AWS KMS キーのステータスの変更
Amazon Web Services Key Management System (AWS KMS) キーのステータスを変更し、そのステータスを ServiceNow インスタンスと同期します。
始める前に
必要なロール:admin、security_admin、および sn_kmf.cryptographic_manager
次のものがあることを確認します。
- ServiceNow での 外部キー管理サービス (EKMS) の構成
- AWS でキーのステータスを変更する権限
このタスクについて
AWS KMS キーには、暗号化と復号化のオペレーションに使用できるかどうかを制御するさまざまなステータスを設定できます。AWS でキーのステータスを変更すると、 外部キー管理サービス (EKMS) で新しいデータを暗号化したり既存データを復号化したりする機能に影響します。バックグラウンド同期ジョブは、30 分ごとに現在の AWS キーステータスで EKMS を更新します。
手順
タスクの結果
新しいステータスは EKMS 構成に反映され、暗号化操作と復号化操作は新しいキーステータスに従って動作します。
AWS でキーを無効にすると、 ServiceNow はアドミニストレーターに警告する複数の通知を提供します。
- [ EKMS 設定] ページの [外部キーのステータス] フィールドが [無効] に変わります。
- 優先度の高いセキュリティタスクがセキュリティセンターに自動的に作成され、 EKMS キーが無効になったことがアドミニストレーターに通知されます。通知を表示するには、 . 「 セキュリティセンター」を参照してください。
キーが無効になっている間は、暗号化フィールドのデータを暗号化または復号化することはできません。暗号化フィールドが必須フィールドでない場合でもレコードを作成できます。また、既存のレコードの暗号化されていないフィールドを更新することもできます。AWS でキーが再度有効になるまで、すべての暗号化操作がブロックされます。
次のタスク
キーステータスを変更した後の重要な考慮事項:
- AWS キーを無効にした場合: キーを再度有効にするまで、新しいデータを暗号化したり、既存の暗号化データを復号化したりすることはできません。この期間中の暗号化フィールドの処理方法を計画します。
- 以前に無効にしたキーを有効にした場合: 同期ジョブが EKMS のキーステータスを更新すると (30 分以内に)、暗号化と復号化の操作が再開されます。[ テスト ] ボタンをクリックして、EKMS 構成をテストします。次に、すべての暗号化フィールドにアクセスできることを確認します。
- キーの削除をスケジュールした場合: キーが完全に削除される前に、7 日から 30 日以内に削除をキャンセルできます (AWS 内の削除スケジュールによって異なります)。完全に削除すると、暗号化されたデータは復元できません。
- スケジュールされた削除をキャンセルした場合: キーが無効になっている場合は、忘れずに有効にしてください。削除をキャンセルしても、キーは自動的に有効になりません。
AWS では、キーの削除に最低 7 日間の待機期間が必要です。この期間中、キーのステータスは AWS と EKMS の両方で [削除保留中] と表示されます。削除の保留中はキーを使用できません。7 日が経過すると、キーは完全に削除され、復元できなくなります。削除されたキーで暗号化されたすべてのデータには永久にアクセスできなくなります。