このトピックでは、Key Management Service (KMS) インスタンスを有効化、表示、スペックアップ、更新する方法、およびインスタンスのセキュリティ監査を有効化する方法について説明します。
KMS インスタンスの残りのサブスクリプション期間にご注意ください。ビジネスの中断を防ぐために、インスタンスの有効期限が切れる前に更新してください。詳細については、「有効期限のルール」をご参照ください。
KMS インスタンスの有効化
KMS インスタンスを購入した後、そのキーおよび資格情報管理機能を使用する前に、インスタンスを有効化する必要があります。
ソフトウェアキー管理インスタンスの有効化
前提条件
1 つの VPC と 1 つの vSwitch が必要です。
KMS インスタンスを有効化する前に、まず VPC 管理コンソールにログインして、既存の VPC、vSwitch、および vSwitch が配置されているゾーンを確認することをお勧めします。新しい VPC と vSwitch を作成することもできます。詳細については、「VPC と vSwitch の作成」または「vSwitch の作成」をご参照ください。
Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土以外で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土で KMS インスタンスを購入する場合は、Cloud DNS PrivateZone を手動で有効化する必要があります。詳細については、「PrivateZone の有効化」をご参照ください。
説明Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土以外で KMS インスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効化します。手動で有効化する必要はありません。
KMS は、KMS インスタンスの名前解決のコストをカバーします。PrivateZone に料金を支払う必要はありません。
手順
ハードウェアキー管理インスタンスの有効化
前提条件
KMS インスタンスが接続できる暗号化クラスターを設定しておく必要があります。詳細については、「KMS ハードウェアキー管理インスタンスの暗号化クラスターを設定する」をご参照ください。
警告HSM クラスター内の HSM の数を拡張する予定がある場合は、Alibaba Cloud のテクニカルサポートに連絡して、クラスターの同期方法を自動同期に変更してください。これにより、同期の失敗を防ぐことができます。
KMS インスタンスに設定された各ゾーンに vSwitch があることを確認してください。次のセクションでは、デュアルゾーンデプロイメントを例として使用します。
(推奨) HSM インスタンスにアタッチされている 2 つの vSwitch を使用します。この場合、vSwitch を作成する必要はありません。各 vSwitch に 4 つの利用可能な IP アドレスが予約されていることを確認するだけです。
HSM インスタンスにアタッチされている 2 つの vSwitch を使用しない場合は、異なるゾーンに 2 つの vSwitch を作成する必要があります。各 vSwitch に 4 つの利用可能な IP アドレスが予約されていることを確認してください。詳細については、「vSwitch の作成」をご参照ください。
VPC コンソールにログインし、[vSwitch] ページで対象の vSwitch をクリックし、詳細ページで利用可能な IP アドレス数を確認できます。
Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土以外で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土で KMS インスタンスを購入する場合は、Cloud DNS PrivateZone を手動で有効化する必要があります。詳細については、「PrivateZone の有効化」をご参照ください。
説明Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土以外で KMS インスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効化します。手動で有効化する必要はありません。
KMS は、KMS インスタンスの名前解決のコストをカバーします。PrivateZone に料金を支払う必要はありません。
手順
ハードウェアキー管理インスタンスはコンソールでのみ有効化できます。KMS API または Terraform を使用して有効化することはできません。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
ハードウェアキー管理 タブをクリックし、対象のハードウェアキー管理インスタンスを見つけ、操作 列の 有効化 をクリックします。
Connect to HSM パネルで、構成を完了し、Connect to HSM をクリックして HSM クラスターを指定します。
設定項目
説明
Instance Name
KMS インスタンスのカスタム名を入力します。名前には、文字、数字、および特殊文字
_/+=.@-を含めることができます。Select Cluster
CloudHSM で設定した HSM クラスターを選択します。
説明ハードウェアキー管理インスタンスは 1 つの HSM クラスターにのみアタッチできます。
Configure HSM Access Secret.
