翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
キーストア
キーストアは、暗号化キーを保存し使用するための安全な場所です。のデフォルトキーストアは、保存されているキーを生成および管理する方法 AWS KMS もサポートしています。デフォルトでは、 AWS KMS keys で作成する の暗号化キーマテリアル AWS KMS は、連邦情報処理標準 (HSMs) 140 暗号化モジュール検証プログラム () 140-2 レベル 3 検証済み暗号化モジュール であるハードウェアセキュリティモジュール () で生成され、保護されます。 NIST FIPSFIPS
AWS KMS は、キーを保護するために複数のタイプのキーストアをサポートしています。 を使用して AWS KMS 暗号化キーを作成および管理する場合のマテリアルです。が提供するすべてのキーストアオプション AWS KMS は、セキュリティレベル 3 FIPS で 140 未満で継続的に検証され、 AWS オペレーターを含むすべてのユーザーが許可なくプレーンテキストキーにアクセスしたり、使用したりできないように設計されています。
AWS KMS 標準キーストア
デフォルトでは、KMSキーは標準 を使用して作成されます AWS KMS HSM。このHSMタイプは、 のマルチテナントフリートと見なすことができます。HSMsこれにより、最もスケーラブルで低コスト、かつ最も簡単なキーストアで、お客様の視点から管理できます。サービスがユーザーに代わってデータを暗号化 AWS のサービス できるように、1 つ以上の 内で使用するためにKMSキーを作成する場合は、対称キーを作成します。独自のアプリケーション設計にKMSキーを使用している場合は、対称暗号化キー、非対称キー、またはHMACキーを作成できます。
標準キーストアオプションでは、 はキー AWS KMS を作成し、サービスが内部で管理するキーで暗号化します。その後、暗号化されたバージョンのキーの複数のコピーが、耐久性を考慮して設計されたシステムに保存されます。標準キーストアタイプでキーマテリアルを生成して保護することで、キーストアの運用上の負担とコストを最小限に抑え AWS KMS ながら、 の AWS スケーラビリティ、可用性、耐久性を最大限に活用できます。
AWS KMS インポートされたキーマテリアルを含む標準キーストア
特定のキーの唯一のコピーの生成と保存の両方 AWS KMS を要求する代わりに、キーマテリアルを にインポートすることを選択できます。 AWS KMSこれにより、独自の 256 ビット対称暗号化キーRSA、楕円曲線 (ECC) キー、またはハッシュベースのメッセージ認証コード () キーを生成し、KMSキー識別子 (HMAC) に適用できますkeyId。これは、独自のキーを持ち込む () と呼ばれることがありますBYOK。ローカルキー管理システムからインポートされたキーマテリアルは、 によって発行されたパブリックキー AWS KMS、サポートされている暗号化ラッピングアルゴリズム、および によって提供される時間ベースのインポートトークンを使用して保護する必要があります AWS KMS。このプロセスでは、暗号化されたインポートされたキーが AWS KMS によって復号化されるのは、環境を離れHSMてからのみです。
インポートされたキーマテリアルは、キーを生成するシステムに関する特定の要件がある場合、または の外部でキーのコピーをバックアップ AWS として必要とする場合に便利です。インポートされたキーマテリアルの全般的な可用性と耐久性については、ユーザー自身の責任となることにご留意ください。 AWS KMS にはインポートされたキーのコピーがあり、必要な間は高可用性を維持しますが、インポートされたキーは特別なAPI削除機能を提供します DeleteImportedKeyMaterial。これによりAPI、 AWS KMS を持つインポートされたキーマテリアルのすべてのコピーがすぐに削除されます。 はキー AWS を復元できません。また、インポートされたキーの有効期限を設定することができ、有効期限到達後はそのキーは使用できなくなります。キーを で再び便利にするには AWS KMS、キーマテリアルを再インポートして同じ に割り当てる必要がありますkeyId。インポートされたキーのこの削除アクションは、ユーザーに代わって AWS KMS 生成および保存される標準キーとは異なります。標準の場合、キー削除プロセスには強制の待機期間があり、削除が予定されているキーはまず使用できないようにブロックされます。このアクションにより、データにアクセスするためにそのキーを必要とする可能性のあるアプリケーションまたは AWS サービスのログでアクセス拒否エラーを確認できます。このようなアクセスリクエストが表示された場合は、スケジュールされた削除をキャンセルしてキーを再度有効にすることができます。設定可能な待機期間 (7~30 日) が過ぎると、キーマテリアル、keyID、キーに関連付けられたすべてのメタデータがKMS実際に削除されます。可用性と耐久性の詳細については、AWS KMS 「 デベロッパーガイド」の「インポートされたキーマテリアルの保護」を参照してください。
