専用KMSインスタンスのアプリケーションアクセスポイント (AAP) を作成した後、AAPポリシーの [スコープ] フィールドに専用KMSを表示できます。 ビジネス要件に基づいて、AAPを更新したり、AAPを削除したり、クライアントキーを削除したりできます。
AAPの作成
専用KMSインスタンスが [有効] 状態の場合、インスタンスのAAPとクライアントキーを作成できます。 これにより、アプリケーションは専用KMSインスタンスにアクセスできます。 クライアントキーは、アプリケーションID資格情報として使用されます。
KMS コンソールにログインします。
上部のナビゲーションバーで、専用KMSインスタンスが存在するリージョンを選択します。
左側のナビゲーションウィンドウで、専用KMSをクリックします。
[専用KMS] ページで、AAPを作成する専用KMSインスタンスを見つけ、[操作] 列の [詳細] をクリックします。
[アプリケーションアクセス専用KMS] セクションで、[アプリケーションアクセスポイントの作成] をクリックします。
[アプリケーションアクセス資格と権限の設定] パネルで、パラメーターを設定します。
[アプリケーションアクセスポイントの名前] に名前を入力します。
[アクセス制御ポリシー] の下のパラメーターを設定します。
Accessible Resources: デフォルト値の
Key/*を保持します。 この値は、アプリケーションがDedicated KMSインスタンスのすべてのキーにアクセスできることを示します。許可されたIPアドレス: 専用KMSインスタンスへのアクセスが許可されているネットワークタイプとIPアドレスを入力します。 プライベートIPアドレスまたはCIDRブロックを入力できます。 複数のIPアドレスまたはCIDRブロックをコンマ (,) で区切ります。
[作成] をクリックします。
[アプリケーションアクセス資格情報] ダイアログボックスで、[パスワード] と [資格情報] からパスワードとクライアントキーをコピーします。
パスワード: [コピー] をクリックしてパスワードを取得します。
資格情報: [ダウンロード] をクリックしてクライアントキーを保存します。
クライアントキーは、keyIDとPrivateKeyDataで構成されます。 例:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }説明専用KMSは、クライアントキーのPrivateKeyDataを保存しません。 PrivateKeyDataで示される暗号化されたPKCS 12ファイルは、クライアントキーを作成する場合にのみ取得できます。 ファイルを秘密にしておく必要があります。
[閉じる] をクリックします。
AAPの作成後、左側のナビゲーションウィンドウで [アプリケーション] をクリックして、AAPに関する情報を表示できます。 情報には、認証方法、許可ポリシー、ネットワークアクセス規則、およびクライアント鍵が含まれます。
[Applications access Dedicated KMS] セクションで、[Configure CA Certificate for Dedicated KMS Instance] の下の [ダウンロード] をクリックし、PEM形式の認証局 (CA) 証明書ファイルをダウンロードします。
AAPの更新
AAPの専用KMSインスタンスの権限を変更するには、AAPのポリシーを更新します。 これにより、さまざまなアプリケーションが必要なインスタンスにアクセスできます。
KMS コンソールにログインします。
上部のナビゲーションバーで、AAPを作成するリージョンを選択します。
左側のナビゲーションウィンドウで、アプリケーションをクリックします。
AAPの名前をクリックします。 表示されるページで、右上隅の [更新] をクリックします。
[アプリケーションアクセスポイントの更新] ダイアログボックスで、ポリシーを更新します。
[ポリシー] の右側にある
アイコンをクリックします。 [RBACポリシー] ダイアログボックスで、次のパラメーターを設定し、[作成] をクリックします。
パラメーター
説明
ポリシー名
ポリシー名。
スコープ
ポリシーの範囲。
専用KMSインスタンスのサービスIDを選択します。
RBAC権限
権限管理テンプレート。 テンプレートは、特定のリソースに対して実行できる操作を指定します。
CryptoServiceKeyUserを選択します。
アクセス可能なリソース
ポリシーが有効になるリソース。 次のいずれかの方法でリソースを設定できます。
方法1: [キー: リソース] セクションで、既存のリソースを選択し、アイコンをクリックし
ます。 方法2: [キー: 選択したリソース] セクションで、
アイコンをクリックします。 表示されるダイアログボックスで、リソースを指定し、[追加] をクリックします。 説明ワイルドカード文字のアスタリスク (*) をサフィックスとして使用できます。
ネットワークアクセス規則
インスタンスへのアクセスが許可されているネットワークタイプとIPアドレス。
[ルール] セクションで、既存のルールを選択するか、次の手順を実行してルールを作成します。
- アイコンをクリックします。
[ネットワークアクセスルールの作成] ダイアログボックスで、次のパラメーターを設定します。
名前: ネットワークアクセスルールの名前を入力します。
ネットワークタイプ: インスタンスへのアクセスが許可されているネットワークのタイプを選択します。
アプリケーションが仮想プライベートクラウド (VPC) 経由でインスタンスにアクセスする場合は、[プライベート] を選択します。
説明: ネットワークアクセスルールに関する説明を入力します。
許可されたプライベートIPアドレス: インスタンスへのアクセスが許可されているIPアドレスを入力します。
プライベートIPアドレスまたはCIDRブロックを入力できます。 複数のIPアドレスまたはCIDRブロックをコンマ (,) で区切る必要があります。
[作成] をクリックします。
新しいルールを選択し、
アイコンをクリックします。
新しいポリシーを選択し、
アイコンをクリックします。
説明を入力し、[更新] をクリックします。
AAPの削除
AAPが削除されると、AAPにバインドされているすべてのクライアントキーが削除されます。
AAPを削除する前に、AAPが使用されていないことを確認してください。 使用中のAAPを削除すると、サービスが利用できなくなることがあります。
KMS コンソールにログインします。
上部のナビゲーションバーで、AAPを作成するリージョンを選択します。
左側のナビゲーションウィンドウで、アプリケーションをクリックします。
削除するAAPを見つけて、[操作] 列の [削除] をクリックします。
[アプリケーションアクセスポイントの削除] メッセージで、[OK] をクリックします。
クライアントキーの削除
クライアントキーは、アプリケーションの認証に使用されます。 クライアントキーを作成するときは、クライアントキーのPKCS 12ファイルを保存する必要があります。 PKCS 12ファイルが失われた場合は、クライアントキーを削除し、別のクライアントキーを作成する必要があります。
クライアントキーを削除する前に、クライアントキーが使用されていないことを確認してください。 使用中のクライアントキーを削除すると、サービスが利用できなくなることがあります。
KMS コンソールにログインします。
上部のナビゲーションバーで、AAPを作成するリージョンを選択します。
左側のナビゲーションウィンドウで、アプリケーションをクリックします。
AAPの名前をクリックします。
[クライアントキー] セクションでクライアントキーを見つけ、[操作] 列の [削除] をクリックします。
[クライアントキーの削除] メッセージで、[OK] をクリックします。