AWS KMS での AWS Encryption SDK の使用 - AWS Encryption SDK

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS での AWS Encryption SDK の使用

AWS Encryption SDK を使用するには、キーリング または マスターキープロバイダー にラッピングキーを設定する必要があります。キーのインフラストラクチャがない場合は、AWS Key Management Service (AWS KMS) を使用することをお勧めします。AWS Encryption SDK のコード例の多くは、AWS KMS key を必要とします。

AWS KMS と通信するには、AWS Encryption SDK はお好みのプログラミング言語用 AWS SDK が必要です。この AWS Encryption SDK クライアントライブラリは、AWS SDK と連携して機能し、AWS KMS で保存されているマスターキーをサポートします。

AWS Encryption SDK で AWS KMS を使用するには
  1. AWS アカウント を作成します。この方法については、AWS ナレッジセンターの「Amazon Web Services の新規アカウントを作成してアクティブ化する方法を教えてください」を参照してください。

  2. 対称暗号化 AWS KMS key を作成します。ヘルプについては、「AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。

    ヒント

    プログラムで AWS KMS key を使用するには、AWS KMS key のキー ID または Amazon リソースネーム (ARN) が必要です。AWS KMS key の ID と ARN を見つけるには、「AWS Key Management Service デベロッパーガイド」の「キー ID と ARN を検索する」を参照してください。

  3. アクセスキー ID とセキュリティアクセスキーを生成します。  IAM ユーザーのアクセスキー ID とシークレットアクセスキーのいずれかを使用するか、AWS Security Token Service を使用してアクセスキー ID、シークレットアクセスキー、セッショントークンを含む一時的なセキュリティ認証情報を使用して新しいセッションを作成できます。  セキュリティ上のベストプラクティスとして、IAM ユーザーまたは AWS (ルート) ユーザーアカウントに関連付けられている長期認証情報の代わりに、一時的な認証情報を使用することをお勧めします。 

    アクセスキーを使用して IAM ユーザーを作成するには、「IAM ユーザーガイド」の「IAM ユーザーの作成」を参照してください。

    一時的なセキュリティ認証情報を生成するためには、「IAM ユーザーガイド」の「一時的なセキュリティ認証情報のリクエスト」を参照してください。

  4. AWS SDK for Java」、「AWS SDK for JavaScript」、「AWS SDK for Python (Boto)」、または「AWS SDK for C++」(C の場合) およびステップ 3 で生成したアクセスキー ID とシークレットアクセスキーを使用して、AWS 認証情報を設定します。一時的な認証情報を生成した場合は、セッショントークンも指定する必要があります。 

    この手順により、AWS SDK によって AWS へのリクエストが自動的に署名されるようになります。AWS KMS とやり取りする AWS Encryption SDK のコードサンプルは、このステップを完了していることを前提としています。

  5. AWS Encryption SDK をダウンロードおよびインストールします。詳細については、使用するプログラミング言語のインストール方法を参照してください。