翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Payment Cryptography のマルチパーティー承認
AWS Payment Cryptography は、Amazon Web Services Organizations の一機能であるマルチパーティー承認 (MPA) と統合され、分散承認プロセスを通じて重要な運用を保護するのに役立ちます。MPA では、複数の信頼できる個人が特定の AWS Payment Cryptography オペレーションを実行する前に承認するように要求できます。
トピック
概要
マルチパーティー承認は、オペレーションを進める前に信頼された個人のグループからの承認を要求することで、機密性の高い AWS Payment Cryptography オペレーションにセキュリティレイヤーを追加します。これにより、1 つの認証情報セットが侵害された場合に不正な変更から保護し、1 人の個人が一方的に変更を行うのを防ぐことができます。
承認チームは、組織内の承認者のグループであり、保護されたオペレーションリクエストを承認または拒否するために指定します。承認プロセスは、組織の承認者によって完全に管理されます。リクエストの承認または拒否には AWS 、担当者は関与しません。
保護されたオペレーションで MPA が有効になっている場合、以下が発生します。
-
リクエスタは、保護されたオペレーションを開始します。
-
MPA は承認セッションを作成し、承認チームメンバーに通知します。
-
承認チームメンバーはリクエストを確認し、MPA ポータルを通じて承認または拒否します。
-
必要な承認の最小しきい値に達すると、オペレーションが続行されます。リクエストが承認チームによって拒否された場合、または承認のしきい値に達する前に許可されたセッション時間が期限切れになった場合、オペレーションは実行されません。いずれの場合も、リクエスタはオペレーションを再試行するために新しいリクエストを送信する必要があります。
注記
MPA を有効にしてルート CA 証明書をインポートする場合、 RequesterCommentパラメータは必須です。このコメントは、承認チームに送信される承認通知に含まれ、リクエストのコンテキストを提供します。
保護されたオペレーション
AWS Payment Cryptography は、次のオペレーションの MPA をサポートしています。
-
ImportKeyRootCertificatePublicKeyキーマテリアルを使用した - ルートパブリックキー証明書のインポートは重要な操作です。ルート証明書は、TR-34 などの非対称キー交換を使用して、後続のすべてのキーのインポートとエクスポートの信頼アンカーを確立するためです。このオペレーションにマルチパーティー承認を要求すると、単一の個人が AWS Payment Cryptography キーの信頼のルートを一方的に確立または変更できないようになります。
前提条件
AWS Payment Cryptography で MPA を使用する前に、次の前提条件を満たす必要があります。
-
Amazon Web Services Organizations 環境で MPA を設定します。手順については、「マルチパーティー承認とは」を参照してください。 「マルチパーティー承認ユーザーガイド」の「」を参照してください。
-
必要な承認者を持つ承認チームを少なくとも 1 つ作成します。
-
を使用して AWS Payment Cryptography キー AWS アカウント を含む と承認チームを共有します AWS Resource Access Manager。
-
組織内の管理アカウントは、マルチパーティー承認にオプトインする必要があります。
MPA の有効化と無効化
承認チームをセットアップしたら、チームをアカウントに関連付けることで AWS Payment Cryptography の MPA を有効にできます。チームの関連付けを解除することで MPA を無効にすることもできますが、関連付けを解除するには現在関連付けられている承認チームの承認が必要です。
MPA を有効にする
AssociateMpaTeam API アクションまたは associate-mpa-team CLI コマンドを使用して、承認チームを AWS Payment Cryptography アカウントと関連付けます。関連付けると、保護されたオペレーションを続行するには、チームの承認が必要です。
aws payment-cryptography associate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
MPA を無効にする
DisassociateMpaTeam API アクションまたは disassociate-mpa-team CLI コマンドを使用して、承認チームの関連付けを削除します。チームの関連付けを解除することは、それ自体が保護されたオペレーションであり、現在関連付けられている承認チームの承認が必要です。
aws payment-cryptography disassociate-mpa-team \ --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team
重要
MPA を無効にするには、現在関連付けられている承認チームの承認が必要です。これにより、単一の個人がマルチパーティー承認保護を一方的に削除することはできません。
注記
--requester-comment パラメータは、 associate-mpa-teamおよび ではオプションですdisassociate-mpa-team。
開始方法
MPA for AWS Payment Cryptography の使用を開始するには、「マルチパーティー承認ユーザーガイド」を参照して、承認チームの作成、承認ポリシーの設定、承認セッションの管理方法など、詳細なセットアップ手順を確認してください。
例: MPA を有効にしてルート証明書をインポートする
MPA が有効になり、承認チームが の ImportKeyオペレーションに関連付けられている場合RootCertificatePublicKey、インポートリクエストを続行するには承認が必要です。
-
リクエスタは
import-keyを呼び出してルートパブリックキー証明書をインポートします。このコマンドを使用するには、コマンド例の斜体のプレースホルダーテキストを独自の情報に置き換えます。aws payment-cryptography import-key \ --key-material='{"RootCertificatePublicKey": { "KeyAttributes": { "KeyAlgorithm": "RSA_4096", "KeyClass": "PUBLIC_KEY", "KeyModesOfUse": {"Verify": true}, "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE" }, "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \ --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"レスポンスは、リクエストが承認を待っていることを示す
