カスタムキーストアで KMS キーを管理する
カスタムキーストアで AWS KMS keys を作成、表示、管理、使用し、削除をスケジュールできます。使用する手順は、AWS KMS で KMS キーを使用する手順とよく似ています。唯一の違いは、KMS キーの作成時にカスタムキーストアを指定することです。次に、AWS KMS はカスタムキーストアに関連付けられている AWS CloudHSM クラスター内の KMS キーに対して、抽出不可能なキーマテリアルを作成します。カスタムキーストアで KMS キーを使用する際、暗号化オペレーションはクラスター内の HSM で実行されます。
AWS KMS カスタムキーストアは、対称暗号化 KMS キーのみをサポートします。カスタムキーストアで HMAC KMS キー、非対称 KMS キー、または非対称データキーペアを作成することはできません。
カスタムキーストア内の KMS キーにキーマテリアルをインポートすることはできません。AWS KMS は、KMS キーのキーマテリアルを AWS CloudHSM クラスター内に生成します。
このセクションで説明する手順に加えて、カスタムキーストアでは KMS キーを使用して次のことを実行できます。
-
キーポリシー、IAM ポリシー、権限を使用して、KMS キーへのアクセスを認可します。
-
暗号化、復号、再暗号化、データキーの生成などの暗号化オペレーションには KMS キーを使用します。
-
AWS KMS を統合し、カスタマーマネージドキーをサポートする AWS サービスで KMS キーを使用します。
-
AWS CloudTrail ログと Amazon CloudWatch モニタリングツールでの KMS キーの使用状況を追跡します。
ただし、カスタムキーストア内の KMS キーにキーマテリアルをインポートすることはできません。
トピック