マネージド HSM の使用 - - Alibaba Cloud ドキュメントセンター

マネージド HSM の無料トライアル版の有効化

プリセールスコンサルタントまたはアフターセールスコンサルタントに連絡して、マネージド HSM の無料トライアル版を有効にすることができます。

マネージド HSM によるキーの作成

マネージド HSM は、一部のリージョンでのみ使用できます。サポートされるリージョンの詳細は、「サポートするリージョン」をご参照ください。

コンソールでのキーの作成

KMS コンソールにログインします。
ページの左上隅で、リージョンを選択します。 [キーの作成] をクリックします。
[保護レベル] ドロップダウンリストから、[HSM] を選択します。
説明を入力して、[OK] をクリックします。

キーが作成されると、その [保護レベル] が [キーの詳細] および [キー] ページに表示されます。

Alibaba Cloud CLI を使用したキーの作成

aliyun kms CreateKey --ProtectionLevel HSM --Description "Key1 in Managed HSM"

キーの保護レベルは、キーが作成された後の出力、または Alibaba Cloud CLI を使用して呼び出した DescribeKey の出力から読み取ることができます。例：

{
  "KeyMetadata": {
    "CreationDate": "2019-07-04T13:14:15Z",
    "Description": "Key1 in Managed HSM",
    "KeyId": "1234abcd-12ab-34cd-56ef-12345678****",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT/DECRYPT",
    "DeleteDate": "",
    "Creator": "111122223333",
    "Arn": "acs:kms:cn-hongkong:111122223333:key/1234abcd-12ab-34cd-56ef-12345678****",
    "Origin": "Aliyun_KMS",
    "MaterialExpireTime": "",
    "ProtectionLevel": "HSM"
  },
  "RequestId": "8eaeaa8b-4491-4f1e-a51e-f95a4e54620c"
}

外部キーのマネージド HSM へのインポート

ユーザーが作成したキーインフラストラクチャからマネージド HSM にキーをインポートすることもできます。これは、キーマテリアルのインポートプロセスの最初のステップで、[保護レベル] を [HSM] に設定するだけです。このステップは外部キーの作成を行うものです。残りのステップは変更しないでください。

Alibaba Cloud 側のアクション：

GetParametersForImport が呼び出されると、Alibaba Cloud は HSM 保護レベルを元にマネージド HSM に外部キーをインポートするためのキーペアを生成し、キーペアの公開キーを返します。
ImportKeyMaterial が呼び出されると、Alibaba Cloud は暗号化された外部キーマテリアルをマネージド HSM にインポートし、HSM キーをアンラップしてキーマテリアルを取得します。インポートされた平文キーマテリアルはエクスポートされません。

キーの管理および使用

KMS がサポートするすべての管理および暗号化の機能は、マネージド HSM で作成されたキーに適用できます。具体的には、次のことができます。

キーの有効化および無効化
キーライフサイクルの管理
キーエイリアスの管理
キータグの管理
キー操作の呼び出し

他のクラウドプロダクトとの統合

マネージド HSM で作成されたキーは、KMS の標準 API を介して ECS、RDS、OSS などの他のクラウドプロダクトで使用し、Alibaba Cloud 上のオリジナルデータを保護できます。この場合、クラウドプロダクトはカスタムキーを使用したサーバー側の暗号化をサポートする必要があります。これは、クラウドプロダクトでサーバー側の暗号化用に CMK を設定するときに、マネージド HSM で作成されたキーを選択するだけです。