オープンソースリポジトリで開発暗号化ライブラリやサービスとの互換性サポートとメンテナンス詳細情報フィードバックを送る

AWS Encryption SDKとは

AWS Encryption SDK は、業界標準とベストプラクティスを使用して、すべてのユーザーがデータの暗号化と復号を簡単に行えるように設計されたクライアント側の暗号化ライブラリです。これにより、データの暗号化と復号の最善の方法ではなく、アプリケーションのコア機能に集中できるようになります。 AWS Encryption SDK は、Apache 2.0 ライセンスの下で無料で提供されます。

AWS Encryption SDK は次のような質問に答えます。

どの暗号化アルゴリズムを使用するべきですか。
どのように、またはどのモードで、そのアルゴリズムを使用すべきですか。
暗号化キーを生成するにはどうすればよいですか。
暗号化キーを保護するにはどうすればよいですか。どこに保存するべきですか。
暗号化されたデータをポータブルにするにはどうしたらよいですか。
目的の受取人が暗号化されたデータを確実に読めるようにするにはどうすればよいですか。
暗号化されたデータが書き込まれてから読み込まれるまでに変更されないようにするにはどうすればよいですか。
が AWS KMS 返すデータキーの使用方法を教えてください。

では AWS Encryption SDK、データを保護するために使用するラッピングキーを決定するマスターキープロバイダーまたはキーリングを定義します。次に、が提供する簡単な方法を使用してデータを暗号化および復号します AWS Encryption SDK。が残り AWS Encryption SDK を行います。

を使用しない場合 AWS Encryption SDK、アプリケーションのコア機能よりも暗号化ソリューションの構築により多くの労力を費やす可能性があります。は、以下の情報を提供して AWS Encryption SDK これらの質問に答えます。

暗号化のベストプラクティスに従ったデフォルトの実装

デフォルトでは、は暗号化するデータオブジェクトごとに一意のデータキー AWS Encryption SDK を生成します。各暗号化操作に一意のデータキーを使用する暗号化のベストプラクティスに従います。

は、安全で認証された対称キーアルゴリズムを使用してデータを AWS Encryption SDK 暗号化します。詳細については、「でサポートされているアルゴリズムスイート AWS Encryption SDK」を参照してください。

ラッピングキーによるデータキーの保護のためのフレームワーク

は、1 つ以上のラッピングキーで暗号化することで、データを暗号化するデータキー AWS Encryption SDK を保護します。複数のラッピングキーを使用してデータキーを暗号化するフレームワークを提供することで、 AWS Encryption SDK は暗号化されたデータを移植可能にします。

たとえば、 AWS KMS key の AWS KMS とオンプレミス HSM のキーでデータを暗号化します。片方が利用できない場合や、呼び出し元に両方のキーを使用する権限がない場合に備えて、いずれかのラッピングキーを使用してデータを復号できます。

暗号化されたデータと暗号化されたデータキーを一緒に保存する形式のメッセージ

は、暗号化されたデータと暗号化されたデータキーを、定義されたデータ形式を使用する暗号化されたメッセージにまとめて AWS Encryption SDK 保存します。つまり、 AWS Encryption SDK がユーザーに代わってデータを暗号化するデータキーを追跡または保護する必要はありません。

の一部の言語実装には AWS SDK AWS Encryption SDK が必要ですが、 AWS Encryption SDK はを必要とせず、どの AWS サービスにも依存 AWS アカウントしません。は、 AWS KMS keysを使用してデータを保護する AWS アカウント場合にのみ必要です。

オープンソースリポジトリで開発

AWS Encryption SDK は GitHub のオープンソースリポジトリで開発されています。これらのリポジトリを使用して、コードを表示したり、課題を読んだり送信したり、言語実装に固有の情報を見つけたりできます。　

AWS Encryption SDK for C — aws-encryption-sdk-c
AWS Encryption SDK for .NET — aws-encryption-sdkリポジトリの .NET ディレクトリ。
AWS 暗号化 CLI — aws-encryption-sdk-cli
AWS Encryption SDK for Java — aws-encryption-sdk-java
AWS Encryption SDK for JavaScript — aws-encryption-sdk-javascript
AWS Encryption SDK for Python — aws-encryption-sdk-python
AWS Encryption SDK for Rust — aws-encryption-sdkリポジトリの Rust ディレクトリ。
AWS Encryption SDK for Go — aws-encryption-sdkリポジトリの Go ディレクトリ

暗号化ライブラリやサービスとの互換性

AWS Encryption SDK は複数のプログラミング言語でサポートされています。言語実装はすべて相互運用可能です。ある言語実装で暗号化し、別の言語実装で復号できます。相互運用性は、言語の制約を受ける可能性があります。その場合の制約については、言語実装に関するトピックで説明します。また、暗号化および復号を行う場合は、互換性のあるキーリング、またはマスターキーとマスターキープロバイダーを使用する必要があります。詳細については、「キーリングの互換性」を参照してください。

ただし、を他のライブラリと相互運用 AWS Encryption SDK することはできません。各ライブラリは暗号化されたデータを異なる形式で返すため、あるライブラリで暗号化したデータを別のライブラリで復号することはできません。

DynamoDB 暗号化クライアントおよび Amazon S3 クライアント側の暗号化

は、DynamoDB 暗号化クライアントまたは Amazon S3 クライアント側の暗号化によって暗号化されたデータを復号 AWS Encryption SDK できません。これらのライブラリは、が AWS Encryption SDK 返す暗号化されたメッセージを復号できません。

AWS Key Management Service (AWS KMS)

