すべてのプロダクト
Search

このプロダクト

    Key Management Service:AAP の管理

    ドキュメントセンター

    Key Management Service:AAP の管理

    最終更新日:May 15, 2025

    このトピックでは、アプリケーションアクセスポイント (AAP)、権限ポリシー、ネットワークアクセスルール、およびクライアントキーを管理する方法について説明します。

    AAP の管理

    AAP の詳細を表示する

    1. KMS コンソール にログオンします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、アプリケーションアクセス > AAPs を選択します。

    2. アプリケーションアクセス タブで、インスタンス管理 または AAP 名で AAP を検索します。

    3. AAP の名前をクリックして詳細を表示します。

      1. 権限ポリシー: 詳細については、「AAP の概要」をご参照ください。

      2. Client Key: [キー ID][アルゴリズム]Validity PeriodCreation Date など、クライアントキーに関する情報を表示できます。 クライアントキーの内容を表示することはできません。

    AAP に関連付けられている権限ポリシーを変更する

    重要

    権限ポリシーの変更が有効になるまでに最大 5 分かかります。 変更が有効にならない場合は、5 分待ってからもう一度お試しください。

    1. アプリケーションアクセス タブで、必要な AAP を見つけます。

    2. AAP の名前をクリックして詳細ページに移動します。 権限ポリシー タブで、Configure Permission Policy をクリックします。

    3. Update AAP パネルで、権限ポリシー パラメーターに別の値を選択します。 最大 3 つの権限ポリシーを選択できます。

      既存の権限ポリシーが要件を満たしていない場合は、権限ポリシーを作成できます。

    AAP を削除する

    警告

    AAP の削除はすぐに有効になります。 AAP 内のクライアントキーがアクセス認証情報として使用されている場合は、AAP を削除する前に、クライアントキーが使用されていないことを確認してください。 そうしないと、アプリケーションは KMS にアクセスできません。 KMS ページの Simple Log Service で、過去 180 日以内のログを表示できます。 ログを表示して、クライアントキーが使用中かどうかを確認できます。 これを行うには、kms_audit_log の下の検索ボックスにクライアントキーの ID を入力して、全文検索を実行します。 検索結果の access_key_id フィールドの値がクライアントキーの ID である場合、クライアントキーは使用中です。 詳細については、「KMS 用の Simple Log Service の使用」をご参照ください。

    1. アプリケーションアクセス タブで、削除する AAP を見つけて、Delete 列の 操作 をクリックします。

    2. セキュリティ検証を完了します。 その後、KMS は AAP を削除します。

    権限ポリシーの管理

    権限ポリシーを作成する

    1. KMS コンソール にログオンします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、アプリケーションアクセス > AAPs を選択します。

    2. 権限ポリシー タブで、権限ポリシーの作成 をクリックします。 Create Permission Policy パネルで、パラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      Policy Name

      権限ポリシーの名前。

      スコープ

      ネットワークアクセスルールを作成するときに Network Type パラメーターを [非公開] に設定する場合は、指定された KMS インスタンスを選択します。 Network Type パラメーターを [パブリック] または [VPC] に設定する場合は、Shared KMS Gateway を選択します。

      RBAC の権限

      • スコープ パラメーターを特定の KMS インスタンスに設定する場合、このパラメーターを次のいずれかの値に設定できます。

        • CryptoServiceKeyUser: KMS インスタンス内のキーの使用を許可します。 インスタンス API の暗号操作の詳細については、「キー関連の操作」をご参照ください。

        • CryptoServiceSecretUser: KMS インスタンス内のシークレットの使用を許可します。 インスタンス API のシークレット関連の操作の詳細については、「シークレット関連の操作」をご参照ください。

      • スコープ パラメーターを Shared KMS Gateway に設定する場合、このパラメーターを次の値に設定できます。

        SecretUser: 現在のアカウント内のすべてのシークレットの使用を許可します。 API の GetSecretValue 操作がサポートされています。

      アクセス可能のリソース

      アプリケーションがアクセスする必要があるキーとシークレット。

      重要

      複数のシークレットを選択する場合、すべてのシークレットの名前の長さが制限を超えると、「指定されたパラメーターが無効です。」というエラーメッセージが返されます。 この場合、ワイルドカードを使用して必要なシークレットを設定できます。 たとえば、ワイルドカードを含むシークレット secret/rds-ibm* は、プレフィックス rds-ibm を持つすべてのシークレットにアクセスできることを示します。