CREATE_IN_PROGRESSをKeyStateに設定してキーを返します。レスポンスにはMpaStatus、承認セッションの詳細も含まれています。{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } } -
MPA が有効になっているため、リクエストはすぐには完了しません。代わりに、 AWS Payment Cryptography は承認セッションを作成し、承認が保留中であることを示すレスポンスを返します。
-
承認チームメンバーは、MPA ポータルを通じて通知を受け取り、リクエストを確認します。必要な数の承認者がリクエストを承認すると、インポートオペレーションが続行され、ルート証明書がインポートされます。
AWS CloudTrail MPA イベントのログ記録
MPA を有効にすると、 AWS Payment Cryptography は、承認セッションが完了すると AWS CloudTrail にサービスイベントを記録します。これらのイベントは、リクエストが承認されたか失敗したかなど、承認プロセスの結果を記録します。これらのログを使用して MPA アクティビティを監査し、保護されたオペレーションのステータスを追跡できます。
MPA 関連の CloudTrail イベントには、 の次のフィールドが含まれますserviceEventDetails。
-
keyArn— オペレーションの影響を受けるキーの ARN。 -
operation— リクエストされた保護されたオペレーション。 -
mpaSessionArn— MPA 承認セッションの ARN。 -
sessionStatus— 承認セッションの結果 (APPROVEDまたはFAILED)。
承認されたリクエスト
次の例は、MPA チームによって承認されたImportKeyリクエストの CloudTrail イベントを示しています。
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:49:51Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e", "sessionStatus": "APPROVED" } }
失敗したリクエスト
次の例は、拒否またはタイムアウトされたImportKeyリクエストの CloudTrail イベントを示しています。
{ "eventVersion": "1.11", "eventTime": "2026-04-28T18:50:35Z", "eventName": "ImportKey", "eventSource": "payment-cryptography.amazonaws.com", "eventType": "AwsServiceEvent", "eventCategory": "Management", "awsRegion": "us-east-1", "readOnly": false, "managementEvent": true, "recipientAccountId": "111122223333", "userIdentity": { "accountId": "111122223333", "invokedBy": "payment-cryptography.amazonaws.com" }, "resources": [ { "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "accountId": "111122223333", "type": "AWS::PaymentCryptography::Key" } ], "serviceEventDetails": { "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7", "operation": "ImportKey", "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2", "sessionStatus": "FAILED" } }
詳細については AWS CloudTrail、 AWS CloudTrail ユーザーガイドを参照してください。
リクエストステータスの確認と失敗の処理
保留中の MPA リクエストのステータスを確認するには、 を呼び出しますGetKey。レスポンスには、現在の承認セッションの詳細を含む MpaStatusフィールドが含まれます。このコマンドを使用するには、コマンド例の斜体のプレースホルダーテキストを独自の情報に置き換えます。
aws payment-cryptography get-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
リクエストが承認保留中の間、レスポンスは KeyStateCREATE_IN_PROGRESSと MpaStatus.Statusと表示されますPENDING。
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_IN_PROGRESS", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "PENDING", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
必要な数の承認者がリクエストを承認すると、 は KeyStateに移動CREATE_COMPLETEし、 MpaStatus.Statusに移動しますAPPROVED。これで、キーを使用する準備が整いました。
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "APPROVED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00" } } }
リクエストが承認チームによって拒否された場合、または承認しきい値に達する前にセッションの有効期限が切れた場合、 は KeyStateに変更CREATE_FAILEDされ、 は に変更MpaStatus.StatusされますFAILED。
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE", "KeyClass": "PUBLIC_KEY", "KeyAlgorithm": "RSA_4096" }, "Enabled": true, "KeyState": "CREATE_FAILED", "KeyOrigin": "EXTERNAL", "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00", "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00", "MpaStatus": { "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456", "Status": "FAILED", "InitiationDate": "2026-04-27T10:15:30.000000+00:00", "StatusMessage": "Approval session expired or was denied" } } }
CREATE_FAILED ステータスのキーを暗号化オペレーションに使用することはできません。インポートを再試行するには、新しいImportKeyリクエストを送信する必要があります。これにより、新しい承認セッションが作成されます。
