翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# キーストア
<a name="key-store-overview"></a>

*キーストア*は、暗号化キーを保存し使用するための安全な場所です。のデフォルトキーストアは、保存するキーを生成および管理する方法 AWS KMS もサポートしています。デフォルトでは、 AWS KMS keys で作成した の暗号化キーマテリアル AWS KMS は で生成され、[FIPS 140-3 暗号化モジュール検証プログラム](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)であるハードウェアセキュリティモジュール (HSMs) によって保護されます。KMS キーのキーマテリアルは、暗号化されずに HSM の外に出ることはありません。

AWS KMS は、 を使用して AWS KMS 暗号化キーを作成および管理するときにキーマテリアルを保護するために、いくつかのタイプのキーストアをサポートしています。が提供するすべてのキーストアオプション AWS KMS は、セキュリティレベル 3 の FIPS 140-3 で継続的に検証され、 AWS オペレーターを含むすべてのユーザーがアクセス許可なしでプレーンテキストキーにアクセスしたり、使用したりできないように設計されています。

## AWS KMS 標準キーストア
<a name="default-key-store"></a>

デフォルトでは、KMS キーは標準の AWS KMS HSM を使用して作成されます。この HSM タイプは、お客様にとって最も拡張性があり、最も低コストで管理しやすいキーストアを提供する、HSM のマルチテナントフリートと考えることができます。サービスがユーザーに代わってデータを暗号化 AWS のサービス できるように、1 つ以上の 内で使用するために KMS キーを作成する場合は、対称キーを作成します。独自のアプリケーション設計向けに KMS キーを使用する場合は、対称暗号化キー、非対称キー、または HMAC キーのいずれかを選択して作成できます。

標準キーストアオプションでは、 はキー AWS KMS を作成し、サービスが内部で管理するキーで暗号化します。その後、暗号化されたバージョンのキーの複数のコピーが、耐久性を考慮して設計されたシステムに保存されます。標準キーストアタイプでキーマテリアルを生成して保護することで、キーストアの運用上の負担とコストを最小限に抑え AWS KMS ながら、 の AWS スケーラビリティ、可用性、耐久性を最大限に活用できます。

## AWS KMS インポートされたキーマテリアルを持つ標準キーストア
<a name="imported-key-material"></a>

特定のキーの唯一のコピーの生成と保存の両方 AWS KMS を要求する代わりに、 にキーマテリアルをインポートすることを選択できます。これにより AWS KMS、独自の 256 ビット対称暗号化キー、RSA または楕円曲線 (ECC) キー、またはハッシュベースのメッセージ認証コード (HMAC) キーを生成し、KMS キー識別子 (keyId) に適用できます。これは、*Bring Your Own Key* (BYOK) 方式と呼ばれることがあります。ローカルキー管理システムからインポートされたキーマテリアルは、 によって発行されたパブリックキー AWS KMS、サポートされている暗号化ラップアルゴリズム、および によって提供される時間ベースのインポートトークンを使用して保護する必要があります AWS KMS。このプロセスにより、暗号化されてインポートされたキーは、所有ユーザーの環境を離れた後のみ AWS KMS HSM による復号化が可能になります。

インポートされたキーマテリアルは、キーを生成するシステムに関する特定の要件がある場合、または の外部でキーのコピーをバックアップ AWS として必要とする場合に便利です。インポートされたキーマテリアルの全般的な可用性と耐久性については、ユーザー自身の責任となることにご留意ください。 AWS KMS にはインポートされたキーのコピーがあり、必要とされる間は高可用性を維持しますが、インポートされたキーは、削除のための特別な API「DeleteImportedKeyMaterial」を提供します。この API は、 がキーを復元するオプションなしで、 AWS KMS を持つインポートされたキーマテリアルのすべてのコピー AWS を直ちに削除します。また、インポートされたキーの有効期限を設定することができ、有効期限到達後はそのキーは使用できなくなります。キーを再度有効にするには AWS KMS、キーマテリアルを再インポートし、同じ keyId に割り当てる必要があります。インポートされたキーに対するこの削除アクションは、 がユーザーに代わって AWS KMS 生成して保存する標準キーとは異なります。標準の場合、キー削除プロセスには強制の待機期間があり、削除が予定されているキーはまず使用できないようにブロックされます。このアクションにより、データにアクセスするためにそのキーを必要とする可能性のあるアプリケーションまたは AWS サービスのログでアクセス拒否エラーを確認できます。このようなアクセスリクエストが表示された場合は、スケジュールされた削除をキャンセルしてキーを再度有効にすることができます。設定可能な待機期間 (7～30 日) が経過すると、KMS は、キーマテリアル、keyID、およびキーに関連付けられたすべてのメタデータを実際に削除します。可用性と耐久性の詳細については、「AWS KMS デベロッパーガイド」の「[Protecting imported key material](import-keys-protect.md)」を参照してください。

