翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でのデータ保護 AWS Key Management Service
<a name="data-protection"></a>

AWS Key Management Service は暗号化キーを保存および保護して可用性を高め、強力で柔軟なアクセスコントロールを提供します。

**Topics**
+ [キーマテリアルの保護](#encryption-key-mgmt)
+ [データ暗号化](#data-encryption)
+ [ネットワーク間のトラフィックのプライバシー](#inter-network-privacy)

## キーマテリアルの保護
<a name="encryption-key-mgmt"></a>

デフォルトでは、 は KMS キーの暗号化キーマテリアル AWS KMS を生成して保護します。さらに、 は、 の外部で作成および保護されるキーマテリアルのオプション AWS KMS を提供します AWS KMS。

### で生成されたキーマテリアルの保護 AWS KMS
<a name="kms-key-material"></a>

KMS キーを作成すると、デフォルトで は KMS キーの暗号化マテリアル AWS KMS を生成して保護します。

KMS キーのキーマテリアルを保護するために、 AWS KMS は [FIPS 140-3 セキュリティレベル 3 検証済み](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)ハードウェアセキュリティモジュール (HSMs。各 AWS KMS HSM は、 のセキュリティとスケーラビリティの要件を満たす専用の暗号化機能を提供するように設計された、専用のスタンドアロンハードウェアアプライアンスです AWS KMS。(中国リージョンで AWS KMS を使用する HSMs は [OSCCA](https://www.oscca.gov.cn/) によって認定されており、関連するすべての中国規制に準拠していますが、FIPS 140-3 暗号化モジュール検証プログラムでは検証されていません）。

KMS キーのキーマテリアルは、HSM で生成されるときにデフォルトで暗号化されます。キーマテリアルは HSM の揮発性メモリ内でのみ、暗号化オペレーションで使用するのにかかる数ミリ秒の間だけ復号化されます。キーマテリアルがアクティブに使用されていない場合は常に、HSM 内で暗号化され、[耐久性の高い](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99.999999999%)、低レイテンシーの永続ストレージに転送され、そこで HSM とは別の場所に保管されます。プレーンテキストのキーマテリアルは、HSM [セキュリティ境界](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary)を離れることはありません。また、ディスクに書き込まれることも、ストレージメディアに保持されることもありません。(唯一の例外は、非対称キーペアのパブリックキーです。これはシークレットではありません)。

AWS は、基本的なセキュリティ原則として、プレーンテキストの暗号化キーマテリアルと人間によるやり取りがないことをアサートします AWS のサービス。 AWS のサービス 演算子を含むすべてのユーザーがプレーンテキストのキーマテリアルを表示、アクセス、またはエクスポートするメカニズムはありません。この原則は、壊滅的な障害やディザスタリカバリ中にも適用されます。のプレーンテキストのカスタマーキーマテリアル AWS KMS は、FIPS AWS KMS 140-3 検証済み HSMs 内の暗号化オペレーションに使用され、顧客またはその代理人によってサービスに対して行われた承認されたリクエストにのみ応答します。

[カスタマーマネージドキー](concepts.md#customer-mgn-key)の場合、キー AWS アカウント を作成する は、キーの唯一かつ譲渡不可能な所有者です。所有しているアカウントは、キーへのアクセスを制御する権限付与ポリシーを完全かつ排他的に制御できます。の場合 AWS マネージドキー、 AWS アカウント は へのリクエストを承認する IAM ポリシーを完全に制御できます AWS のサービス。

### の外部で生成されたキーマテリアルの保護 AWS KMS
<a name="other-key-material"></a>

AWS KMS は、 で生成されたキーマテリアルの代替手段を提供します AWS KMS。

オプションの AWS KMS 機能である[カスタムキーストア](key-store-overview.md#custom-key-store-overview)を使用すると、外部で生成および使用されるキーマテリアルでバックアップされた KMS キーを作成できます AWS KMS。[AWS CloudHSM キーストア](keystore-cloudhsm.md)の KMS キーは、ユーザーが管理する AWS CloudHSM ハードウェアセキュリティモジュールのキーによってバックアップされます。これらの HSM は、[FIPS 140-2 セキュリティレベル 3 または 140-3 セキュリティレベル 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) で認定されています。[外部キーストアの KMS キー](keystore-external.md)は、プライベートデータセンターの物理 HSM など AWS、外部で制御および管理している外部キーマネージャーのキーによってバックアップされます。

もう 1 つのオプション機能により、KMS キーの[キーマテリアルをインポート](importing-keys.md)できます。への転送中にインポートされたキーマテリアルを保護するには AWS KMS、 AWS KMS HSM で生成された RSA キーペアからパブリックキーを使用してキーマテリアルを暗号化します。インポートされたキーマテリアルは AWS KMS HSM で復号され、HSM の対称キーで再暗号化されます。すべての AWS KMS キーマテリアルと同様に、プレーンテキストでインポートされたキーマテリアルが HSMs を暗号化されないままにすることはありません。ただし、キーマテリアルを提供したお客様は、 AWS KMSの外部におけるキーマテリアルの安全な使用、耐久性、メンテナンスに対して責任を持ちます。

## データ暗号化
<a name="data-encryption"></a>

のデータは、 AWS KMS keys とそれらが表す暗号化キーマテリアル AWS KMS で構成されます。このキーマテリアルは、 AWS KMS ハードウェアセキュリティモジュール (HSM) 内でのみ、かつ使用中の場合にのみ、プレーンテキストで存在します。それ以外の場合、キー素材は暗号化され、耐久性のある永続ストレージに保存されます。

