すべてのプロダクト
Search

このプロダクト

    Key Management Service:KMS インスタンスの購入と有効化

    ドキュメントセンター

    Key Management Service:KMS インスタンスの購入と有効化

    最終更新日:Feb 05, 2026

    Key Management Service (KMS) インスタンスは、キーとシークレットの管理機能を提供します。キーを使用して機密データを暗号化および復号したり、シークレットを使用してコード内の認証情報をハードコーディングすることを回避したりできます。このトピックでは、KMS インスタンスの購入と有効化の方法について説明します。

    ステップ 1:KMS インスタンスの購入

    1. Key Management Service コンソールにログインします。上部のメニューバーでリージョンを選択します。左側のナビゲーションウィンドウで、リソース > インスタンス管理を選択します。

    2. インスタンス管理ページで、インスタンスの作成をクリックし、課金方法を選択し、目的のインスタンスタイプを選択してから、[今すぐ購入] をクリックします。

      サブスクリプション

      パラメーター

      説明

      サイト

      インスタンスのリージョンが配置されているサイトです。オプション:国際リージョン中国本土リージョン

      インスタンスタイプ

      KMS は、各リージョンでクラウド製品の暗号化のために、サービスキーやカスタマーマスターキーを含むデフォルトキーを提供します。デフォルトキーを使用するために KMS インスタンスを購入する必要はありませんが、機能は制限されます。デフォルトキーは無料で使用できます。キーローテーションのみが有料の付加価値サービスです。

      KMS インスタンスを購入する前に、「製品の選択」でデフォルトキーと KMS インスタンスについて理解することを推奨します。

      • KMS インスタンスの購入

        ほとんどのユースケースでは、ソフトウェアキー管理インスタンスで十分です。ビジネスで物理レベルのセキュリティ保護が必要な場合や、金融業界などの厳しい規制に準拠する必要がある場合は、ハードウェアキー管理インスタンスを選択してください。

        • ソフトウェアキー管理:キーは専用のデータベースに保存されます。

        • ハードウェアキー管理:キーの生成、保存、暗号化、復号は、中国の暗号アルゴリズムまたは FIPS 140-2 レベル 3 認定に準拠した専用のハードウェアセキュリティモジュール (HSM) に依存します。このタイプのインスタンスを購入するには、専用 HSM も購入する必要があります。詳細については、「KMS ハードウェアキー管理インスタンスの HSM クラスターの設定」をご参照ください。

      • キーの付加価値サービスの購入

        • インスタンスバックアップ:ソフトウェアキー管理インスタンスでのみ利用可能です。ソフトウェアキー管理インスタンスを有効にすると、KMS は 90 日間データを保存する無料のバックアップを自動的に作成します。まず無料のバックアップサービスを評価することを推奨します。ビジネス要件を満たさない場合は、インスタンスバックアップサービスを購入できます。詳細については、「バックアップ管理」をご参照ください。

        • デフォルトキーのローテーション:無料のデフォルトキーでのみ利用可能です。詳細については、「デフォルトキーのローテーション」をご参照ください。

          説明

          KMS インスタンスを購入した場合、インスタンス内のキーはデフォルトでローテーションをサポートします。この付加価値サービスを購入する必要はありません。

      リージョン

      ビジネスのデプロイメントと同じリージョンを選択することを推奨します。詳細については、「サポートされているリージョン」をご参照ください。

      デプロイモード

      KMS インスタンスは、デュアルゾーンおよびマルチゾーン構成をサポートし、高可用性、ディザスタリカバリ、負荷分散を提供します。

      説明

      • マルチゾーンデプロイメントは最大 3 つのゾーンをサポートします。

      • フィリピン (マニラ) およびタイ (バンコク) リージョンの KMS インスタンスは、シングルゾーンデプロイのみをサポートします。

        各リージョンのゾーン数については、「リージョンとゾーン」をご参照ください。

      コンピューティングパフォーマンス

      KMS インスタンスのパフォーマンスデータです。たとえば、値が 2,000 の場合、対称暗号化操作の最大パフォーマンスは 2,000 QPS、非対称暗号化操作の場合は 300 QPS であることを示します (それぞれ独立して処理される場合)。