インポートされたキーマテリアルについては、留意すべき追加の制限事項があります。 AWS KMS は新しいキーマテリアルを生成できないため、インポートされたキーの自動ローテーションを設定する方法はありません。有効なローテーションを実現するためには、新しい keyId を使用して新しい KMS キーを作成し、そのうえで新しいキーマテリアルをインポートする必要があります。また、インポートされた対称キー AWS KMS で に作成された暗号文は、 の外部にあるキーのローカルコピーを使用して簡単に復号することはできません AWS。これは、 が使用する認証された暗号化形式 AWS KMS が暗号文にメタデータを追加して、復号オペレーション中に、以前の暗号化オペレーションで想定される KMS キーによって暗号文が作成されたことを保証するためです。ほとんどの外部暗号化システムは、こうしたメタデータを解析して未加工の暗号文にアクセスし、対称キーのコピーを使用可能にする方法を理解していません。によって暗号化テキストに追加されるメタデータ AWS KMS がないため、インポートされた非対称キー (RSA や ECC など) で作成された暗号化テキストは、キーの一致する部分 (パブリックまたはプライベート) AWS KMS で の外部で使用できます。

## AWS KMS カスタムキーストア
<a name="custom-key-store-overview"></a>

ただし、HSM の管理をさらに強化する必要がある場合は、カスタムキーストアを作成します。

*カスタムキーストア*は、 内のキーストア AWS KMS で AWS KMS、ユーザーが所有および管理している 外のキーマネージャーによってバックアップされます。カスタムキーストアは、 の便利で包括的なキー管理インターフェイス AWS KMS と、キーマテリアルと暗号化オペレーションを所有および制御する機能を組み合わせます。カスタムキーストアで KMS キーを使用する場合、暗号化のオペレーションは、ユーザーのキーマネージャーが、ユーザーの暗号化キーを使用して実行します。それにより、暗号化キーの可用性と耐久性、および HSM のオペレーションに対するユーザーの責任が増えます。

ユーザーによる HSM の所有は、標準 KMS キーストアなどのマルチテナントウェブサービスによる暗号化キーの保持を認めていない一部の法規制要件を満たすのに役立ちます。カスタムキーストアは AWS、マネージド HSMs を使用する KMS キーストアよりも安全ではありませんが、管理とコストへの影響は異なります (それ以上）。その結果、暗号化キーの可用性と耐久性、および HSM のオペレーションに対するユーザーの責任が増えます。 AWS KMS HSMs で標準キーストアを使用するか、カスタムキーストアを使用するかにかかわらず、このサービスは、 AWS 従業員を含む誰もアクセス許可なしでプレーンテキストキーを取得したり使用したりできないように設計されています。 は、2 種類のカスタムキーストア、 AWS CloudHSM キーストア、外部キーストア AWS KMS をサポートしています。

**サポートされていない機能**

AWS KMS は、カスタムキーストアで以下の機能をサポートしていません。
+ [非対称 KMS キー](symmetric-asymmetric.md)
+ [HMAC KMS キー](hmac.md)
+ [インポートされたキーマテリアルを持つ KMS キー](importing-keys.md)
+ [自動キーローテーション](rotate-keys.md)
+ [マルチリージョンキー](multi-region-keys-overview.md)

### AWS CloudHSM キーストア
<a name="hsm-store"></a>

 [AWS CloudHSM](https://aws.amazon.com/kms/pricing/) キーストアに KMS キーを作成できます。ここでは、ルートユーザーキーが生成、保存され、所有および管理している AWS CloudHSM クラスターで使用されます。一部の暗号化オペレーションにキーを使用する AWS KMS へのリクエストは、オペレーションを実行するために AWS CloudHSM クラスターに転送されます。 AWS CloudHSM クラスターが によってホストされている間は AWS、ユーザーが直接管理および運用するシングルテナントソリューションです。お客様は、 AWS CloudHSM クラスター内の KMS キーの可用性とパフォーマンスの大部分を所有しています。 AWS CloudHSM カスタムキーストアが要件に適しているかどうかを確認するには、 AWS セキュリティブログの[「カスタムキーストアは適切ですか？」を参照してください AWS KMS](https://aws.amazon.com/blogs/security/are-kms-custom-key-stores-right-for-you/)。

### 外部キーストア
<a name="external-store"></a>

 外部キーストア (XKS) を使用する AWS KMS ように を設定できます。ここで、ルートユーザーキーは、 外のキー管理システムで生成、保存、使用されます AWS クラウド。一部の暗号化オペレーションでキーを使用するための AWS KMS へのリクエストは、ユーザーの外部ホストシステムに転送されてそのオペレーションの実行に使用されます。具体的には、リクエストはまずネットワーク内の XKS プロキシに転送され、さらに XKS プロキシから使用する暗号化システムへと転送されます。XKS プロキシは、誰でも統合できるオープンソース仕様です。多くの商用キー管理ベンダーは XKS プロキシ仕様をサポートしています。外部キーストアはお客様または第三者によってホストされるため、システム内のキーの可用性、耐久性、およびパフォーマンスはすべてユーザーの責任となります。外部キーストアが要件に適しているかどうかを確認するには、 AWS ニュースブログの[AWS KMS 「外部キーストア (XKS) の発表](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/)」を参照してください。