が KMS キー用に AWS KMS 生成するキーマテリアルはHSMs の AWS KMS 境界を暗号化されないままにすることはありません。 AWS KMS API オペレーションではエクスポートまたは送信されません。ただし、[マルチリージョンキー](multi-region-keys-overview.md)は例外です。 はクロスリージョンレプリケーションメカニズム AWS KMS を使用して、マルチリージョンキーのキーマテリアルを 1 つの の HSM から別の AWS リージョン の HSM にコピーします AWS リージョン。詳細については、「暗号化の詳細」の[「マルチリージョンキーのレプリケーションプロセス](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html)」を参照してください。 AWS Key Management Service 

**Topics**
+ [保管中の暗号化](#encryption-at-rest)
+ [転送中の暗号化](#encryption-in-transit)

### 保管中の暗号化
<a name="encryption-at-rest"></a>

AWS KMS は、FIPS 140-3 セキュリティレベル 3 準拠のハードウェアセキュリティモジュール (HSMs) AWS KMS keys で のキーマテリアルを生成します。 [https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)唯一の例外は中国リージョンで、 AWS KMS が KMS キーの生成に使用する HSMs は、関連するすべての中国の規制に準拠していますが、FIPS 140-3 暗号化モジュール検証プログラムでは検証されていません。使用されていない場合、キーマテリアルは HSM キーによって暗号化され、耐久性のある永続的なストレージに書き込まれます。KMS キーのキーマテリアルおよびキーマテリアルを保護する暗号化キーは、HSM をプレーンテキスト形式のままにしません。

KMS キーのキーマテリアルの暗号化と管理は、 AWS KMSによって完全に処理されます。

詳細については、 AWS Key Management Service 「暗号化の詳細」の[「 の使用 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html)」を参照してください。

### 転送中の暗号化
<a name="encryption-in-transit"></a>

が KMS キー用に AWS KMS 生成するキーマテリアルは、 AWS KMS API オペレーションではエクスポートまたは送信されません。 は[キー識別子](concepts.md#key-id) AWS KMS を使用して、API オペレーションの KMS キーを表します。同様に、 AWS KMS [カスタムキーストアの KMS キーのキー](key-store-overview.md#custom-key-store-overview)マテリアルはエクスポートできず、 AWS KMS または AWS CloudHSM API オペレーションでは送信されません。

ただし、一部の AWS KMS API オペレーションは[データキー](data-keys.md)を返します。お客様は API オペレーションを使用して、選択した KMS キーの[キーマテリアルをインポート](importing-keys.md)することもできます。

すべての AWS KMS API コールは Transport Layer Security (TLS) を使用して署名および送信する必要があります。 は TLS 1.2 AWS KMS を必要とし、すべてのリージョンで TLS 1.3 を推奨します。 は、中国リージョンを除くすべてのリージョン AWS KMS のサービスエンドポイントのハイブリッドポスト量子 TLS AWS KMS もサポートしています。 AWS KMS は、 の FIPS エンドポイントのハイブリッドポスト量子 TLS をサポートしていません AWS GovCloud (US)。 AWS KMS の呼び出しには、*PFS (Perfect Forward Secrecy)* をサポートする最新の暗号スイートも必要です。つまり、プライベートキーなどのシークレットが漏洩した場合でも、セッションキーは漏洩しません。

コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。標準 AWS KMS エンドポイントまたは FIPS AWS KMS エンドポイントを使用するには、クライアントが TLS 1.2 以降をサポートしている必要があります。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。FIPS エンドポイントのリストについては、 AWS KMS 「」の[AWS Key Management Service 「 エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/kms.html)」を参照してください AWS 全般のリファレンス。

 AWS KMS サービスホストと HSMs 間の通信は、認証された暗号化スキームで楕円曲線暗号化 (ECC) と高度な暗号化標準 (AES) を使用して保護されます。詳細については、 AWS Key Management Service 「暗号化の詳細」の[「内部通信セキュリティ](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html)」を参照してください。

## ネットワーク間のトラフィックのプライバシー
<a name="inter-network-privacy"></a>

AWS KMS は、 AWS マネジメントコンソール と一連の API オペレーションをサポートし、暗号化オペレーションで作成、管理 AWS KMS keys 、使用できるようにします。

AWS KMS は、プライベートネットワークから への 2 つのネットワーク接続オプションをサポートします AWS。
+ インターネット経由の IPsec VPN 接続
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/): 内部ネットワークを標準のイーサネット光ファイバケーブル経由で Direct Connect の場所にリンクします。

すべての AWS KMS API コールに署名し、Transport Layer Security (TLS) を使用して送信する必要があります。コールには、 [完全な転送秘密](https://en.wikipedia.org/wiki/Forward_secrecy)をサポートする最新の暗号スイートも必要です。KMS キーのキーマテリアルを保存するハードウェアセキュリティモジュール (HSMs) へのトラフィックは、 AWS 内部ネットワーク経由で既知の AWS KMS API ホストからのみ許可されます。

パブリックインターネット経由でトラフィックを送信せずに仮想プライベートクラウド (VPC) AWS KMS から直接 に接続するには、 を搭載した VPC エンドポイントを使用します[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。詳細については、「[VPC エンドポイント AWS KMS を介して に接続する](kms-vpc-endpoint.md)」を参照してください。

AWS KMS は、Transport Layer Security (TLS) ネットワーク暗号化プロトコルの[ハイブリッドポスト量子キー交換](pqtls.md)オプションもサポートしています。このオプションは、 AWS KMS API エンドポイントに接続するときに TLS で使用できます。