カスタムキーストアでの CMKs の使用 - AWS Key Management Service

カスタムキーストアでの CMKs の使用

カスタムキーストアで対称 CMK を作成した後は、次の暗号化オペレーションに使用できます。

非対称 CMKs と非対称データキーペアは、カスタムキーストアではサポートされていません。その結果、非対称 CMKs の SignVerify、および GetPublicKey に固有のオペレーションを使用することはできません。また、非対称データキーペアを生成するオペレーションである GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext は、カスタムキーストアではサポートされていません。

リクエストで CMK を使用するときは、ID またはエイリアスで CMK を識別します。カスタムキーストアまたは AWS CloudHSM クラスターを指定する必要はありません。応答には、対称 CMK に対して返されるフィールドと同じフィールドが含まれます。

ただし、カスタムキーストアで CMK を使用すると、暗号化オペレーションはカスタムキーストアに関連付けられた AWS CloudHSM クラスター内ですべて実行されます。このオペレーションでは、選択した CMK に関連付けられているクラスターのキーマテリアルが使用されます。

これを可能にするには、次の条件が必要です。

  • CMK のキーストアEnabled である必要があります。キーの状態を確認するには、DescribeKey レスポンスの AWS マネジメントコンソール または KeyState フィールドの [ステータス] フィールドを使用します。

  • カスタムキーストアは AWS CloudHSM クラスターに接続されている必要があります。DescribeCustomKeyStores レスポンスの AWS マネジメントコンソール または ConnectionState の [ステータス] は CONNECTED である必要があります。

  • カスタムキーストアに関連付けられている AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内のアクティブな HSM の数を確認するには、AWS KMS コンソール、AWS CloudHSM コンソール、または DescribeClusters オペレーションを使用します。

  • AWS CloudHSM クラスターには CMK のキーマテリアルを含める必要があります。キーマテリアルがクラスターから削除された場合、または HSM がキーマテリアルを含まないバックアップから作成された場合、暗号化オペレーションは失敗します。

これらの条件が満たされていない場合、暗号化オペレーションは失敗し、AWS KMS は KMSInvalidStateException 例外を返します。通常、カスタムキーストアを再接続する必要があるだけです。詳細なヘルプについては、「失敗した CMK を修正する方法」を参照してください。

カスタムキーストアで CMKs を使用する場合、各カスタムキーストア内の CMKs は、暗号化オペレーションのリクエストで 1 秒あたりのクォータを共有することに注意してください。クォータを超えた場合、AWS KMS は ThrottlingException を返します。カスタムキーストアに関連付けられている AWS CloudHSM クラスターが、カスタムキーストアに関連しないものを含む多数のコマンドを処理している場合、予想よりも低い速度で ThrottlingException が発生する可能性があります。すべてのリクエストで ThrottlingException が表示される場合、リクエスト速度を下げ、再度コマンドを試してください。カスタムキーストアでの暗号化オペレーションの クォータのリクエスト の詳細については、「カスタムキーストアのクォータ」を参照してください。