カスタムキーストアとは - AWS Key Management Service

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

カスタムキーストアとは

このトピックでは、AWS KMS カスタムキーストアで使用される概念の一部について説明します。

AWS KMS カスタムキーストア

キーストア は、暗号化キーを保存するための安全な場所です。AWS KMS のデフォルトのキーストアは、保存されているキーを生成および管理するためのメソッドもサポートしています。デフォルトでは、 カスタマーマスターキー (CMKs) で作成する AWS KMS ハードウェア・セキュリティ・モジュール(HSM)で生成され、保護されます。 FIPS 140-2検証済み暗号化モジュール. は、 CMKs モジュールを暗号化せずに放置しないでください。

ただし、HSMをさらに制御する必要がある場合は、 FIPS 140-2レベル3 HSMAWS CloudHSM 管理できます。

カスタムキーストアは、AWS KMS クラスターに関連付けられた AWS CloudHSM リソースです。_を作成するとき AWS KMS CMK カスタムキーストアで AWS KMS は、256ビットの永続的でエクスポート不可能なAES(Advanced Encryption Standard)対称キーを、 AWS CloudHSM クラスタ。このキーマテリアルは、HSM を非暗号化のままにしません。_を使用する場合 CMK カスタムキーストアでは、クラスタ内の HSM で暗号化操作が実行されます。

カスタムキーストアは、AWS KMS の便利で包括的なキー管理インターフェイスと、AWS アカウントの AWS CloudHSM クラスターによって提供される追加のコントロールを組み合わせています。この統合機能により、 CMKs () AWS KMS クラスタ、HSM、バックアップの管理など、主要な資料を保存するHSMを完全に管理しながら、以下を使用できます。 AWS KMS カスタムキーストアとその CMKs. 関連するクラスターを管理するには、AWS CloudHSM コンソール、API、クライアントソフトウェア、および関連するソフトウェアライブラリを使用することもできます。

カスタムキーストアを表示および管理しプロパティを編集して、関連する AWS CloudHSM クラスターとの接続および切断を行うことができます。必要なら カスタムキーストアの削除では、まず CMKs 削除をスケジュールし、猶予期間が終了するまで待機することによって、カスタム キー ストア内に表示されます。カスタムキーストアを削除すると、リソースが AWS KMS から削除されますが、AWS CloudHSM クラスターには影響しません。

AWS CloudHSM クラスター

すべての AWS KMS カスタムキーストアは、1 つの AWS CloudHSM クラスターに関連付けられています。_を作成するとき カスタマーマスターキー (CMK)をカスタムキーストアで AWS KMS は、関連するクラスタにキー材料を作成します。_を使用する場合 CMK カスタムキーストアでは、関連するクラスタで暗号化操作が実行されます。

各 AWS CloudHSM クラスターは、1 つのカスタムキーストアにのみ関連付けることができます。選択したクラスターを別のキーストアに関連付けたり、関連するクラスターとバックアップ履歴を共有することはできません。クラスターは初期化されてアクティブでなければならず、AWS KMS カスタムキーストアと同じ AWS アカウントとリージョンに存在する必要があります。新しいクラスターを作成したり、既存のクラスターを使用したりすることができます。AWS KMS はクラスターの排他的使用を必要としません。作成するには CMKs カスタムキーストアで、関連するクラスタに少なくとも 2 つのアクティブな HSM が含まれている必要があります。他のすべてのオペレーションでは、1 つの HSM しか必要ありません。

カスタムキーストアを作成するときにクラスターを指定しますが、変更することはできません。ただし、バックアップ履歴を共有するクラスターは、元のクラスターに置き換えることができます。これにより、必要に応じてクラスターを削除し、バックアップの 1 つから作成したクラスターに置き換えることができます。関連する AWS CloudHSM クラスターを完全に制御することにより、ユーザーとキーを管理し、HSM を作成および削除して、バックアップを使用および管理できます。

カスタムキーストアを使用する準備ができたら、関連する AWS CloudHSM クラスターに接続します。いつでもカスタムキーストアを接続および切断できます。カスタムキーストアが接続されている場合は、 CMKs. 接続が解除されると、カスタムキーストアとその CMKs. ただし、新しい CMKs または CMKs 暗号化操作用のカスタムキーストアに保管されます。

kmsuser Crypto User

関連する AWS CloudHSM クラスターを AWS KMS 専用の AWS CloudHSM 暗号化ユーザー という名前のクラスタ内の (CU) kmsuser。 は、 kmsuser CUは、クラスタ内のすべてのHSMに自動的に同期され、クラスタ バックアップに保存される標準的なCUアカウントです。

カスタムキーストアを作成する前に、 作成 kmsuser CU勘定 で AWS CloudHSM クラスタ使用クラスタシヨウ ユーザーの作成 cloudhsm_mgmt_util のコマンド。次に、カスタムキーストアを作成するとkmsuser アカウントのパスワードが AWS KMS に提供されます。カスタムキーストアを接続すると、AWS KMS は kmsuser CU としてクラスターにログインし、パスワードをローテーションします。

カスタムキーストアが接続されている限り、AWS KMS は kmsuser としてログインしたままです。この CU アカウントは他の目的では使用しないでください。ただし、kmsuser CU アカウントの最終的な制御は保持されます。kmsuser が所有するキーのキーハンドルを見つけることができます。必要に応じて、カスタムキーストアを切断しkmsuser パスワードを変更します。kmsuser としてクラスターにログインしkmsuser が所有するキーを表示して管理します。

kmsuser CU アカウントの作成手順については、「kmsuser Crypto User を作成する」を参照してください。

CMKs カスタムキーストアで

以下を使用できます。 AWS マネジメントコンソール または AWS KMS APIを使用して カスタマーマスターキー (CMK)をカスタムキーストアで使用します。あなたは、どの AWS KMS CMK. 唯一の違いは、カスタムキーストアを特定し、キーマテリアルのオリジンが AWS CloudHSM クラスターであることを指定する必要があることです。

あなたが 作成 CMK カスタムキーストアで、 AWS KMS は、 CMK () AWS KMS また、256ビットの永続的でエクスポート不可能なAES(Advanced Encryption Standard)対称バッキングキーを、関連するクラスタ内に生成します。AWS CloudHSM は異なるタイプの対称キーと非対称キーをサポートしていますが、AWS KMS とカスタムキーストアは AES 対称キーのみをサポートしています。

_を表示できます。 CMKs のカスタムキーストアで AWS KMS コンソール、およびコンソールオプションを使用して、カスタムキーストアIDを表示します。また、DescribeKey オペレーションを使用して、カスタムキーストア ID と AWS CloudHSM クラスター ID を見つけることもできます。

は、 CMKs カスタムキーストアでの仕事は CMKs () AWS KMS. 認定ユーザーは、 CMKs. 同じコンソール手順とAPI操作を使用して、 CMKs カスタムキーストアで。これには、 CMKs、タグとエイリアスの作成と使用、設定と変更 IAM 重要な方針です 以下を使用できます。 CMKs 暗号化操作用のカスタムキーストアに保管し、 統合 AWS サービス 顧客管理の利用をサポートする CMKs. ただし、 自動キー回転 または キーマテリアルをインポート に CMK カスタムキーストアで。

また、同じプロセスを使用して、 スケジュールの削除 の CMK カスタムキーストアで。待機期間が過ぎると、 AWS KMS は、 CMK KMSから。次に、 CMK 関連する AWS CloudHSM クラスタ。ただし、クラスターとそのバックアップから、手動で孤立したキーマテリアルを削除する必要があります。