すべてのプロダクト
Search
ドキュメントセンター

Key Management Service:アプリケーションアクセスポイントの管理

最終更新日:Apr 01, 2026

アプリケーションアクセスポイント (AAP) は、アプリケーションが KMS キーおよびシークレットにアクセスするための安全な ID を提供します。各 AAP は次の 3 つのコンポーネントで構成されます:アクセス可能なリソースを定義する権限ポリシー、許可される IP アドレスを制限するネットワークアクセスルール、およびアプリケーションがランタイム時に提示する実際の認証情報であるクライアントキーです。

このページでは、AAP、権限ポリシー、ネットワークアクセスルール、およびクライアントキーという 4 種類のリソースを管理する方法について説明します。

前提条件

作業を開始する前に、以下の条件を満たしていることを確認してください。

  • KMS インスタンス(Private ネットワークタイプおよび暗号操作に必要)

  • KMS コンソールへのアクセス権限

  • ご利用のアカウントで AAP を管理するために必要な権限

AAP の管理

AAP 詳細の表示

  1. KMS コンソールにログインします。上部ナビゲーションバーでリージョンを選択し、左側ナビゲーションウィンドウで Application Access > AAPs を選択します。

  2. Application Access タブで、Instance ID または AAP 名を使用して AAP を検索します。

  3. AAP 名をクリックして詳細ページを開きます。詳細ページには次の 2 つのタブがあります。

    • Policies:この AAP に関連付けられた権限ポリシーを表示します。詳細については、「AAP 概要」をご参照ください。

    • Client Key:各クライアントキーの Key IDAlgorithmValidity Period、および Creation Date を表示します。クライアントキーの内容は作成後に確認できません。

AAP の権限ポリシーの変更

重要

権限ポリシーの変更は最大で 5 分後に有効になります。変更が反映されない場合は、5 分待ってから再度お試しください。

  1. Application Access タブで対象の AAP を見つけ、その名前をクリックします。

  2. Policies タブで、Configure Permission Policy をクリックします。

  3. Update AAP パネルで、Policies の値を別のものに変更します。AAP には最大 3 つの権限ポリシーを設定できます。

既存の権限ポリシーが要件を満たさない場合は、まず新しいポリシーを作成してください。詳細については、「権限ポリシーの作成」をご参照ください。

AAP の削除

警告

AAP の削除は即時で有効になります。AAP 内のいずれかのクライアントキーがアプリケーションでまだ使用中の場合、そのアプリケーションは KMS へのアクセス権を失います。