      説明

      コンピューティングパフォーマンスが 10,000 または 20,000 のソフトウェアキー管理インスタンスが必要な場合は、お問い合わせください。

      キー数

      キークォータです。デフォルト値は 1,000 です。

      クォータは、キーの数ではなく、キーバージョンの数に基づいて計算されます。たとえば、キーに 5 つのバージョンがある場合、キークォータから 5 を消費します。

      シークレット数

      シークレットクォータです。デフォルト値は 0 です。

      クォータは、シークレットバージョンの数に関係なく、シークレットの数に基づいて計算されます。シークレットは、バージョンがいくつあっても、シークレットクォータから 1 しか消費しません。

      説明

      シークレットを使用しない場合は、このクォータをスキップしてください。後でインスタンスをアップグレードしてシークレットクォータを追加できます。

      アクセス管理数

      このクォータは 2 つの機能に適用されます:

      たとえば、インスタンスを 3 つの VPC に関連付け、2 つのアカウントと共有するには、5 のクォータが必要です。

      デフォルト値は 1 です。これにより、1 つの KMS インスタンスにアタッチされた VPC が KMS リソースにアクセスできます。

      ログ分析

      ログ分析を有効にするかどうかを指定します。詳細については、「Log Service」をご参照ください。

      警告

      ログ分析は有効にすると無効にできません。料金については、「製品の課金」をご参照ください。

      ログストレージ容量

      最小容量は 1,000 GB で、1,000 GB 単位で増加します。必要な容量の見積もり方法については、「必要なログストレージ容量の計算方法」をご参照ください。

      数量

      購入する KMS インスタンスの数です。

      重要

      通常、購入する必要がある KMS インスタンスは 1 つだけです。複数の KMS インスタンスを購入するには、お問い合わせください。

      期間

      必要に応じてサブスクリプション期間を選択します。

      説明

      [有効期限切れ時の自動更新] を選択できます。KMS インスタンスは有効期限が切れると自動的に更新されます。

      従量課金

      パラメーター

      説明

      課金方法

      固定値は 従量課金 3.0 です。

      インスタンスタイプ

      ほとんどのユースケースでは、ソフトウェアキー管理インスタンスで十分です。ビジネスで物理レベルのセキュリティ保護が必要な場合や、金融業界などの厳しい規制に準拠する必要がある場合は、ハードウェアキー管理インスタンスを選択してください。

      • ソフトウェアキー管理:キーは専用のデータベースに保存されます。

      • ハードウェアキー管理:キーの生成、保存、暗号化操作は、中国の暗号アルゴリズムまたは FIPS 140-2 レベル 3 認定に準拠した専用のハードウェアセキュリティモジュール (HSM) に依存します。このタイプのインスタンスを購入するには、専用 HSM も購入する必要があります。詳細については、「KMS ハードウェアキー管理インスタンスの HSM クラスターの設定」をご参照ください。

      リージョン

      ビジネスのデプロイメントと同じリージョンを選択することを推奨します。詳細については、「サポートされているリージョン」をご参照ください。

    3. [今すぐ購入] をクリックし、「利用規約」を読み、その後 [支払い] をクリックして購入を完了します。

      購入が成功した後、1~5 分待つと、新しいインスタンスが インスタンス管理ページに表示されます。

    ステップ 2:KMS インスタンスの有効化

    KMS インスタンスを購入した後、キー管理とシークレット管理を使用する前に有効化する必要があります。

    ソフトウェアキー管理インスタンスの有効化

    前提条件

    • VPC と vSwitch があること。

      KMS インスタンスを有効にする前に、VPC コンソールで既存の VPC、vSwitch、およびそれらのゾーンを確認することを推奨します。新しい VPC と vSwitch を作成することもできます。詳細については、「VPC と vSwitch の作成」または「vSwitch の作成」をご参照ください。

    • Alibaba Cloud 中国サイト (aliyun.com) の Alibaba Cloud アカウントを使用して中国本土以外のリージョンで KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイト (alibabacloud.com) の Alibaba Cloud アカウントを使用して中国本土内のリージョンで KMS インスタンスを購入する場合は、手動で Alibaba Cloud DNS PrivateZone を有効化する必要があります。詳細については、「PrivateZone の有効化」をご参照ください。

