KMSインスタンスは、アプリケーションアクセスポイントを介して、呼び出し元のIDとアクセス権限を認証します。 KMSインスタンスSDKを使用してKMSインスタンスを呼び出すには、アプリケーションアクセスポイントのアクセス資格情報 (クライアントキー) を設定する必要があります。 このトピックでは、KMSインスタンスSDKで使用するクライアントキーを作成するプロセスについて説明します。
ノート
アプリケーションごとに一意のアプリケーションアクセスポイントを作成し、個別のアクセス権限を維持します。
クライアントキーは、デフォルトで5年間有効です。 作成時に異なる有効期間を指定することもできますが、1年に設定することをお勧めします。 継続的なKMSアクセスを確保するために、有効期限が切れる前にクライアントキーを必ず置き換えてください。 この方法の詳細については、「ClientKeyの置き換え」をご参照ください。
クライアントキーを作成する
クイックメソッドまたは標準メソッドを使用して、クライアントキーを作成できます。 迅速な作成は効率的で、迅速なテストと開発に最適で、KMSインスタンスリソースへのフルアクセスを許可します。 リソースアクセスをより細かく制御するには、標準作成をお勧めします。
クイック作成
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
アプリケーションアクセス タブで、Create AAP をクリックします。 Create AAP パネルで、パラメーターを設定します。
パラメーター
説明
Mode
Quick Creation を選択します。
Scope (KMS Instance)
アクセスするKMSインスタンスを選択します。
Application Access Point Name
AAPの名前を入力します。
Authentication Method
デフォルト値はClientKeyで、変更できません。
Default Permission Policy
デフォルト値は
key/*secret/*で、変更できません。 アプリケーションは、指定されたKMSインスタンスのすべてのキーとシークレットにアクセスできます。[OK] をクリックします。 ブラウザは、作成されたクライアントキーを自動的にダウンロードします。
クライアントキーには、Application Access Secret(ClientKeyContent) とPasswordが含まれます。 既定では、Application Access Secret(ClientKeyContent) は、名前が
clientKey_****.json形式のファイルに保存されます。 デフォルトでは、Passwordは、名前がclientKey_****_Password.txt形式のファイルに保存されます。
標準作成
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
まず、ネットワークアクセスルールを作成します。
説明送信元IPアドレスに基づいてアクセスを制御する必要がない限り、ネットワークアクセスルールの設定はオプションです。 ただし、セキュリティを強化するには、ネットワークアクセスルールを設定することをお勧めします。
Network Access Rules タブに移動し、Create Network Access Rule をクリックします。
Create Network Access Rule パネルのフォームに入力し、[OK] をクリックします。
設定アイテム
説明
Rule Name
ネットワークアクセスルールの名前。 カスタム値を指定できます。
Network Type
[プライベート] を選択します。
Allowed Source IP Addresses
KMSインスタンスへのアクセスが許可されているIPアドレス。 アプリケーションサーバーのネットワークタイプに基づいて値を指定します。 プロキシサーバーを使用する場合は、プロキシサーバーのIPアドレスを入力します。
説明
ネットワークアクセスルールの説明。
次に、権限ポリシーを作成します。
権限ポリシー をクリックし、権限ポリシーの作成 をクリックします。
権限ポリシーの作成 フォームに入力したら、[OK] をクリックします。
設定アイテム
説明
Policy Name
カスタム権限ポリシーの名前を指定します。
スコープ
KMSインスタンスを選択します。
RBAC の権限
CryptoServiceKeyUser: KMSインスタンスでキーを使用できます。 インスタンスAPIの暗号化操作インターフェイスをサポートします。 詳細については、「キーインターフェイス」をご参照ください。
CryptoServiceSecretUser: KMSインスタンスでシークレットを使用できます。 インスタンスAPIのシークレットインターフェイスをサポートします。 詳細については、「シークレットインターフェイス」をご参照ください。
アクセス可能のリソース
アプリケーションがアクセスする必要があるキーとシークレット。
重要複数のシークレットを選択し、シークレット名の長さの合計が制限を超えると、"Invalid Parameter" エラーが報告されます。 この場合、ワイルドカード文字を使用して、許可されるシークレットを設定します。
たとえば、
secret/rds-ibm *として設定します。これは、プレフィックスがrds-ibmのシークレットが許可されていることを意味します。Network Access Rules
作成したネットワークアクセスルールを選択します。
説明送信元IPアドレスに基づいてアクセスを制御する必要がない場合は、ネットワークアクセスルールを選択する必要はありません。 ただし、セキュリティ上の理由から、ネットワークアクセスルールを設定することを推奨します。
説明
権限ポリシーの説明。
最後に、アプリケーションアクセスポイント (AAP) を作成します。
アプリケーションアクセス タブで、Create AAP をクリックします。
Create AAP フォームに入力します。
設定アイテム
説明
Mode
Standard Creation を選択します。
Application Access Point Name
AAPの名前を入力します。
Authentication Method
ClientKeyを選択します。
Encryption Password
クライアントキーのパスワードを入力します。 8〜64文字、大文字と小文字の英字、および特殊文字をサポートする
~!@#$%^& *?_-、少なくとも2つのタイプを含める必要があります。Validity Period
クライアントキーの有効期間を指定します。
重要クライアントのキーリークのリスクを減らすために、値を1年に設定することを推奨します。 KMSへのアクセスを確保するには、クライアントキーの有効期限前にクライアントキーを変更する必要があります。 特定の操作については、「ClientKeyの置き換え」をご参照ください。
権限ポリシー
作成した権限ポリシーを選択します。
説明
AAPの説明を入力します。
[OK] をクリックします。 ブラウザは、作成されたクライアントキーを自動的にダウンロードします。
クライアントキーには、Application Access Secret(ClientKeyContent) とPasswordが含まれます。 既定では、Application Access Secret(ClientKeyContent) は、名前が
clientKey_****.json形式のファイルに保存されます。 デフォルトでは、Passwordは、名前がclientKey_****_Password.txt形式のファイルに保存されます。
保存する情報
SDKを統合するときは、次の詳細を設定して安全に保存してください。
ClientKey
このファイルには、アプリケーションIDの資格情報が含まれます。 作成後、デフォルトのファイル名clientKey_****.jsonで自動的にダウンロードされます。
ClientKeyパスワード
このファイルも自動的にダウンロードされ、デフォルトのファイル名はclientKey_****_Password.txtです。
KMSインスタンスCA証明書
インスタンス管理 ページで、ダウンロード セクションの インスタンスCA証明書 リンクをクリックします。
インスタンスCA証明書 ダイアログボックスで、インスタンスIDを選択し、ダウンロード をクリックして証明書を取得し、安全性を確保します。
CA証明書がダウンロードされると、デフォルトのファイル名はPrivateKmsCA_kst-******.pemになります。
KMSインスタンスドメイン名アドレス
インスタンス管理 ページで、ソフトウェアキー管理 または ハードウェアキー管理 タブをクリックし、目的のKMSインスタンスを選択します。
インスタンスIDをクリックして製品ページにアクセスし、インスタンス VPC エンドポイントを確認します。
