カスタムキーストアで KMS キーを使用する - AWS Key Management Service

カスタムキーストアで KMS キーを使用する

カスタムキーストアで対称暗号化 KMS キーを作成したら、それを以下の暗号化オペレーションで使用することができます。

非対称データキーペアを生成するオペレーション (GenerateDataKeyPair および GenerateDataKeyPairWithoutPlaintext) は、カスタムキーストアでサポートされません。

リクエストで KMS キーを使用するときは、ID またはエイリアスで KMS キーを識別します。カスタムキーストアまたは AWS CloudHSM クラスターを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。

ただし、カスタムキーストアで KMS キーを使用すると、暗号化オペレーションはカスタムキーストアに関連付けられた AWS CloudHSM クラスター内だけで実行されます。オペレーションでは、選択した KMS キーに関連付けられているクラスターのキーマテリアルが使用されます。

これを可能にするには、次の条件が必要です。

  • KMS キーのキーストアEnabled である必要があります。キーステータスを検索するには、AWS Management Console[Status] (ステータス) フィールド、または DescribeKey レスポンスの KeyState フィールドを使用します。

  • カスタムキーストアは AWS CloudHSM クラスターに接続されている必要があります。AWS Management Console のその [Status] (ステータス)、または DescribeCustomKeyStoresConnectionState のレスポンスは、CONNECTED である必要があります。

  • カスタムキーストアに関連付けられている AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内のアクティブな HSM の数を確認するには、AWS KMS コンソール、AWS CloudHSM コンソール、または DescribeClusters オペレーションを使用します。

  • AWS CloudHSM クラスターには KMS キーのキーマテリアルを含める必要があります。キーマテリアルがクラスターから削除された場合、または HSM がキーマテリアルを含まないバックアップから作成された場合、暗号化オペレーションは失敗します。

これらの条件が満たされていない場合、暗号化オペレーションは失敗し、AWS KMS は KMSInvalidStateException 例外を返します。通常、カスタムキーストアを再接続する必要があるだけです。その他のヘルプについては、「失敗した KMS キーを修正するには」を参照してください。

カスタムキーストアで KMS キーを使用する場合、各カスタムキーストア内の KMS キーは、暗号化オペレーションのリクエストで、1 秒あたりのクォータを共有することに注意してください。クォータを超えた場合、AWS KMS は ThrottlingException を返します。カスタムキーストアに関連付けられている AWS CloudHSM クラスターが、カスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、低い割合で ThrottlingException が発生する可能性があります。すべてのリクエストで ThrottlingException が表示される場合、リクエスト速度を下げ、再度コマンドを試してください。カスタムキーストアでの暗号化オペレーションのリクエストクォータの詳細については、「カスタムキーストアのクォータ」を参照してください。