      説明

      • Alibaba Cloud 中国サイトの Alibaba Cloud アカウントを使用して中国本土内のリージョンで KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトの Alibaba Cloud アカウントを使用して中国本土以外のリージョンで KMS インスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効化します。

      • KMS はインスタンスのドメイン解決コストをカバーするため、Alibaba Cloud DNS PrivateZone から料金が発生することはありません。

    手順

    1. Key Management Service コンソールにログインします。上部のメニューバーでリージョンを選択します。左側のナビゲーションウィンドウで、リソース > インスタンス管理を選択します。

    2. ソフトウェアキー管理タブで、対象のソフトウェアキー管理インスタンスを見つけ、操作列の 有効化をクリックします。

    3. Enable KMS Instanceパネルで、設定を完了し、Enable Nowをクリックします。

      パラメーター

      説明

      Instance Name

      KMS インスタンスのカスタム名です。名前には、文字、数字、および次の特殊文字を含めることができます:_/+=.@-

      VPC ID

      KMS インスタンスにバインドする VPC を選択します。

      Zone Configuration

      この設定は、購入時に選択したデプロイモードによって異なります。デュアルゾーンまたはマルチゾーン構成をサポートします。マルチゾーンデプロイメントでは最大 3 つのゾーンを設定できます。

      • Zone and vSwitch Configuration:ゾーンと vSwitch を設定します。vSwitch に少なくとも 1 つの利用可能な IP アドレスがあることを確認してください。

      • Other Zones:ゾーンをランダムに割り当てるか、手動で指定できます。

      説明

      • 一部のリージョンでは 1 つのゾーンしか提供されていません。これらのリージョンの KMS インスタンスは、シングルゾーンでのみデプロイできます。

      • ゾーンの選択は、レイテンシとパフォーマンスにほとんど影響を与えないため、好みに基づいてゾーンを選択できます。

      約 30 分待ってからページを更新してください。ソフトウェアキー管理インスタンスのステータスが Enabledに変わると、有効化は完了です。

    ハードウェアキー管理インスタンスの有効化

    前提条件

    • KMS インスタンスが接続できる HSM クラスターを設定済みであること。詳細については、「KMS ハードウェアキー管理インスタンスの HSM クラスターの設定」をご参照ください。

      警告

      後でクラスターに HSM を追加する必要がある場合は、Alibaba Cloud テクニカルサポートに連絡して、クラスターの同期方法を自動に設定し、同期の失敗を防ぎます。

    • KMS インスタンス用に設定した各ゾーンで vSwitch が利用可能であること。デュアルゾーンデプロイメントを例として使用します。

      • (推奨) HSM インスタンスにバインドされた 2 つの vSwitch を使用する:vSwitch を作成する必要はありません。各 vSwitch に少なくとも 4 つの利用可能な IP アドレスがあることを確認してください。

      • HSM インスタンスにバインドされた 2 つの vSwitch を使用しない:異なるゾーンに 2 つの vSwitch を作成する必要があります。各 vSwitch には少なくとも 4 つの利用可能な IP アドレスが必要です。詳細については、「vSwitch の作成」をご参照ください。

      VPC コンソールにログインし、vSwitch ページに移動し、対象の vSwitch をクリックして、その詳細ページで利用可能な IP アドレスの数を確認できます。

    • Alibaba Cloud 中国サイト (aliyun.com) の Alibaba Cloud アカウントを使用して中国本土以外のリージョンで KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイト (alibabacloud.com) の Alibaba Cloud アカウントを使用して中国本土内のリージョンで KMS インスタンスを購入する場合は、手動で Alibaba Cloud DNS PrivateZone を有効化する必要があります。詳細については、「PrivateZone の有効化」をご参照ください。

      説明

      • Alibaba Cloud 中国サイトの Alibaba Cloud アカウントを使用して中国本土内のリージョンで KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトの Alibaba Cloud アカウントを使用して中国本土以外のリージョンで KMS インスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効化します。

