外部キーストアで KMS キーを管理する

外部キーストアで KMS キーを作成、表示、管理、使用し、削除をスケジュールするには、他の KMS キーに使用する手順と極めてよく似た手順を使用します。ただし、外部キーストアに KMS キーを作成する場合は、外部キーストアと外部キーを指定します。外部キーストアで KMS キーを使用すると、指定された外部キーにより、外部キーマネージャーが暗号化および復号オペレーションを実行します。

AWS KMS は、外部キーマネージャーで暗号化キーを作成、表示、更新、削除することはできません。また、AWS KMS が外部キーマネージャーや外部キーに直接アクセスすることはありません。暗号化オペレーションのリクエストはすべて、外部キーストアプロキシによって仲介されます。外部キーストアで KMS キーを使用するには、KMS キーをホストする外部キーストアを、外部キーストアプロキシに接続する必要があります。

サポートされている機能

このセクションで説明する手順に加えて、外部キーストアでは KMS キーを使用して次のことを実行できます。

• キーポリシー、IAM ポリシー、グラントを使用して、KMS キーへのアクセスを管理します。

• KMS キーを有効および無効にします。これらのアクションは、外部キーマネージャーの外部キーには影響しません。

• タグを割り当ててエイリアスを作成し、属性ベースのアクセス制御 (ABAC) を使用して KMS キーへのアクセスを承認します。

• AWS KMS を統合し、カスタマーマネージドキーをサポートする AWS のサービスで KMS キーを使用します。

サポートされていない機能

• 外部キーストアは、対称暗号化 KMS キーのみをサポートしています。外部キーストアで HMAC KMS キーや非対称 KMS キーを作成することはできません。

• GenerateDataKeyPair および GenerateDataKeyPairWithoutPlaintextは、外部キーストアの KMS キーではサポートされていません。

• AWS CloudFormation テンプレートを使用して外部キーストアを作成したり、外部キーストアに KMS キーを作成したりすることはできません。

• マルチリージョンキーは、外部キーストアではサポートされていません。

• キーマテリアルがインポートされた KMS キーは、外部キーストアではサポートされていません。

• 自動キーローテーションは、カスタムキーストアの KMS キーではサポートされていません。

トピック

• 外部キーストアで KMS キーを作成する
• 外部キーストアで KMS キーを表示する
• 外部キーストアで KMS キーを使用する
• 外部キーストアの KMS キーの削除をスケジュールする