翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # CloudHSM キーストアの KMS キー AWS CloudHSM キーストア AWS KMS keys で の作成、表示、管理、使用、削除のスケジュールを設定できます。手順は、他の KMS キーを使用する際の手順に非常によく似ています。唯一の違いは、KMS AWS CloudHSM キーを作成するときに キーストアを指定することです。次に、 は、キーストアに関連付けられているクラスター内の AWS CloudHSM KMS キーの抽出不可能な AWS CloudHSM キーマテリアル AWS KMS を作成します。キーストアで KMS AWS CloudHSM キーを使用すると、[暗号化オペレーション](#use-cmk-keystore)はクラスター内の HSMsで実行されます。 **サポートされている機能** このセクションで説明する手順に加えて、 キーストアの KMS AWS CloudHSM キーを使用して以下を実行できます。 + KMS キーへの[アクセスを承認する](control-access.md)ときは、キーポリシー、IAM ポリシー、グラントを使用します。 + KMS キーを[有効および無効にします](enabling-keys.md)。 + [タグ](tagging-keys.md)を割り当てて[エイリアス](kms-alias.md)を作成し、属性ベースのアクセス制御 (ABAC) を使用して KMS キーへのアクセスを承認します。 + KMS キーを使用して以下の暗号化オペレーションを実行します。 + [暗号化](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 非対称データキーペア ([GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) と [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)) を生成するオペレーション は、カスタムキーストアでサポートされていません。 + [AWS KMSを統合し、カスタマーマネージドキーをサポートするAWS サービス](service-integration.md)で KMS キーを使用します。 + [AWS CloudTrail ログ](logging-using-cloudtrail.md)と [Amazon CloudWatch モニタリングツール](monitoring-overview.md)での KMS キーの使用状況を追跡します。 **サポートされていない 機能** + AWS CloudHSM キーストアは、対称暗号化 KMS キーのみをサポートします。 AWS CloudHSM キーストアで HMAC KMS キー、非対称 KMS キー、または非対称データキーペアを作成することはできません。 + [キーストアの KMS キーにキーマテリアルをインポート](importing-keys.md)することはできません。 は、クラスター内の AWS CloudHSM KMS キーのキーマテリアル AWS KMS を生成します。 AWS CloudHSM + キーストアの KMS キーの AWS CloudHSM キーマテリアル[の自動ローテーション](rotate-keys.md)を有効または無効にすることはできません。 **キーストアでの KMS AWS CloudHSM キーの使用** リクエストで KMS キーを使用する場合は、ID またはエイリアスで KMS キーを識別します。 AWS CloudHSM キーストアまたは AWS CloudHSM クラスターを指定する必要はありません。レスポンスには、対称暗号化 KMS キーについて返されるものと同じフィールドが含まれます。 ただし、 AWS CloudHSM キーストアで KMS キーを使用する場合、暗号化オペレーションは AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスター内で完全に実行されます。オペレーションでは、選択した KMS キーに関連付けられているクラスターのキーマテリアルが使用されます。 これを可能にするには、次の条件が必要です。 + KMS キーの[キーストア](key-state.md)は `Enabled` である必要があります。キーステータスを検索するには、[AWS KMS コンソール](finding-keys.md#viewing-console-details)の **[ステータス]** フィールド、または [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) レスポンスの [`KeyState`] フィールドを使用します。 + AWS CloudHSM キーストアは AWS CloudHSM クラスターに接続する必要があります。[AWS KMS コンソール](view-keystore.md)の **[Status]** (ステータス) または [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) レスポンスの `ConnectionState` は、`CONNECTED` になっているはずです。 + カスタムキーストアに関連付けられている AWS CloudHSM クラスターには、少なくとも 1 つのアクティブな HSM が含まれている必要があります。クラスター内のアクティブな HSMs の数を確認するには、 [AWS KMS コンソール](view-keystore.md)、 AWS CloudHSM コンソール、または [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) オペレーションを使用します。 + AWS CloudHSM クラスターには、KMS キーのキーマテリアルが含まれている必要があります。キーマテリアルがクラスターから削除された場合、または HSM がキーマテリアルを含まないバックアップから作成された場合、暗号化オペレーションは失敗します。 これらの条件が満たされない場合、暗号化オペレーションは失敗し、 は`KMSInvalidStateException`例外 AWS KMS を返します。通常、[AWS CloudHSM キーストアを再接続するだけで済みます](connect-keystore.md)。その他のヘルプについては、「[失敗した KMS キーを修正するには](fix-keystore.md#fix-cmk-failed)」を参照してください。 AWS CloudHSM キーストアで KMS キーを使用する場合は、各 AWS CloudHSM キーストアの KMS キーが[暗号化オペレーションのカスタムキーストアリクエストクォータ](requests-per-second.md#rps-key-stores)を共有することに注意してください。クォータを超えると、 は AWS KMS を返します`ThrottlingException`。 AWS CloudHSM キーストアに関連付けられている AWS CloudHSM クラスターが、 AWS CloudHSM キーストアに関連しないコマンドなど、多数のコマンドを処理している場合、 はさらに低いレート`ThrottlingException`で取得される可能性があります。すべてのリクエストで `ThrottlingException` が表示される場合、リクエスト速度を下げ、再度コマンドを試してください。カスタムキーストアのリクエストクォータの詳細については、「[カスタムキーストアのリクエストクォータ](requests-per-second.md#rps-key-stores)」を参照してください。 **詳細情報** + AWS CloudHSM キーストアの詳細については、「」を参照してください[AWS CloudHSM キーストア](keystore-cloudhsm.md)。 + キーストアで KMS AWS CloudHSM キーを作成するには、「」を参照してください[キーストアに KMS AWS CloudHSM キーを作成する](create-cmk-keystore.md)。 + キーストア内の KMS AWS CloudHSM キーを識別して表示するには、「」を参照してください[キーストア内の KMS AWS CloudHSM キーを特定する](identify-key-types.md#identify-key-hsm-keystore)。 + キーストアで KMS キーと AWS CloudHSM キーマテリアルを検索するには、「」を参照してください[キーストアで KMS キーと AWS CloudHSM キーマテリアルを検索する](find-key-material.md)。 + AWS CloudHSM キーストアで KMS キーを削除するための特別な考慮事項については、[AWS CloudHSM 「キーストアから KMS キーを削除する](deleting-keys.md#delete-cmk-keystore)」を参照してください。