      • KMS はインスタンスのドメイン解決コストをカバーするため、Alibaba Cloud DNS PrivateZone から料金が発生することはありません。

    手順

    1. Key Management Service コンソールにログインします。上部のメニューバーでリージョンを選択します。左側のナビゲーションウィンドウで、リソース > インスタンス管理を選択します。

    2. ハードウェアキー管理タブをクリックし、対象のハードウェアキー管理インスタンスを見つけ、操作列の 有効化をクリックします。

    3. Connect to HSMパネルで、パラメーターを設定し、Connect to HSMをクリックして HSM クラスターを指定します。

      パラメーター

      説明

      Instance Name

      KMS インスタンスのカスタム名を入力します。名前には、文字、数字、および次の特殊文字を含めることができます:_/+=.@-

      Select Cluster

      CloudHSM で設定したクラスターを選択します。

      説明

      ハードウェアキー管理インスタンスは、1 つの HSM クラスターにのみバインドできます。

      Configure HSM Access Secret.

      中国本土の HSM クラスター

      KMS ハードウェアキー管理インスタンスと HSM 間の接続では、相互 Transport Layer Security (TLS) 認証が使用されます。HSM を購入する際に、証明書を自動生成することを選択できます。この場合、CloudHSM が自動的に証明書を生成します。クライアント SDK 側で証明書を設定するだけで、CloudHSM はサーバー側の HSM に自動的にデプロイします。証明書の自動生成を設定しなかった場合は、クライアント証明書 (保護パスワード付きの PKCS#12 証明書) とセキュリティドメイン証明書 (HSM クラスターの TLS サーバー証明書を発行する PEM 形式の CA 証明書) を設定する必要があります。証明書を生成するには、「マスター HSM インスタンスの双方向 TLS 認証の設定」をご参照ください。

      • Client Protection Password:クライアント証明書 client.p12 を生成する際に設定した保護パスワードです。証明書生成ツール (hsm_certificate_generate) を使用した場合、デフォルトのパスワードは 12345678 です。

      • Client Certificate:PKCS12 形式の証明書です。Select Fileをクリックし、生成された client.p12 ファイルを選択してアップロードします。

      • Security Domain Certificate:PEM 形式の CA 証明書です。Select Fileをクリックし、生成された rootca.pem ファイルを選択してアップロードします。

      中国本土以外の HSM クラスター

      • Username:HSM オペレーターのユーザー名です。これは静的フィールドです:kmsuser

      • Password:HSM オペレーターのアクセスパスワードです。これは HSM オペレーターを作成したときに設定したパスワードです。

      • Security Domain Certificate:PEM 形式の CA 証明書です。CloudHSM コンソールにログインし、クラスター内の任意の HSM インスタンスの ID をクリックし、Instance Detailsタブの下部にある ClusterOwnerCertificate を見つけます。これがセキュリティドメイン証明書です。コンテンツを直接コピーするか、PEM ファイルとして保存してからアップロードします。

      VPC

      これは HSM にバインドされた VPC ID にデフォルト設定されており、変更できません。

      Configure Zone and vSwitch

      この設定は、購入時に選択したデプロイモードによって異なります。デュアルゾーンまたはマルチゾーン構成をサポートします。各ゾーンの各 vSwitch には、少なくとも 4 つの利用可能な IP アドレスが必要です。

      マルチゾーンデプロイメントの場合、最大 3 つのゾーンを設定できます。

      説明

      ゾーンの選択は、レイテンシとパフォーマンスにほとんど影響を与えないため、好みに基づいてゾーンを選択できます。

      有効化には、シークレットクォータがある場合は約 30 分、ない場合は 10 分かかります。ステータスが Enabledに変わるまでページを更新してください。

    外部キー管理インスタンスの有効化

    前提条件

    • 外部 HSM を購入し、XKI プロキシを設定済みであること。詳細については、HSM プロバイダーにお問い合わせください。

      説明

      XKI プロキシサーバーの詳細については、「XKI プロキシサーバー」をご参照ください。

    • KMS は、インターネット経由または VPC エンドポイント経由で XKI プロキシに接続できます。VPC エンドポイント経由で接続するには、まずエンドポイントサービスを作成します。詳細については、「エンドポイントサービスの作成と管理」をご参照ください。エンドポイントサービスを作成する際には、次の点に注意してください:

