すべてのプロダクト
Search

このプロダクト

    Key Management Service:マネージドHSMの使用

    ドキュメントセンター

    Key Management Service:マネージドHSMの使用

    最終更新日:Jan 22, 2025

    このトピックでは、マネージHSMを使用してカスタマーマスターキー (CMK) を作成および使用する方法について説明します。

    このタスクについて

    マネージドHSMは、サポートされているリージョンでのみ使用できます。 詳細については、「サポートされるリージョン」をご参照ください。

    Key Management Service (KMS) コンソールでのCMKの作成

    1. KMS コ ンソールにログインします。
    2. 上部のナビゲーションバーで、CMKを作成するリージョンを選択します。
    3. 左側のナビゲーションウィンドウで、[キー] をクリックします。
    4. [キーの作成] をクリックします。
    5. [キーの作成] ダイアログボックスで、[KMSインスタンス][キースペック][目的][エイリアス名][保護レベル][説明][ローテーション期間] 、および [キーマテリアルソース] パラメーターを設定します。
      説明
      • 保護レベルパラメーターをHsmに設定することを推奨します。
      • パラメーターの詳細については、「CMK を作成する」をご参照ください。
    6. [OK] をクリックします。
      CMKの作成後、[保護レベル] 列にCMKの保護レベルを表示できます。

    Alibaba Cloud CLIを使用したCMKの作成

    1. CreateKey操作を呼び出して、CMKを作成します。 
      aliyun kms CreateKey --ProtectionLevel HSM --Description "Key1 in Managed HSM"
    2. DescribeKey操作を呼び出して、CMKの保護レベルを照会します。 
      aliyun kms DescribeKey -- KeyId 1234abcd-12ab-34cd-56ef-12345678 ****

      期待される出力:

      {
  "KeyMetadata": {
    "CreationDate": "2019-07-04T13:14:15Z",
    "Description": "Key1 in Managed HSM",
    "KeyId": "1234abcd-12ab-34cd-56ef-12345678****",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT/DECRYPT",
    "DeleteDate": "",
    "Creator": "151266687691 ****" 、
    "Arn": "acs:kms:cn-hongkong:151266687691 ****:key/1234abcd-12ab-34cd-56ef-12345678 ****" 、
    "Origin": "Aliyun_KMS",
    "MaterialExpireTime": "",
    "ProtectionLevel": "HSM"
  },
  "RequestId": "8eaeaa8b-4491-4f1e-a51e-f95a4e54620c"
}

    マネージHSMへの外部CMKのインポート

    ユーザー管理キーインフラストラクチャから管理対象HSMに外部CMKをインポートする場合は、外部CMKを作成するときにProtection LevelパラメーターをHsmに設定する必要があります。 外部CMKの作成方法の詳細については、「KMSコンソールでのキーマテリアルのインポート」をご参照ください。

    インポートが開始されると、KMSは次の操作を実行します。
    • GetParametersForImport操作を呼び出すと、KMSはマネージHSMでキーペアを生成し、Hsm保護レベルに基づいて外部CMKをインポートし、キーペアの公開キーを返します。
    • ImportKeyMaterial操作を呼び出すと、KMSは暗号化された外部キーマテリアルをマネージドHSMにインポートし、マネージドHSMのキーアンラッピング機構を使用してキーマテリアルを取得します。キーマテリアルのプレーンテキストはエクスポートできません。

    CMKの管理と使用

    KMSでサポートされているすべての管理および暗号化機能を、マネージドHSMで作成されたCMKに適用できます。これらの機能により、次の操作を実行できます。
    • CMKを有効または無効にします。
    • CMKのライフサイクルを管理します。
    • CMKのエイリアスを管理します。
    • CMKのタグを管理します。
    • 暗号化API操作を呼び出します。

    他のAlibaba Cloudサービスとの統合

    マネージドHSMのCMKは、標準のKMS APIを使用して、Elastic Compute Service (ECS) 、ApsaraDB RDS、Object Storage Service (OSS) などの他のAlibaba Cloudサービスのネイティブデータを保護するために使用できます。 前提条件は、Alibaba Cloudサービスがユーザー管理CMKを使用してサーバー側暗号化 (SSE) をサポートすることです。 サーバー側の暗号化機能を使用するには、Alibaba Cloudサービス用にマネージドHSMで作成されたCMKを設定するだけです。