インポートされたキーマテリアルについては、留意すべき追加の制限事項があります。 AWS KMS は新しいキーマテリアルを生成できないため、インポートされたキーの自動ローテーションを設定する方法はありません。新しい で新しいKMSキーを作成しkeyId、新しいキーマテリアルをインポートして、効果的なローテーションを実現する必要があります。また、インポートされた対称キー AWS KMS の下で で作成された暗号文は、 の外部にあるキーのローカルコピーを使用して簡単に復号することはできません AWS。これは、 が使用する認証された暗号化形式が暗号文に追加メタデータ AWS KMS を追加し、復号化オペレーション中に、暗号文が以前の暗号化オペレーションで期待されるKMSキーによって作成されたという保証を提供するためです。ほとんどの外部暗号化システムは、こうしたメタデータを解析して未加工の暗号文にアクセスし、対称キーのコピーを使用可能にする方法を理解していません。インポートされた非対称キー (例: RSAまたは ECC) で作成された暗号文は、暗号文に によって AWS KMS 追加されるメタデータがないため、 の外部 AWS KMS でキーの一致する (パブリックまたはプライベート) 部分とともに使用できます。
AWS KMS カスタムキーストア
ただし、 をさらに制御する必要がある場合はHSMs、カスタムキーストアを作成できます。
カスタムキーストアは、 内のキーストア AWS KMS であり AWS KMS、所有および管理している の外部のキーマネージャーによってバックアップされます。カスタムキーストアは、 の便利で包括的なキー管理インターフェイス AWS KMS と、キーマテリアルと暗号化オペレーションを所有および制御する機能を組み合わせます。カスタムKMSキーストアでキーを使用する場合、暗号化オペレーションは、暗号化キーを使用してキーマネージャーによって実行されます。その結果、暗号化キーの可用性と耐久性、および の運用について、より責任が負いますHSMs。
を所有することはHSMs、標準KMSキーストアのようなマルチテナントウェブサービスが暗号化キーを保持することを許可していない特定の規制要件を満たすのに役立ちます。カスタムキーストアは、 AWSマネージド型 を使用するKMSキーストアよりも安全ではありませんがHSMs、管理とコストへの影響は異なります (それ以上)。その結果、暗号化キーの可用性と耐久性、および の運用について、より責任を持つことになりますHSMs。標準キーストアを で使用する AWS KMS HSMsか、カスタムキーストアを使用するかにかかわらず、このサービスは、 AWS 従業員を含む誰も許可なくプレーンテキストキーを取得したり、使用したりできないように設計されています。 は、次の 2 種類のカスタムキーストア AWS KMS をサポートしています。
サポートされていない機能
AWS KMS は、カスタムキーストアで以下の機能をサポートしていません。
AWS CloudHSM キーストア
AWS CloudHSM
外部キーストア
外部キーストア (XKS) を使用する AWS KMS ように を設定できます。ここで、ルートユーザーキーは、 外のキー管理システムで生成、保存、使用されます AWS クラウド。一部の暗号化オペレーションでキーを使用するための AWS KMS へのリクエストは、ユーザーの外部ホストシステムに転送されてそのオペレーションの実行に使用されます。具体的には、リクエストはネットワーク内のXKSプロキシに転送され、その後、リクエストは使用する暗号化システムに転送されます。Proxy XKSは、誰でも統合できるオープンソース仕様です。多くの商用キー管理ベンダーは、XKSプロキシ仕様をサポートしています。外部キーストアはお客様または第三者によってホストされるため、システム内のキーの可用性、耐久性、およびパフォーマンスはすべてユーザーの責任となります。外部キーストアが要件に適しているかどうかを確認するには、AWS ニュースブログのAWS KMS 外部キーストアの発表 (XKS)
トピック