      • エンドポイントサービスのゾーンは、KMS インスタンスに選択されたゾーンと一致する必要があります。

      • 現在の Alibaba Cloud アカウントをエンドポイントサービスのホワイトリストに追加する必要があります。

      • エンドポイントサービスの エンドポイント接続を自動で許可設定は、はいに設定する必要があります。

    • Alibaba Cloud 中国サイト (aliyun.com) の Alibaba Cloud アカウントを使用して中国本土以外のリージョンで KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイト (alibabacloud.com) の Alibaba Cloud アカウントを使用して中国本土内のリージョンで KMS インスタンスを購入する場合は、手動で Alibaba Cloud DNS PrivateZone を有効化する必要があります。詳細については、「PrivateZone の有効化」をご参照ください。

      説明

      • Alibaba Cloud 中国サイトの Alibaba Cloud アカウントを使用して中国本土内のリージョンで KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトの Alibaba Cloud アカウントを使用して中国本土以外のリージョンで KMS インスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効化します。

      • KMS はインスタンスのドメイン解決コストをカバーするため、Alibaba Cloud DNS PrivateZone から料金が発生することはありません。

    手順

    1. Key Management Service コンソールにログインします。上部のメニューバーでリージョンを選択します。左側のナビゲーションウィンドウで、リソース > インスタンス管理を選択します。

    2. External Key Managementタブをクリックし、対象のインスタンスを見つけ、操作列の 有効化をクリックします。

    3. Connect to HSMパネルで、パラメーターを設定し、Connect to HSMをクリックして HSM クラスターを指定します。

      パラメーター

      説明

      Instance Name

      KMS インスタンスのカスタム名を入力します。名前には、文字、数字、および次の特殊文字を含めることができます:_/+=.@-

      VPC

      KMS インスタンスにバインドする VPC を選択します。

      Zone Configuration

      この設定は、購入時に選択したデプロイモードによって異なります。デュアルゾーンまたはマルチゾーン構成をサポートします。マルチゾーンデプロイメントでは最大 3 つのアベイラビリティゾーンを設定できます。

      • Zone and vSwitch Configuration:ゾーンと vSwitch を設定します。vSwitch に少なくとも 1 つの利用可能な IP アドレスがあることを確認してください。

      • Other Zones:ゾーンをランダムに割り当てるか、手動で指定できます。

      説明

      • 一部のリージョンでは 1 つのゾーンしか提供されていません。これらのリージョンの KMS インスタンスは、シングルゾーンでのみデプロイできます。

      • デュアルゾーンまたはマルチゾーンデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を実現するために使用されます。サービスが配置されているゾーンとそうでないゾーンを選択した場合のレイテンシとパフォーマンスの差はごくわずかです。必要に応じてゾーンを選択できます。

      External Proxy Connectivity

      • Public Endpoint Connectivity:KMS インスタンスはインターネット経由で XKI プロキシに接続します。

      • VPC Endpoint Service Connectivity :KMS インスタンスは VPC エンドポイントサービスを使用して XKI プロキシに接続します。

      Domain Name of External Proxy

      これは、External Proxy ConnectivityPublic Endpoint Connectivityに設定した場合にのみ必要です。XKI プロキシのドメイン名を入力します。

      Endpoint Service

      これは、External Proxy ConnectivityVPC Endpoint Service Connectivity に設定した場合にのみ必要です。エンドポイントサービスを選択します。

      KMS インスタンスを有効にするために選択されたゾーンは、エンドポイントサービスのゾーンと同じである必要があります。

      External Proxy Configuration

      • Manual Configuration:XKI プロキシの External Proxy PathCertificate Fingerprint、AccessKey ID、および AccessKey シークレットを手動で設定します。

      • Configuration File Upload:ファイルをアップロードしてパラメーターを設定します。

      有効化には、シークレットクォータがある場合は約 30 分、ない場合は 10 分かかります。ステータスが Enabledに変わるまでページを更新してください。

    よくある質問

    参照情報