削除前に、クライアントキーがアクティブに使用されていないことを確認してください。

  1. KMS の Simple Log Service ページに移動します。ログは過去 180 日分利用可能です。

  2. kms_audit_log 下の検索ボックスにクライアントキー ID を入力して全文検索を実行します。

  3. 検索結果の access_key_id フィールドがクライアントキー ID と一致する場合、そのキーはまだ使用中です。

詳細については、「KMS の Simple Log Service の使用」をご参照ください。

AAP を削除するには、次の手順を実行します。

  1. Application Access タブで対象の AAP を見つけ、Actions 列の Delete をクリックします。

  2. セキュリティ認証を完了します。KMS が AAP を削除します。

権限ポリシーの管理

権限ポリシーの作成

  1. KMS コンソールにログインします。上部ナビゲーションバーでリージョンを選択し、左側ナビゲーションウィンドウで Application Access > AAPs を選択します。

  2. Policies タブをクリックし、次に Create Policy をクリックします。

  3. Create Permission Policy パネルで、以下のパラメーターを設定し、OK をクリックします。

ParameterDescription
Policy name権限ポリシーの名前。
Scopeリクエストを処理する KMS ゲートウェイを決定します。Network typePrivate の場合は特定の KMS インスタンスを選択し、Public または VPC の場合は Shared KMS Gateway を選択します。
RBAC permissionsアプリケーションが実行できる操作を制御します。利用可能な値は、[スコープ] 設定によって異なります:<br>・ スコープ = 特定の KMS インスタンス: CryptoServiceKeyUserインスタンス API を介してキーを使用して暗号操作を実行)または CryptoServiceSecretUserインスタンス API を介してシークレットを使用)<br>・ スコープ = シェアード KMS ゲートウェイ: SecretUserGetSecretValue API オペレーションを介して現在のアカウント内のすべてのシークレットにアクセス)。
Accessible resourcesアプリケーションがアクセスする必要のある特定のキーおよびシークレット。複数のシークレットを選択し、その合計名の長さが制限を超える場合、「The specified parameter is not valid.」というエラーが返されます。この制限を回避するにはワイルドカードを使用します(例:secret/rds-ibm* はプレフィックス rds-ibm を持つすべてのシークレットに一致します)。
Network access rulesこのポリシーに関連付けるネットワークアクセスルール。ソース IP アドレスによるアクセス制限が不要な場合は、空白のままにしてください。セキュリティの観点から、ネットワークアクセスルールの関連付けを強く推奨します。
Description権限ポリシーの説明。

権限ポリシーを作成したら、AAP に関連付けます。詳細については、「AAP の権限ポリシーの変更」をご参照ください。

権限ポリシーの変更

警告

権限ポリシーを変更すると、それを使用しているすべての AAP に影響します。慎重に操作してください。変更は最大で 5 分後に有効になります。

ポリシー名による変更:

  1. Policies タブで対象のポリシーを見つけ、Actions 列の Edit をクリックします。

  2. Modify Permission Policy パネルで、RBAC permissionsAccessible resources、または Network access rules を更新し、OK をクリックします。

関連付けられた AAP 経由での変更:

  1. Application Access タブで AAP 名をクリックします。

  2. Policies タブで変更対象のポリシーを見つけ、Actions 列の Edit をクリックします。

  3. Modify Permission Policy パネルで必要なフィールドを更新し、OK をクリックします。

権限ポリシーの削除

警告

権限ポリシーを削除する前に、それがどの AAP にも関連付けられていないことを確認してください。使用中のポリシーを削除すると、関連するアプリケーションが KMS にアクセスできなくなります。

  1. Policies タブで対象のポリシーを見つけ、Actions 列の Delete をクリックします。

  2. Confirm ダイアログで、OK をクリックします。

ネットワークアクセスルールの管理

ネットワークタイプの選択

ネットワークアクセスルールは、次の 3 種類のネットワークタイプのいずれかを使用します。ご利用のアプリケーションが KMS に接続する方法に合わせて適切なタイプを選択してください。

Network typeEndpoint typeSupported operationsSupported regions
PrivateKMS インスタンスエンドポイントキーおよびシークレット(暗号操作を含むすべての操作)すべてのリージョン
PublicKMS パブリックエンドポイントシークレットのみすべてのリージョン
VPCKMS VPC エンドポイントシークレットのみ中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (張家口)

使用する SDK:

  • 暗号操作(暗号化、復号、署名、検証):ネットワークタイプ Private で KMS Instance SDK を使用します。

  • シークレット値の取得:KMS Instance SDK またはシークレット SDK を使用します。

    • 秒間クエリ数 (QPS) が高く、より強固なセキュリティが必要な場合は、ネットワークタイプ Private でシークレット SDK を使用します。

    • KMS Instance SDK を使用する場合は、ネットワークタイプを Private に設定し、許可されるソース IP をご利用の KMS インスタンスに関連付けられた VPC 内のアドレスに制限します。

    • シークレット SDK を使用する場合は、ネットワークタイプを PrivatePublic、または VPC に設定します。

ネットワークアクセスルールの作成

  1. KMS コンソールにログインします。上部ナビゲーションバーでリージョンを選択し、左側ナビゲーションウィンドウで Application Access > AAPs を選択します。

  2. Network Access Rules タブをクリックし、次に Create Network Access Rule をクリックします。

  3. Create Network Access Rule パネルで、以下のパラメーターを設定し、OK をクリックします。

ParameterDescription
Rule nameネットワークアクセスルールの名前。
Network typePrivatePublic、または VPC を選択します。詳細については、「ネットワークタイプの選択」をご参照ください。
Allowed source IP addressesアクセスを許可する IP アドレス。アプリケーションがプロキシサーバー経由で接続する場合は、プロキシサーバーの IP アドレスを入力します。<br>• Private:ご利用の KMS インスタンスに関連付けられた VPC 内の IP アドレスを入力します。<br>• Public:パブリック IP アドレスを入力します。<br>• VPC:VPC ID およびそれらの VPC 内の IP アドレスを入力します。
Descriptionネットワークアクセスルールの説明。

