キーリングの使用

サポートされているプログラミング言語の実装では、キーリングを使用してエンベロープ暗号化 を実行します。データキーの生成、暗号化、復号は、キーリングによって行われます。キーリングは、それぞれのメッセージを保護する一意のデータキーのソースと、そのデータキーを暗号化する ラッピングキー を決定します。キーリングは暗号化時に指定し、復号時には同じキーリングか別のキーリングを指定します。SDK が提供するキーリングを使用するか、互換性のある独自のカスタムキーリングを記述できます。

各キーリングを個別に使用するか、キーリングを組み合わせてマルチキーリングにすることができます。ほとんどのキーリングではデータキーを生成、暗号化、および復号することができますが、特定のオペレーションを 1 つのみ実行するキーリング (例: データキーのみを生成するキーリング) を作成し、他のキーリングと組み合わせて使用することができます。

ラッピングキーを保護し、 AWS Key Management Service (AWS KMS) を暗号化せずに残 AWS KMS keys さないキーリングなどの安全な境界内で暗号化操作を実行する AWS KMS キーリングを使用することをお勧めします。また、ハードウェアセキュリティモジュール (HSMs) に保存されているか、他のマスターキーサービスによって保護されているラッピングキーを使用するキーリングを記述することもできます。詳細については、AWS Encryption SDK 仕様のトピック「Keyring Interface」を参照してください。

キーリングは、他のプログラミング言語の実装で使用されるマスターキーとマスターキープロバイダーの役割を果たします。 AWS Encryption SDK の異なる言語実装を使用してデータを暗号化および復号する場合は、必ず互換性のあるキーリングとマスターキープロバイダを使用してください。詳細については、「キーリングの互換性」を参照してください。

このトピックでは、 のキーリング機能を使用する方法 AWS Encryption SDK と、キーリングを選択する方法について説明します。キーリングは、次のプログラミング言語でサポートされています。