中国本土の HSM クラスター
KMS ハードウェアキー管理インスタンスは、双方向 TLS 認証を使用して HSM に接続します。HSM の購入時に証明書を自動的に生成することを選択できます。そうすると、HSM は自動的に証明書を生成します。クライアント SDK 側で証明書を設定するだけで、HSM は自動的にサーバー側の暗号化マシンにデプロイします。HSM が証明書を自動的に生成するように設定しない場合は、クライアント証明書 (セキュリティトークン付きの PKCS12 形式の証明書) とセキュリティドメイン証明書 (HSM クラスターの TLS サーバー側証明書を発行するために使用される PEM 形式の CA 証明書) を設定する必要があります。証明書の生成方法の詳細については、「マスター HSM インスタンスの双方向 TLS 認証を設定する」をご参照ください。
Client Protection Password: クライアント証明書
client.p12を生成するときに設定した保護パスワードです。証明書生成ツール (hsm_certificate_generate) を使用する場合、デフォルトのパスワードは12345678です。Client Certificate: PKCS12 証明書です。Select File をクリックし、生成された
client.p12ファイルを選択してアップロードします。Security Domain Certificate: PEM 形式の CA 証明書です。Select File をクリックし、生成された
rootca.pemファイルを選択してアップロードします。
中国本土以外の HSM クラスター
Username: HSM オペレーターのユーザー名 (固定で
kmsuser)。Password: HSM オペレーターのアクセスパスワードです。これは、HSM オペレーターを作成したときに設定したパスワードです。
Security Domain Certificate: PEM 形式の CA 証明書です。CloudHSM コンソールにログインし、クラスター内の任意の HSM インスタンスの ID をクリックし、[インスタンス詳細] タブの下部にある [ClusterOwnerCertificate] を見つけます。これがセキュリティドメイン証明書です。コンテンツを直接コピーするか、PEM ファイルとして保存してアップロードできます。
VPC ID
デフォルトでは、これは HSM にアタッチされている VPC の ID です。変更することはできません。
Configure Zone and vSwitch
これは、インスタンス購入時に選択したデプロイメントモードに関連しています。デュアルゾーンまたはマルチゾーンのデプロイメントがサポートされています。各ゾーンの vSwitch には 4 つの利用可能な IP アドレスを予約する必要があります。
マルチゾーンデプロイメントの場合、最大 3 つのゾーンを設定できます。
説明デュアルゾーンまたはマルチゾーンのデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を実現するために使用されます。サービスが配置されているゾーンとそうでないゾーンを選択した場合の待機時間とパフォーマンスの差はごくわずかです。ニーズに基づいて選択できます。
インスタンスの購入時に資格情報クォータを選択した場合は、約 30 分待ってからページを更新します。資格情報クォータを選択しなかった場合は、約 10 分待ってからページを更新します。ハードウェアキー管理インスタンスのステータスが Enabled に変わると、インスタンスは有効化されます。
外部キー管理インスタンスの有効化
前提条件
外部 HSM を購入し、XKI プロキシを設定しておく必要があります。詳細については、HSM プロバイダーにお問い合わせください。
説明詳細については、「XKI プロキシサーバー」をご参照ください。
KMS は、パブリックエンドポイントまたは VPC エンドポイントサービスを使用して XKI プロキシに接続できます。VPC エンドポイントを使用するには、まずエンドポイントサービスを作成する必要があります。詳細については、「エンドポイントサービスの作成と管理」をご参照ください。エンドポイントサービスを作成する際は、次の点に注意してください。
エンドポイントサービスの 2 つのゾーンは、KMS インスタンスを有効化するときに選択したゾーンと同じである必要があります。
現在の Alibaba Cloud アカウントをエンドポイントサービスのホワイトリストに追加する必要があります。
エンドポイントサービスの [接続を自動承諾] 設定は [はい] に設定する必要があります。
Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土以外で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土で KMS インスタンスを購入する場合は、PrivateZone を手動で有効化する必要があります。詳細については、「PrivateZone の有効化」をご参照ください。
説明Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土以外で KMS インスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効化します。手動で有効化する必要はありません。
KMS は、KMS インスタンスの名前解決のコストをカバーします。PrivateZone に料金を支払う必要はありません。
手順
外部キー管理インスタンスはコンソールでのみ有効化できます。KMS API または Terraform を使用して有効化することはできません。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
External Key Management タブをクリックし、対象のインスタンスを見つけ、操作 列の 有効化 をクリックします。
Connect to HSM パネルで、構成を完了し、Connect to HSM をクリックして HSM クラスターを指定します。
設定項目
説明
Instance Name
KMS インスタンスのカスタム名を入力します。名前には、文字、数字、および特殊文字