ルールを作成したら、権限ポリシーに関連付けます。詳細については、「権限ポリシーの作成」をご参照ください。

ネットワークアクセスルールの変更

警告

ネットワークアクセスルールを変更すると、それを使用しているすべての AAP に影響します。慎重に操作してください。

  1. Network Access Rules タブで対象のルールを見つけ、Actions 列の Edit をクリックします。

  2. Modify Network Access Rule パネルで、Allowed source IP addresses を更新し、OK をクリックします。

ネットワークアクセスルールの削除

警告

ネットワークアクセスルールを削除する前に、そのルールが AAP に関連付けられていないことを確認してください。関連付けられている場合、関連するアプリケーションは KMS にアクセスできなくなります。

  1. Network Access Rules タブで対象のルールを見つけ、Actions 列の Delete をクリックします。

  2. Confirm ダイアログで、OK をクリックします。

クライアントキーの管理

クライアントキーは、アプリケーションがランタイム時に KMS に対して認証を行う際に使用する認証情報です。各クライアントキーは、キー作成時に自動的にダウンロードされる次の 2 つのファイルで構成されます。

  • Application Access Secret (`clientKey_.json`):キーマテリアルを含みます。このファイルはパスワードと同様に扱い、安全に保管し、ソースコントロールにコミットしないでください。

  • Password (`clientKey__Password.txt`):Application Access Secret ファイルを復号するためのパスワード。JSON ファイルとは別に保管してください。

重要

クライアントキーの内容は作成後に再取得できません。両方のファイルをすぐにダウンロードして安全に保管してください。

クライアントキーの作成

  1. KMS コンソールにログインします。上部ナビゲーションバーでリージョンを選択し、左側ナビゲーションウィンドウで Application Access > AAPs を選択します。

  2. Application Access タブで、Instance ID または AAP 名を使用して AAP を検索します。

  3. AAP 名をクリックします。詳細ページで Client Key タブをクリックし、次に Create Client Key をクリックします。

  4. Create Client Key パネルで、以下のパラメーターを設定します。

    • Encryption password:8~64 文字で、数字、英字、および次の特殊文字(` ~ ! @ # $ % ^ & * ? _ - `)を含めることができます。

    • Validity period:デフォルトは 5 年です。クライアントキーが漏洩した場合のリスクを軽減するには、有効期間を 1 年に設定することを推奨します。

  5. OK をクリックします。ブラウザが自動的に両方のファイルをダウンロードします。

2 つのファイルを安全に保管してください。アプリケーションでファイルをロードする方法については、KMS Instance SDK ドキュメントをご参照ください。

クライアントキーの削除

警告

クライアントキーの削除は即時で有効になります。これを使用しているアプリケーションは、直ちに KMS へのアクセス権を失います。

削除前に、監査ログを確認してキーが使用中でないことを確認してください。ログ検索のプロシージャについては、「AAP の削除」をご参照ください。

  1. Application Access タブで対象の AAP を見つけ、その名前をクリックします。

  2. Client Key タブで対象のクライアントキーを見つけ、Actions 列の Delete をクリックします。

  3. Confirm ダイアログで、OK をクリックします。

  4. セキュリティ認証を完了します。KMS がクライアントキーを削除します。

次のステップ

  • AAP 概要 — AAP、権限ポリシー、ネットワークアクセスルール、およびクライアントキーの関係性を理解する

  • KMS の Simple Log Service の使用 — KMS アクセスログのモニターおよび監査