カスタムキーストアとは - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムキーストアとは

このトピックでは、AWS KMS カスタムキーストアで使用される概念の一部について説明します。

AWS KMS カスタムキーストア

キーストア は、暗号化キーを保存するための安全な場所です。AWS KMS のデフォルトのキーストアは、保存されているキーを生成および管理するためのメソッドもサポートしています。デフォルトでは、AWS KMS で作成するカスタマーマスターキー (CMK) は、FIPS 140-2 で検証された暗号化モジュールであるハードウェアセキュリティモジュール (HSM) で生成され保護されます。CMK はモジュールを暗号化したままにはしません。

ただし、HSM をさらに制御する必要がある場合は、FIPS 140-2 レベル 3 HSMAWS CloudHSM所有および管理するクラスターを構成します。

カスタムキーストアは、AWS KMS クラスターに関連付けられた AWS CloudHSM リソースです。カスタムキーストアに AWS KMS CMKを 作成すると、AWS KMS は関連する AWS CloudHSM クラスターに、256 ビットの、永続的で、エクスポート不可能な AES (Advanced Encryption Standard) 対称キーが生成されます。このキーマテリアルは、HSM を非暗号化のままにしません。カスタムキーストアで CMK を使用する場合、暗号化オペレーションはクラスター内の HSM で実行されます。

カスタムキーストアは、便利で包括的なキー管理インターフェイスを組み合わせています。AWS KMSによって提供される追加のコントロールとAWS CloudHSMクラスターの AWS アカウント 。この統合された機能により、クラスター、HSM、およびバックアップの管理など、キーマテリアルを保管する HSM を完全に制御しながら、AWS KMS で CMK を作成、管理、使用することができます。AWS KMS コンソールと API を使用して、カスタムキーストアとその CMK を管理できます。関連するクラスターを管理するには、AWS CloudHSM コンソール、API、クライアントソフトウェア、および関連するソフトウェアライブラリを使用することもできます。

以下の操作を実行できます。の表示と管理カスタムキーストアプロパティを編集する, および接続して切断する関連するAWS CloudHSMクラスター カスタムキーストアを削除する必要がある場合は、削除をスケジュールし、猶予期間が終了するまで待機することによって、カスタムキーストア内の CMK を最初に削除する必要があります。カスタムキーストアを削除すると、リソースが AWS KMS から削除されますが、AWS CloudHSM クラスターには影響しません。

AWS CloudHSM クラスター

すべての AWS KMS カスタムキーストアは、1 つの AWS CloudHSM クラスターに関連付けられています。カスタムキーストアにカスタマーマスターキー (CMK) を作成すると、AWS KMS は関連するクラスターにキーマテリアルを作成します。カスタムキーストアで CMK を使用すると、暗号化オペレーションは関連するクラスターで実行されます。

各 AWS CloudHSM クラスターは、1 つのカスタムキーストアにのみ関連付けることができます。選択したクラスターを別のキーストアに関連付けたり、関連するクラスターとバックアップ履歴を共有することはできません。クラスターは初期化されてアクティブでなければならず、同じ AWS アカウント および Region をAWS KMSカスタムキーストアを使用します。新しいクラスターを作成したり、既存のクラスターを使用したりすることができます。AWS KMS はクラスターの排他的使用を必要としません。カスタムキーストアに CMK を作成するには、関連するクラスターに少なくとも 2 つのアクティブな HSM が含まれている必要があります。他のすべてのオペレーションでは、1 つの HSM しか必要ありません。

カスタムキーストアを作成するときにクラスターを指定しますが、変更することはできません。ただし、バックアップ履歴を共有するクラスターは、元のクラスターに置き換えることができます。これにより、必要に応じてクラスターを削除し、バックアップの 1 つから作成したクラスターに置き換えることができます。関連する AWS CloudHSM クラスターを完全に制御することにより、ユーザーとキーを管理し、HSM を作成および削除して、バックアップを使用および管理できます。