      Network Access Rules

      作成したネットワークアクセスルール。

      説明

      送信元 IP アドレスに基づいてアクセスを制御する必要がない場合は、ネットワークアクセスルールを選択する必要はありません。 セキュリティのために、ネットワークアクセスルールを設定することをお勧めします。

      Description

      権限ポリシーの説明。

      権限ポリシーを作成したら、権限ポリシーを AAP に関連付ける必要があります。

    権限ポリシーの変更

    警告

    • 権限ポリシーを変更すると、権限ポリシーに関連付けられているすべての AAP が影響を受けます。 注意して進めてください。

    • 権限ポリシーの変更が有効になるまでに最大 5 分かかります。 変更が有効にならない場合は、5 分待ってからもう一度お試しください。

    シナリオ 1: 権限ポリシーの名前に基づいて権限ポリシーを変更する

    1. 権限ポリシー タブで、変更する権限ポリシーを見つけて、Edit 列の 操作 をクリックします。

    2. Modify Permission Policy パネルで、RBAC の権限アクセス可能のリソース、または Network Access Rules パラメーターの値を変更します。 その後、[OK] をクリックします。

    シナリオ 2: 権限ポリシーが関連付けられている AAP の名前に基づいて権限ポリシーを変更する

    1. アプリケーションアクセス タブで、必要な AAP を見つけます。

    2. AAP の名前をクリックして詳細ページに移動します。 権限ポリシー タブで、変更する権限ポリシーを見つけます。

    3. [編集] 列の 操作 をクリックします。 Modify Permission Policy パネルで、RBAC の権限アクセス可能のリソース、または Network Access Rules パラメーターの値を変更し、[OK] をクリックします。

    権限ポリシーの削除

    警告

    権限ポリシーを削除する前に、権限ポリシーが AAP に関連付けられていないことを確認してください。 そうしないと、関連するアプリケーションは KMS にアクセスできません。

    1. 権限ポリシー タブで、削除する権限ポリシーを見つけて、Delete 列の 操作 をクリックします。

    2. Confirm メッセージで、[OK] をクリックします。

    ネットワークアクセスルールの管理

    ネットワークアクセスルールを作成する

    1. KMS コンソール にログオンします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、アプリケーションアクセス > AAPs を選択します。

    2. Network Access Rules タブをクリックします。 次に、Create Network Access Rule をクリックします。

    3. Create Network Access Rule パネルで、パラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      Rule Name

      ネットワークアクセスルール名。 カスタム値を指定できます。

      Network Type

      • 非公開: アプリケーションが KMS インスタンスエンドポイントを使用してキーとシークレットにアクセスする必要がある場合は、このオプションを選択します。

      • パブリック: アプリケーションが KMS パブリックエンドポイントを使用してシークレットにアクセスする必要がある場合は、このオプションを選択します。

      • VPC: アプリケーションが KMS VPC エンドポイントを使用してシークレットにアクセスする必要がある場合は、このオプションを選択します。 このオプションは、KMS インスタンスが中国 (杭州)、中国 (上海)、中国 (深圳)、および中国 (張家口) リージョンにある場合にのみサポートされます。

      説明

      • 暗号操作: KMS インスタンス SDK と KMS インスタンスエンドポイントを使用して KMS にアクセスする場合にのみ、暗号操作を実行できます。 AAP を作成するときは、[ネットワークタイプ] パラメーターを [非公開] に設定します。

      • シークレット値の取得: KMS インスタンス SDK またはシークレット SDK を使用してシークレット値を取得できます。 AAP を作成するときは、シークレット SDK を使用し、[ネットワークタイプ] パラメーターを [非公開] に設定することをお勧めします。 これにより、高いクエリ/秒 (QPS) と高いセキュリティを実現できます。