_/+=.@-を含めることができます。VPC ID
KMS インスタンスにアタッチする VPC を選択します。
Zone Configuration
これは、インスタンス購入時に選択したデプロイメントモードに関連しています。デュアルゾーンまたはマルチゾーンのデプロイメントがサポートされています。マルチゾーンデプロイメントの場合、最大 3 つのゾーンを設定できます。
Zone and vSwitch Configuration: ゾーンと vSwitch を設定します。vSwitch に少なくとも 1 つの利用可能な IP アドレスがあることを確認してください。
Other Zones: ゾーンをランダムに割り当てるか、手動で指定することができます。
説明一部のリージョンでは 1 つのゾーンしか提供されていません。これらのリージョンの KMS インスタンスは、シングルゾーンにのみデプロイできます。
デュアルゾーンまたはマルチゾーンのデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を実現するために使用されます。サービスが配置されているゾーンとそうでないゾーンを選択した場合の待機時間とパフォーマンスの差はごくわずかです。ニーズに基づいて選択できます。
External Proxy Connectivity
Public Endpoint Connectivity: KMS インスタンスはインターネット経由で XKI プロキシに接続します。
VPC Endpoint Service Connectivity : KMS インスタンスは VPC エンドポイントサービスを使用して XKI プロキシに接続します。
Domain Name of External Proxy
これは、External Proxy Connectivity が Public Endpoint Connectivity に設定されている場合にのみ必要です。XKI プロキシのドメイン名を入力します。
Endpoint Service
これは、External Proxy Connectivity が VPC Endpoint Service Connectivity に設定されている場合にのみ必要です。エンドポイントサービスを選択します。
KMS インスタンスを有効化するために選択したゾーンは、エンドポイントサービスのゾーンと同じである必要があります。
External Proxy Configuration
Manual Configuration: XKI プロキシの External Proxy Path、Certificate Fingerprint、AccessKey ID、および AccessKey シークレットを手動で設定します。
Configuration File Upload: ファイルをアップロードして設定します。
インスタンスの購入時に資格情報クォータを選択した場合は、約 30 分待ってからページを更新します。資格情報クォータを選択しなかった場合は、約 10 分待ってからページを更新します。外部キー管理インスタンスのステータスが Enabled に変わると、インスタンスは有効化されます。
KMS インスタンスのエイリアスの設定
KMS インスタンスのエイリアスは、長さが 1~128 文字で、文字、数字、および次の特殊文字のみを含めることができます: /_+=.@-。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
対象のインスタンスのタブをクリックします。インスタンス ID の下にある
編集アイコンをクリックしてエイリアスを設定します。
KMS インスタンスの詳細の表示
Key Management Service (KMS) インスタンスを有効化した後、インスタンス ID、VPC アドレス、関連付けられた仮想プライベートクラウド (VPC) などの詳細を表示できます。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
インスタンス管理 ページで、ビジネス要件に基づいてインスタンスタイプのタブをクリックします。
対象の KMS インスタンスを見つけ、操作 列の 詳細 をクリックします。インスタンス詳細ページが表示されます。
KMS インスタンスのスペックアップ
Key Management Service (KMS) インスタンスの現在のインスタンスタイプがビジネス要件を満たしていない場合は、インスタンスをスペックアップできます。たとえば、コンピューティングパフォーマンスや資格情報とキーの数を増やすことができます。スペックアッププロセスはサービスに影響しません。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
インスタンス管理 ページで、ビジネス要件に基づいてインスタンスタイプのタブをクリックします。
対象の KMS インスタンスを見つけ、操作 列の Upgrade をクリックします。スペックアップ/スペックダウンページで、新しいインスタンスタイプを選択します。
[利用規約] を読み、[今すぐ購入] をクリックし、[支払い] を完了します。
KMS インスタンスのリリース
手動でリリースできるのは、従量課金の Key Management Service (KMS) インスタンスのみです。サブスクリプションインスタンスは手動でリリースできません。サブスクリプションインスタンスは、特定の条件を満たす場合にのみサブスクリプションを解除できます。詳細については、「サブスクリプション解除ルール」をご参照ください。
インスタンスがリリースされると、そのすべてのリソースもリリースされます。インスタンスのキーで暗号化されたリソースは復号できなくなります。インスタンスからの資格情報は取得できなくなります。インスタンスをリリースする前に、そのキーでデータが暗号化されていないこと、およびサービスがその資格情報を呼び出していないことを確認してください。これにより、サービスの中断を防ぐことができます。
インスタンスがソフトウェアキー管理インスタンスの場合は、リリースする前にリソースをバックアップしてください。その後、バックアップからリソースを回復できます。詳細については、「バックアップ管理」をご参照ください。