カスタムキーストアを使用する準備ができたら、関連する AWS CloudHSM クラスターに接続します。いつでもカスタムキーストアを接続および切断できます。カスタムキーストアが接続されている場合は、その CMK を作成して使用できます。接続が切断されると、カスタムキーストアとその CMK を表示および管理できます。ただし、新しい CMK を作成したり、カスタムキーストアで CMK を使用して暗号化オペレーションを行うことはできません。

kmsuser Crypto User

関連する AWS CloudHSM クラスターのキーマテリアルを作成および管理するために、AWS KMS は専用の AWS CloudHSM crypto user (CU) をkmsuser という名前のクラスターに追加します。kmsuser CU は、クラスター内のすべての HSM に自動的に同期された標準の CU アカウントで、クラスターバッグに保存されます。

カスタムキーストアを作成する前に、の作成kmsuserCUアカウントお客様のAWS CloudHSMを使用したクラスターcreateUsercloudhsm_mgmt_util コマンドを実行します。次に、カスタムキーストアを作成するとkmsuser アカウントのパスワードが AWS KMS に提供されます。カスタムキーストアを接続すると、AWS KMS は kmsuser CU としてクラスターにログインし、パスワードをローテーションします。

カスタムキーストアが接続されている限り、AWS KMS は kmsuser としてログインしたままです。この CU アカウントは他の目的では使用しないでください。ただし、kmsuser CU アカウントの最終的な制御は保持されます。いつでも、次のことができます。キーハンドルを見つけるキーのkmsuser所有の。必要に応じて、カスタムキーストアを切断しkmsuser パスワードを変更します。kmsuser としてクラスターにログインしkmsuser が所有するキーを表示して管理します。

kmsuser CU アカウントの作成手順については、「kmsuser Crypto User を作成する」を参照してください。

カスタムキーストアでの CMK

AWS Management Console または AWS KMS API を使用して、カスタムキーストアにカスタマーマスターキー (CMK) を作成します。AWS KMS CMK で使用するのと同じ方法を使用します。唯一の違いは、カスタムキーストアを特定し、キーマテリアルのオリジンが AWS CloudHSM クラスターであることを指定する必要があることです。

カスタムキーストアに CMK を作成すると、AWS KMS は AWS KMS に CMK を作成し、関連するクラスターに 256 ビットの、永続的で、エクスポート不可能な AES (Advanced Encryption Standard) 対称バッキングキーが生成されます。AWS CloudHSM は異なるタイプの対称キーと非対称キーをサポートしていますが、AWS KMS とカスタムキーストアは AES 対称キーのみをサポートしています。

AWS KMS コンソールのカスタムキーストアで CMK を表示し、コンソールオプションを使用してカスタムキーストア ID を表示できます。また、DescribeKey オペレーションを使用して、カスタムキーストア ID と AWS CloudHSM クラスター ID を見つけることもできます。

カスタムキーストアの CMK は、AWS KMS の CMK と同じように動作します。認可されたユーザーは、CMK の使用と管理に同じアクセス許可が必要です。同じコンソールの手順および API オペレーションを使用して、カスタムキーストアの CMK を表示および管理します。これには、CMK の有効化と無効化、タグとエイリアスの作成と使用、IAM とキーポリシーの設定と変更が含まれます。カスタムキーストアで CMK を暗号化オペレーションに使用し、カスタマー管理の CMK の使用をサポートする統合 AWS サービスで CMK を使用できます。ただし、自動キーローテーションを有効にすることはできません。また、キーマテリアルをカスタムキーストアの CMK にインポートすることはできません。

また、カスタムキーストア内の CMK のスケジュール削除にも同じプロセスを使用します。待機期間が終了すると、AWS KMS は AWS KMS から CMK を削除します。次に、関連付けられた AWS CloudHSM クラスターから CMK のキーマテリアルを可能な限り削除します。ただし、クラスターとそのバックアップから、手動で孤立したキーマテリアルを削除する必要があります。