        • KMS インスタンス SDK: KMS インスタンス SDK を使用する場合は、AAP の [ネットワークタイプ] パラメーターを [非公開] に設定し、[許可された送信元 IP アドレス] パラメーターを KMS インスタンスに関連付けられている仮想プライベートクラウド (VPC) 内の IP アドレスに設定します。

        • シークレット SDK: シークレット SDK を使用する場合は、AAP の [ネットワークタイプ] パラメーターを [非公開]、[パブリック]、または [VPC] に設定します。

      Allowed Source IP Addresses

      KMS インスタンスへのアクセスが許可されている IP アドレス。 アプリケーションサーバーのネットワークタイプに基づいて値を指定します。 プロキシサーバーを使用する場合は、プロキシサーバーの IP アドレスを入力します。

      • [ネットワークタイプ] パラメーターが [非公開] に設定されている場合は、KMS インスタンスに関連付けられている VPC 内の IP アドレスを入力します。

      • [ネットワークタイプ] パラメーターが [パブリック] に設定されている場合は、パブリック IP アドレスを入力します。

      • [ネットワークタイプ] パラメーターが [VPC] に設定されている場合は、必要な VPC の ID と VPC 内の IP アドレスを入力します。

      Description

      ネットワークアクセスルールの説明。

      ネットワークアクセスルールを作成したら、ルールを権限ポリシーに関連付ける必要があります。

    ネットワークアクセスルールの変更

    警告

    ネットワークアクセスルールを変更すると、ネットワークアクセスルールに関連付けられているすべての AAP が影響を受けます。 注意して進めてください。

    1. Network Access Rules タブで、変更するネットワークアクセスルールを見つけて、Edit 列の 操作 をクリックします。

    2. Modify Network Access Rule パネルで、Allowed Source IP Addresses パラメーターの値を変更し、[OK] をクリックします。

    ネットワークアクセスルールを削除する

    警告

    ネットワークアクセスルールを削除する前に、ネットワークアクセスルールが AAP に関連付けられていないことを確認してください。 そうしないと、関連するアプリケーションは KMS にアクセスできません。

    1. Network Access Rules タブで、削除するネットワークアクセスルールを見つけて、Delete 列の 操作 をクリックします。

    2. Confirm メッセージで、[OK] をクリックします。

    クライアントキーを管理する

    クライアントキーを作成する

    1. KMS コンソール にログオンします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、アプリケーションアクセス > AAPs を選択します。

    2. アプリケーションアクセス タブをクリックします。 次に、インスタンス管理 または AAP 名で必要なアプリケーションアクセスポイント (AAP) を検索します。

    3. AAP の名前をクリックします。 詳細ページで、Client Key タブをクリックし、次に Create Client Key をクリックします。

    4. Create Client Key パネルで、Encryption Password パラメーターと Validity Period パラメーターを設定します。

      • Encryption Password: パスワードは 8 ~ 64 文字の長さで、数字、文字、および次の特殊文字を含めることができます: ~ ! @ # $ % ^ & * ? _ -

      • Validity Period: デフォルト値は 5 年です。 クライアントキーの漏洩のリスクを軽減するために、有効期間を 1 年に設定することをお勧めします。

    5. [OK] をクリックします。 ブラウザは、作成されたクライアントキーを自動的にダウンロードします。

      クライアントキーには、[アプリケーションアクセスシークレット (ClientKeyContent)][パスワード] が含まれています。 デフォルトでは、[アプリケーションアクセスシークレット (ClientKeyContent)] は、clientKey_****.json 形式の名前のファイルに保存されます。 デフォルトでは、[パスワード] は、clientKey_****_Password.txt 形式の名前のファイルに保存されます。

    クライアントキーの削除

    警告

    クライアントキーの削除はすぐに有効になります。 クライアントキーを削除する前に、クライアントキーが使用されていないことを確認してください。 そうしないと、関連するアプリケーションは KMS にアクセスできません。

    1. アプリケーションアクセス タブで、必要な AAP を見つけます。

    2. AAP の名前をクリックして詳細ページに移動します。 Client Key タブで、削除するクライアントキーを見つけて、Delete 列の 操作 をクリックします。

    3. Confirm メッセージで、[OK] をクリックします。

    4. セキュリティ検証を完了します。 その後、KMS はクライアントキーを削除します。