翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のインフラストラクチャセキュリティ AWS Key Management Service
<a name="infrastructure-security"></a>

マネージドサービスである AWS Key Management Service (AWS KMS) は、[「Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)」で説明されている AWS グローバルネットワークセキュリティ手順で保護されています。

ネットワーク AWS KMS 経由で にアクセスするには、 AWS KMS 「 API [AWS Key Management Service リファレンス](https://docs.aws.amazon.com/kms/latest/APIReference/)」で説明されている API オペレーションを呼び出すことができます。 AWS KMS は、すべてのリージョンで TLS 1.2 を必要とし、TLS 1.3 を推奨します。 AWS KMS は、中国リージョンを除くすべてのリージョン AWS KMS のサービスエンドポイントのハイブリッドポスト量子 TLS もサポートしています。 AWS KMS は、 の FIPS エンドポイントのハイブリッドポスト量子 TLS をサポートしていません AWS GovCloud (US)。[標準の  AWS KMS  エンドポイント](https://docs.aws.amazon.com/general/latest/gr/kms.html)または [AWS KMS FIPS エンドポイント](https://docs.aws.amazon.com/general/latest/gr/kms.html)を使用するには、クライアントが TLS 1.2 以降をサポートする必要があります。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、 は、ソース IP アドレス、VPC、VPC エンドポイントに基づいて KMS キーへのアクセスを制御できるグローバルポリシー条件 AWS KMS をサポートしています。これらの条件キーは、キーポリシーと IAM ポリシーで使用できます。ただし、これらの条件により、 がユーザーに代わって KMS キーを使用すること AWS を防ぐことができます。詳細については、「[AWS グローバル条件キー](conditions-aws.md)」を参照してください。

例えば、次のキーポリシーステートメントでは、ソース IP アドレスがポリシーで指定された IP アドレスの 1 つでない限り、指定された[暗号化オペレーション](kms-cryptography.md#cryptographic-operations) AWS KMS key にこれを使用できる`KMSTestRole`ロールを引き受けることができるユーザーに許可します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS":
    "arn:aws:iam::111122223333:role/KMSTestRole"},
    "Action": [
      "kms:Encrypt",
      "kms:Decrypt",
      "kms:ReEncrypt*",
      "kms:GenerateDataKey*",
      "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
      "NotIpAddress": {
        "aws:SourceIp": [
          "192.0.2.0/24",
          "203.0.113.0/24"
        ]
      }
    }
  }
}
```

------

## 物理ホストの分離
<a name="compliance-physical-security"></a>

が AWS KMS 使用する物理インフラストラクチャのセキュリティは、「Amazon Web Services: セキュリティプロセスの概要」の**「物理および環境セキュリティ**」セクションで説明されているコントロールの対象となります。 [https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)詳細については、前のセクションにリストされたコンプライアンスレポートとサードパーティーの監査結果を参照してください。

AWS KMS は、物理攻撃に耐える特定のコントロールで設計された専用の強化ハードウェアセキュリティモジュール (HSMs) でサポートされています。HSM は、ハイパーバイザーなどの仮想化レイヤー *を持たない* 物理デバイスで、物理デバイスを複数の論理テナント間で共有します。 AWS KMS keys のキーマテリアルは、KMS キーの使用中にのみ、HSM の揮発性メモリにのみ保存されます。このメモリは、HSM が意図したシャットダウンやリセットなど、動作状態から移行すると消去されます。 AWS KMS HSMs[AWS Key Management Service 「暗号化の詳細](https://docs.aws.amazon.com/kms/latest/cryptographic-details/)」を参照してください。