AWS Encryption SDK は、 AWS KMS keysおよびデータキーを使用して、マルチリージョン KMS キーを含むデータを保護できます。たとえば、 AWS KMS keys 内の 1 つ以上のでデータを暗号化 AWS Encryption SDK するようにを設定できます AWS アカウント。ただし、を使用してそのデータを復 AWS Encryption SDK 号する必要があります。

は、 AWS KMS Encrypt または ReEncrypt オペレーションが返す暗号文を復号 AWS Encryption SDK できません。同様に、 AWS KMS Decrypt オペレーションでは、が AWS Encryption SDK 返す暗号化されたメッセージを復号することはできません。

は、対称暗号化 KMS キーのみ AWS Encryption SDK をサポートします。「 AWS Encryption SDK」では、暗号化または署名に非対称 KMS キーを使用できません。 AWS Encryption SDK は、メッセージに署名するアルゴリズムスイートに対して、独自の ECDSA 署名キーを生成します。

サポートとメンテナンス

AWS Encryption SDK は、 AWS SDK とツールが使用するのと同じメンテナンスポリシーを使用します。これには、バージョニングフェーズとライフサイクルフェーズが含まれます。ベストプラクティスとして、プログラミング言語 AWS Encryption SDK に利用可能な最新バージョンのを使用し、新しいバージョンがリリースされたらアップグレードすることをお勧めします。バージョン 1.7.x より前の AWS Encryption SDK バージョンからバージョン 2.0.x 以降にアップグレードするなど、バージョンに大きな変更が必要な場合は、詳細な手順が役立ちます。

の各プログラミング言語実装 AWS Encryption SDK は、個別のオープンソース GitHub リポジトリで開発されています。各バージョンのライフサイクルフェーズやサポートフェーズは、リポジトリによって異なる可能性があります。　たとえば、特定のバージョンのは、1 つのプログラミング言語での一般提供 (フルサポート) フェーズにあるものの、別のプログラミング言語でend-of-supportフェーズにある AWS Encryption SDK 場合があります。可能な限り完全にサポートされているバージョンを使用し、サポートが終了したバージョンは避けることをお勧めします。　　

プログラミング言語 AWS Encryption SDK のバージョンライフサイクルフェーズを確認するには、各 AWS Encryption SDK リポジトリの SUPPORT_POLICY.rst ファイルを参照してください。

AWS Encryption SDK for C — SUPPORT_POLICY.rst
AWS Encryption SDK for .NET — SUPPORT_POLICY.rst
AWS 暗号化 CLI — SUPPORT_POLICY.rst
AWS Encryption SDK for Java — SUPPORT_POLICY.rst
AWS Encryption SDK for JavaScript — SUPPORT_POLICY.rst
AWS Encryption SDK for Python — SUPPORT_POLICY.rst

詳細については、のバージョン AWS Encryption SDK「SDK とツールリファレンスガイド」の「」および AWS SDKs」を参照してください。 AWS SDKs

詳細情報

AWS Encryption SDK およびクライアント側の暗号化の詳細については、以下のソースを試してください。

この SDK で使用される用語と概念のヘルプについては、「の概念 AWS Encryption SDK」を参照してください。
ベストプラクティスのガイドラインについては、「のベストプラクティス AWS Encryption SDK」を参照してください。
SDK の仕組みについては、「SDK のしくみ」を参照してください。
でオプションを設定する方法を示す例については AWS Encryption SDK、「」を参照してくださいの設定 AWS Encryption SDK。
技術情報の詳細については、「AWS Encryption SDK リファレンス」を参照してください。
の技術仕様については AWS Encryption SDK、GitHub のAWS Encryption SDK 「仕様」を参照してください。
の使用に関する質問に対する回答については AWS Encryption SDK、AWS 「Crypto Tools Discussion Forum」を読んで投稿してください。

の AWS Encryption SDK さまざまなプログラミング言語での実装については、「」を参照してください。

C: GitHub の AWS Encryption SDK for C、 AWS Encryption SDK C ドキュメント、および aws-encryption-sdk-c リポジトリを参照してください。
C#/.NET: GitHub の「AWS Encryption SDK .NET 用」と aws-encryption-sdk リポジトリの aws-encryption-sdk-net ディレクトリを参照してください。
コマンドラインインターフェイス: GitHub のAWS Encryption SDK コマンドラインインターフェイス「」、「Encryption CLI AWS のドキュメントを読む」、およびaws-encryption-sdk-cli」リポジトリを参照してください。 https://aws-encryption-sdk-cli.readthedocs.io/en/latest/
Java: GitHub のAWS Encryption SDK for Java「」、 AWS Encryption SDK 「Javadoc」、およびaws-encryption-sdk-java」リポジトリを参照してください。

JavaScript: 「AWS Encryption SDK for JavaScript」、GitHub の aws-encryption-sdk-javascript リポジトリを参照してください。
Python: GitHub の AWS Encryption SDK for Python、 AWS Encryption SDK Python ドキュメント、および aws-encryption-sdk-python リポジトリを参照してください。

フィードバックを送る

当社では、お客様からのフィードバックをお待ちしております。質問、コメント、ご報告いただく問題がある場合は、以下のリソースをご利用ください。

で潜在的なセキュリティ脆弱性を発見した場合は AWS Encryption SDK、AWS セキュリティに通知してください。GitHub で公開されている問題はご報告いただく必要はありません。
に関するフィードバックを提供するには AWS Encryption SDK、使用しているプログラミング言語の GitHub リポジトリに問題を提出します。
このドキュメントに関するフィードバックについては、このページの [フィードバック] のリンクをご利用ください。また、GitHub のこのドキュメントのオープンソースリポジトリである aws-encryption-sdk-docs で issue の作成やご参加をいただくこともできます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

概念