメタデータには、暗号化オペレーションの実行に使用されるキーマテリアルの ID が含まれます。KMS キー を作成すると、デフォルトで、 はそのKMSキーのキーマテリアル AWS KMS を生成します。ただし、KMSキーマテリアルなしでキーを作成し、独自のキーマテリアルをそのKMSキーにインポートできます。これは、「独自のキーを持ち込む」 () と呼ばれる機能ですBYOK。
注記
AWS KMS は、 AWS KMS 暗号化テキストがインポートされたKMSキーマテリアルを持つKMSキーで暗号化されていても AWS KMS、 の外部で対称暗号化キーによって暗号化された暗号テキストの復号をサポートしていません。このタスクで必要な暗号テキスト形式 AWS KMS は公開されず、形式は予告なく変更される可能性があります。
インポートされたキーマテリアルを使用する場合、キーマテリアルのコピー AWS KMS の使用を許可しながら、キーマテリアルに対する責任を引き続き負います。そうする場合の理由として次のものが考えられます (複数が組み合わさる場合もあります)。
-
要件を満たすエントロピーのソースを使用してキーマテリアルが生成されたことを証明するため。
-
独自のインフラストラクチャのキーマテリアルを AWS サービスと共に使用し、 を使用して AWS KMS 内のそのキーマテリアルのライフサイクルを管理するには AWS。
-
コード署名、PKI証明書署名 AWS KMS、証明書固定アプリケーションのキーなど、既存の確立されたキーを で使用するには
-
AWS および でキーマテリアルの有効期限を設定し、手動で削除しますが、今後再び使用できるようにするには。対照的に、キーの削除をスケジュールするには 7 ~ 30 日間の待機期間が必要ですが、その後、削除されたKMSキーを復元することはできません。
-
キーマテリアルの元のコピーを所有し、キーマテリアルの完全なライフサイクル中に耐久性とディザスタリカバリ AWS を強化するために の外部に保持します。
-
非対称キーとHMACキーの場合、 をインポートすると、 内外で動作する互換性があり相互運用可能なキーが作成されます AWS。
サポートされているKMSキータイプ
AWS KMS は、次のタイプのキーのインポートされたKMSキーマテリアルをサポートします。カスタムキーストア のKMSキーにキーマテリアルをインポートすることはできません。 AWS KMS カスタムキーストア
-
サポートされているすべてのタイプのマルチリージョンキー。
リージョン
インポートされたキーマテリアルは、 がサポート AWS リージョン する AWS KMS すべての でサポートされています。
中国リージョンでは、対称暗号化KMSキーの主なマテリアル要件は他のリージョンとは異なります。詳細については、「ステップ 3: キーマテリアルを暗号化する」を参照してください。
詳細はこちら
-
インポートされたKMSキーマテリアルでキーを作成するには、「」を参照してくださいインポートされたキーマテリアルを持つ KMS キーの作成。
-
KMS キー内のインポートされたキーマテリアルの有効期限が近づいたときに通知するアラームを作成するには、「」を参照してくださいインポートされたキーマテリアルの有効期限を通知する CloudWatch アラームを作成する。
-
キーマテリアルをKMSキーに再インポートするには、「」を参照してくださいキーマテリアルの再インポート。
-
インポートされたKMSキーマテリアルでキーを識別して表示するには、「」を参照してくださいインポートされたキーマテリアルを持つ KMS キーを特定する。
-
インポートされたKMSキーマテリアルでキーを削除するための特別な考慮事項については、「」を参照してくださいDeleting KMS keys with imported key material。