カスタムキーストアでの CMK の使用 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムキーストアでの CMK の使用

カスタムキーストアで対称 CMK を作成した後は、次の暗号化オペレーションに使用できます。

非対称 CMK と非対称データキーペアは、カスタムキーストアではサポートされていません。その結果、非対称の CMK に固有の操作 ( 署名, 、確認, 、および GetPublicKey) を使用することはできません。また、非対称データキーペアを生成する操作 ( GenerateDataKeyPair および GenerateDataKeyPairWithoutPlaintext, ) は、カスタムキーストアではサポートされません。

リクエストで CMK を使用するときは、ID またはエイリアスで CMK を識別します。カスタムキーストアまたは AWS CloudHSM クラスターを指定する必要はありません。応答には、対称 CMK に対して返されるフィールドと同じフィールドが含まれます。

ただし、カスタムキーストアで CMK を使用すると、暗号化オペレーションはカスタムキーストアに関連付けられた AWS CloudHSM クラスター内ですべて実行されます。このオペレーションでは、選択した CMK に関連付けられているクラスターのキーマテリアルが使用されます。

これを可能にするには、次の条件が必要です。

  • CMK のキーストアEnabled である必要があります。キー状態を確認するには、を使用します。ステータス[] フィールドにAWS Management ConsoleまたはKeyState[] フィールドにDescribeKeyレスポンス。

  • カスタムキーストアは AWS CloudHSM クラスターに接続されている必要があります。そのステータス()AWS Management ConsoleまたはConnectionState()DescribeCustomKeyStores応答はCONNECTED

  • カスタムキーストアに関連付けられている AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内のアクティブな HSM の数を確認するには、AWS KMS コンソール、AWS CloudHSM コンソール、または DescribeClusters オペレーションを使用します。

  • AWS CloudHSM クラスターには CMK のキーマテリアルを含める必要があります。キーマテリアルがクラスターから削除された場合、または HSM がキーマテリアルを含まないバックアップから作成された場合、暗号化オペレーションは失敗します。

これらの条件が満たされていない場合、暗号化オペレーションは失敗し、AWS KMS は KMSInvalidStateException 例外を返します。通常、カスタムキーストアを再接続する必要があるだけです。その他のヘルプについては、「」を参照してください 失敗した CMK を修正する方法

カスタムキーストアで CMK を使用する場合、各カスタムキーストア内の CMK は、暗号化オペレーションのリクエストで 1 秒あたりのクォータを共有することに注意してください。クォータを超えた場合、AWS KMS は ThrottlingException を返します。そのファイルにAWS CloudHSMカスタムキーストアに関連付けられているクラスターが、カスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、ThrottlingExceptionさらに低い速度で。すべてのリクエストで ThrottlingException が表示される場合、リクエスト速度を下げ、再度コマンドを試してください。カスタムキーストアでの暗号化操作のリクエストクォータの詳細については、「」を参照してください カスタムキーストアのクォータ