翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データキーは、大量のデータ、および他のデータ暗号化キーなどのデータを暗号化するために使用できる暗号化キーです。ダウンロードできない対称 KMS キーとは異なり、データキーは AWS KMSの外部での使用のためにユーザーに返されます。
がデータキー AWS KMS を生成すると、すぐに使用できるプレーンテキストのデータキー (オプション) と、データと共に安全に保存できる暗号化されたデータキーのコピーが返されます。データを復号する準備ができたら、まず暗号化されたデータキーを復号 AWS KMS するように に依頼します。
AWS KMS はデータキーを生成、暗号化、復号します。ただし、 AWS KMS はデータキーを保存、管理、追跡したり、データキーを使用して暗号化オペレーションを実行したりしません。の外部でデータキーを使用および管理する必要があります AWS KMS。データキーを安全に使用する方法については、「AWS Encryption SDK」を参照してください。
データキーの作成
データキーを作成するには、GenerateDataKey オペレーションを呼び出します。 はデータキー AWS KMS を生成します。次に、ユーザーが指定する対称暗号化 KMS キーのデータキーのコピーを暗号化します。このオペレーションでは、データキーのプレーンテキストコピーと KMS キーで暗号化されたデータキーのコピーが返されます。以下の図では、このオペレーションを示しています。
AWS KMS は、暗号化されたデータキーのみを返す GenerateDataKeyWithoutPlaintext オペレーションもサポートしています。データキーを使用する必要がある場合は、 AWS KMS に復号を依頼してください。
データキーを使用した暗号化オペレーションの仕組み
以下のトピックでは、GenerateDataKey または GenerateDataKeyWithoutPlaintext オペレーションによって生成されるデータキーがどのように機能するかについて説明します。
データキーでデータを暗号化する
AWS KMS は、データキーを使用してデータを暗号化することはできません。ただし AWS KMS、OpenSSL や などの暗号化ライブラリを使用するなど、 の外部でデータキーを使用できますAWS Encryption SDK。
プレーンテキストのデータキーを使用してデータを暗号化したら、できる限り早急にメモリからそれを削除します。暗号化したデータと一緒に暗号化データキーを安全に保存して、データの復号に利用することができます。
データキーでデータを復号する
データを復号するには、暗号化されたデータキーを Decrypt オペレーションに渡します。 AWS KMS は KMS キーを使用してデータキーを復号し、プレーンテキストのデータキーを返します。プレーンテキストのデータキーを使ってデータを復号し、続いてできる限り早急にメモリからプレーンテキストのデータキーを削除します。
以下の図では、Decrypt オペレーションを使用して暗号化されたデータキーを復号する方法を示しています。
