カスタムキーストアの表示 - AWS Key Management Service

カスタムキーストアの表示

AWS Management Console または AWS KMS API を使用して、各アカウントおよびリージョンでカスタムキーストアを表示できます。

カスタムキーストアでの KMS キーの表示については、カスタムキーストアで KMS キーを表示する を参照してください。カスタムキーストアでのすべての API オペレーションを記録する AWS CloudTrail ログの表示方法については、「AWS KMS による AWS CloudTrail API 呼び出しのログ記録」を参照してください。

カスタムキーストアを表示する (コンソール)

AWS Management Console でカスタムキーストアを表示する場合は、以下を確認できます。

  • カスタムキーストア名

  • 関連付け済み AWS CloudHSM クラスターの ID

  • クラスター内の HSM の数

  • 現在の接続ステータス

[Disconnected (切断)] の接続ステータスは、カスタムキーストアが新しく、接続されたことがないこと、または意図的に AWS CloudHSM クラスターから切断されたことを示します。ただし、接続されているカスタムキーストアで KMS キーの使用を試みると失敗する場合は、カスタムキーストアまたはその AWS CloudHSM クラスターに問題がある可能性があります。ヘルプについては、「失敗した KMS キーを修正するには」を参照してください。

指定されたアカウントとリージョンでカスタムキーストアを表示するには、以下の手順に従います。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Custom key stores (カスタムキーストア)] を選択します。

表示をカスタマイズするには、[Create key store (キーストアを作成)] ボタンの下に表示される歯車アイコンをクリックします。

カスタムキーストアを表示する (API)

カスタムキーストアを表示するには、 DescribeCustomKeyStor es オペレーションを使用します。デフォルトでは、このオペレーションは、アカウントとリージョンのすべてのカスタムキーストアを返します。ただし、CustomKeyStoreId または CustomKeyStoreName パラメータのどちらかを使用して (両方は使用できません) 出力を特定のカスタムキーストアに制限できます。出力は、カスタムキーストア ID と名前、関連付けられた AWS CloudHSM クラスターの ID、および接続状態で構成されます。接続状態はエラーを示す場合、出力にエラーの理由を説明するエラーコードも含まれています。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

たとえば、次のコマンドは、アカウントとリージョンのすべてのカスタムキーストアを返します。Limit パラメータと Marker パラメータを使用して、出力のカスタムキーストアをページ分割できます。

$ aws kms describe-custom-key-stores

次のコマンド例では、CustomKeyStoreName パラメータを使用して ExampleKeyStore というフレンドリ名の唯一のカスタムキーストアを取得します。各コマンドで CustomKeyStoreName パラメータまたは CustomKeyStoreId パラメータのどちらかを使用できますが、両方を使用することはできません。

次の出力例は、AWS CloudHSM クラスターに接続されているカスタムキーストアを表します。ConnectionState 要素は、コンソールの Status フィールドに対応します。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "CONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate appears here>" } ] }

DisconnectedConnectionState は、カスタムキーストアが接続されたことがないこと、または意図的に AWS CloudHSM クラスターから切断されたことを示します。ただし、接続されているカスタムキーストアで KMS キーの使用を試みると失敗する場合は、カスタムキーストアまたは AWS CloudHSM クラスターに問題がある可能性があります。ヘルプについては、「失敗した KMS キーを修正するには」を参照してください。

カスタムキーストアの ConnectionStateFAILED である場合、DescribeCustomKeyStores レスポンスには、エラーの理由を説明する ConnectionErrorCode 要素が含まれています。

たとえば、次の出力では、INVALID_CREDENTIALS 値は、kmsuser パスワードが無効であるために、カスタムキーストアの接続に失敗したことを示しています。このエラーやその他の接続エラーに関するヘルプについては、「」を参照してください カスタムキーストアのトラブルシューティング

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "ConnectionState": "FAILED", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CreationDate": "1.499288695918E9", "TrustAnchorCertificate": "<certificate appears here>" } ] }