耐久性の保護 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

耐久性の保護

オフライン HSM の使用、エクスポートされたドメイントークンの複数の不揮発性ストレージ、および暗号化された KMS キーの冗長ストレージにより、サービスによって生成されたキーに対するサービスの耐久性が強化されます。オフライン HSM は、既存のドメインのメンバーです。オンラインではなく、通常のドメイン操作に参加している場合を除き、オフライン HSM は既存の HSM メンバーと同じドメイン状態で表示されます。

AWS でオンライン HSM またはプライマリストレージシステムに格納されている一連の KMS キーの損失が広範囲に発生する懸念を考慮して、耐久性の設計は、リージョン内のすべての KMS キーを保護することを目的としています。インポートされたキーマテリアルを含む AWS KMS keys は、他の KMS キーの耐久性保護の下には含まれていません。AWS KMS でリージョン全体の障害が発生した場合は、インポートされたキーマテリアルを KMS キーに再インポートする必要がある場合があります。

オフラインの HSM と、それらにアクセスするための認証情報は、複数の独立した地理的場所にある監視された安全室内の金庫に保存されます。各金庫からこれらのマテリアルを取得するには、AWS の 2 つの独立したチームから、少なくとも 1 人の AWS セキュリティオフィサーと 1 人の AWS KMS オペレーターが必要です。これらのマテリアルの使用には、内部ポリシーで定める定足数の AWS KMS オペレーターの立ち合いが必要です。