クライアント鍵は1年から5年有効です。 クライアントキーを毎年変更することを推奨します。 クライアントキーの有効期限が近づいている場合は、できるだけ早くクライアントキーを変更する必要があります。 クライアントキーの有効期限が切れた場合、アプリケーションはクライアントキーを使用してkey Management Service (KMS) にアクセスできません。 このトピックでは、クライアントキーを変更する方法について説明します。
手順1: クライアントキーの作成
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
アプリケーションアクセス タブをクリックします。 次に、インスタンス管理またはAAP名で必要なアプリケーションアクセスポイント (AAP) を検索します。
AAPの名前をクリックします。 詳細ページで、Client Key タブをクリックし、Create Client Key をクリックします。
Create Client Key パネルで、Encryption Password および Validity Period パラメーターを設定します。
Encryption Password: パスワードの長さは8〜64文字で、数字、文字、および次の特殊文字を使用できます
。 @ # $ % ^ & *? _ -.Validity Period: デフォルト値は5年です。 クライアントのキーリークのリスクを減らすために、有効期間を1年に設定することを推奨します。
[OK] をクリックします。 ブラウザは、作成されたクライアントキーを自動的にダウンロードします。
クライアントキーには、Application Access Secret(ClientKeyContent) とPasswordが含まれます。 既定では、Application Access Secret(ClientKeyContent) は、名前が
clientKey_****.json形式のファイルに保存されます。 デフォルトでは、Passwordは、名前がclientKey_****_Password.txt形式のファイルに保存されます。
手順2: 自己管理アプリケーションのクライアントキーの変更
この例では、KMS Instance SDK for Javaが使用されています。 クライアントを作成するときは、clientKeyPassを新しいパスワードに置き換え、clientKeyFilePathまたはclientKeyを新しい資格情報に置き換える必要があります。
ステップ3: 古いクライアントキーがまだ使用中かどうかを確認する
古いクライアントキーがまだ使用されているかどうかを確認して、すべてのアプリケーションで変更が完了しているかどうかを確認できます。 古いクライアントキーが使用されなくなったことを確認したら、クライアントキーを削除します。
古いクライアントキーのIDを取得します。
左側のナビゲーションウィンドウで、 を選択します。 次に、インスタンスのIDを選択します。
kms_audit_logの下の検索ボックスにクライアントキーのIDを入力して、クライアントキーがまだ使用されているかどうかを確認します。
クライアントキーがまだ使用中の場合、変更はすべてのアプリケーションで完了していません。
client_ipやuseragentなどのフィールドに基づいて、クライアントキーが変更されていないアプリケーションを特定できます。
ステップ4: 古いクライアントキーの削除
クライアントキーの削除はすぐに有効になります。 クライアントキーを削除する前に、クライアントキーが使用されていないことを確認してください。 そうしないと、アプリケーションが必要なKMSインスタンスにアクセスできない場合があります。
[クライアントキー] タブで古いクライアントキーを見つけ、操作 列の Delete をクリックします。
Confirm メッセージで、[OK] をクリックします。
完全なセキュリティ検証。 その後、KMSはクライアントキーを削除します。