従量課金インスタンスは日次で課金されます。インスタンスをリリースした後、前日の請求書は翌日の 12:00 までに生成されます。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
インスタンス管理 ページで、ビジネス要件に基づいてインスタンスタイプのタブをクリックします。
KMS インスタンスを見つけ、操作 列の Release をクリックします。次に、詳細を確認し、Release をクリックします。
説明Release ボタンが利用できない場合、KMS インスタンスで削除保護が有効になっている可能性があります。インスタンスをリリースする前に、削除保護を無効にしてください。
KMS インスタンスの削除保護の有効化
Key Management Service (KMS) インスタンスの削除保護を有効にして、誤ってリリースまたはサブスクリプション解除されるのを防ぐことができます。この機能が有効になると、コンソール、API、またはコマンドラインを使用してインスタンスを手動でリリースまたはサブスクリプション解除することはできなくなります。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
インスタンス管理 ページで、ビジネス要件に基づいてインスタンスタイプのタブをクリックします。
対象の KMS インスタンスを見つけ、操作 列の Enable Deletion Protection をクリックし、Enable をクリックします。
KMS インスタンスのセキュリティ監査の有効化
KMS インスタンスにアクセスすると、監査ログが生成されます。これらのログには、リクエスト情報、ユーザー情報、アクセスされたリソース情報、アクセス結果など、インスタンスのアクセスデータが記録されます。次のコードブロックは、サンプルログファイルを示しています。
2021-10-19T212021-10-19T21:40:01 [INFO] - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -40:01 [INFO] - - 3dd60a7a-4587-4c57-8197-d749c3578974 CreateKey - TMP.3KfAHseF5DVULM2s8YUhdB8YvwM4nZA1wXr8AcAAhR7YhdyosXG2eSpsRFPMjYbvUArPRtsCWKzxEo88bC5w5LBfyp**** 111760096384**** 111760096384**** - kst-phzz6108e50c15333w**** - 37 - -セキュリティ監査を有効にすると、Key Management Service (KMS) は監査ログを 1 時間ごとに指定した OSS バケットに配信します。これにより、規制およびビジネス要件を満たすことができます。セキュリティ監査を有効にする前に、OSS バケットを作成する必要があります。詳細については、「バケットの作成」をご参照ください。
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
インスタンス管理 ページで、ビジネス要件に基づいてインスタンスタイプのタブをクリックします。
対象の KMS インスタンスを見つけ、Manage 列の 操作 をクリックします。インスタンス詳細ページで、Security Audit を有効にします。
Configure Security Audit ダイアログボックスで、Log Storage Bucket を選択し、OK をクリックします。
セキュリティ監査を有効にすると、監査ログが生成され、1 時間以内に配信されます。
KMS インスタンスの更新
KMS コンソールにログインします。上部のナビゲーションバーでリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
ソフトウェアキー管理 タブまたは ハードウェアキー管理 タブをクリックします。更新するインスタンスを見つけ、操作 列の Renew をクリックします。
[更新] ページで、[サブスクリプション期間] を設定し、契約を読み、[利用規約] を選択します。
[今すぐ購入] をクリックし、[支払い] を完了します。
費用とコストページでインスタンスを更新することもできます。詳細については、「期限切れのリソースを更新する」をご参照ください。
デフォルトインスタンスの設定
この機能は、KMS 1.0 から KMS 3.0 に移行するユーザー向けです。他のユーザーはデフォルトインスタンスを設定する必要はありません。
詳細については、「KMS 1.0 リソースを KMS 3.0 インスタンスに移行する」をご参照ください。
インスタンスの共有モデルの設定
KMS インスタンスのオーナー (インスタンスオーナー) は、インスタンスを他の Alibaba Cloud アカウント (インスタンスユーザー) と共有できます。詳細については、「KMS インスタンスを複数のアカウントと共有する」をご参照ください。KMS は、次の 2 つの共有モードをサポートしています:
新しいインスタンスは、デフォルトで 共同所有権 モードになります。
どちらのモードでも、インスタンスユーザーはインスタンスオーナーのキーと資格情報を使用または管理することはできません。
特徴 | 独立した所有権 | 共同所有権 |
ユースケース | 同じ名前のクロスアカウントシークレットがある場合や、権限を分離する必要がある場合に必要です。 | 中央チーム (IT やセキュリティなど) がすべてのキーとシークレットを管理および監査する必要がある内部コラボレーションに最適です。 |
中核的な特徴 | 独立したデータ所有権: リソース所有者は、プリンシパルによって作成されたキーとシークレットを管理または使用できません。 | 共有データ所有権: リソース所有者は、プリンシパルによって作成されたキーとシークレットを管理および使用できます。 |
同じ名前のクロスアカウントリソース | 許可。プリンシパルとリソース所有者は、インスタンス内に同じ名前のシークレットを作成できます。 | 許可されていません。インスタンス内のすべてのキーとシークレットの名前は一意である必要があります。 |
モード変更 | 共同所有権に変更することはできません。 | 独立した所有権に変更できます。 |