カスタムキーストアでの CMK の管理
カスタムキーストアで、カスタマーマスターキー (CMK) を作成、表示、管理、使用、および削除をスケジュールできます。使用する手順は、AWS KMS で CMK に使用する手順とよく似ています。唯一の違いは、CMK を作成するときにカスタムキーストアを指定することです。次に、AWS KMS はカスタムキーストアに関連付けられている AWS CloudHSM クラスター内の CMK に対して抽出不可能なキーマテリアルを作成します。カスタムキーストアで CMK を使用する場合、暗号化オペレーションはクラスター内の HSM で実行されます。
AWS KMS カスタムキーストアは、対称キーのみをサポートしています。AWS CloudHSM は非対称キーをサポートしていますが、カスタムキーストアで非対称 CMK や非対称データキーペアを作成することはできません。
カスタムキーストア内の CMK にキーマテリアルをインポートすることはできません。AWS KMS は、CMK のキーマテリアルを AWS CloudHSM クラスター内に生成します。
このセクションで説明する手順に加え、カスタムキーストアでは CMK を使用して次のことを実行できます。
-
キーポリシー、IAM ポリシーを使用して、CMK へのアクセス承認を付与します。
-
暗号化、復号化、再暗号化、データキーの生成などの暗号化オペレーションには CMK を使用します。
-
AWS KMS と統合された AWS のサービスと CMK を使用してカスタマー管理 CMK をサポートします。
-
AWS CloudTrail ログおよび Amazon CloudWatch モニタリングツールで使用する CMK を追跡します。
ただし、カスタムキーストア内の CMK にキーマテリアルをインポートすることはできません。
トピック
