翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Key Management Service
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウドのセキュリティおよびクラウド内のセキュリティと説明しています。
+ **** クラウドのセキュリティ** – AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。 AWS Key Management Service (AWS KMS) に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド*のセキュリティ* ** – お客様の責任は、使用する AWS サービスによって決まります。さらに AWS KMS、 の設定と使用に加えて AWS KMS keys、データの機密性、会社の要件、適用可能な法律や規制など、その他の要因についても責任を負います。
このドキュメントは、 を使用する際の責任共有モデルの適用方法を理解するのに役立ちます AWS Key Management Service。セキュリティとコンプライアンスの目的を達成する AWS KMS ように を設定する方法を示します。
**Topics**
+ [データ保護](data-protection.md)
+ [ID とアクセス管理](security-iam.md)
+ [ログ記録とモニタリング](security-logging-monitoring.md)
+ [コンプライアンス検証](kms-compliance.md)
+ [耐障害性](disaster-recovery-resiliency.md)
+ [インフラストラクチャセキュリティ](infrastructure-security.md)
# でのデータ保護 AWS Key Management Service
AWS Key Management Service は暗号化キーを保存および保護して可用性を高め、強力で柔軟なアクセスコントロールを提供します。
**Topics**
+ [キーマテリアルの保護](#encryption-key-mgmt)
+ [データ暗号化](#data-encryption)
+ [ネットワーク間のトラフィックのプライバシー](#inter-network-privacy)
## キーマテリアルの保護
デフォルトでは、 は KMS キーの暗号化キーマテリアル AWS KMS を生成して保護します。さらに、 は、 の外部で作成および保護されるキーマテリアルのオプション AWS KMS を提供します AWS KMS。
### で生成されたキーマテリアルの保護 AWS KMS
KMS キーを作成すると、デフォルトで は KMS キーの暗号化マテリアル AWS KMS を生成して保護します。
KMS キーのキーマテリアルを保護するために、 AWS KMS は [FIPS 140-3 セキュリティレベル 3 検証済み](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)ハードウェアセキュリティモジュール (HSMs。各 AWS KMS HSM は、 のセキュリティとスケーラビリティの要件を満たす専用の暗号化機能を提供するように設計された、専用のスタンドアロンハードウェアアプライアンスです AWS KMS。(中国リージョンで AWS KMS を使用する HSMs は [OSCCA](https://www.oscca.gov.cn/) によって認定されており、関連するすべての中国規制に準拠していますが、FIPS 140-3 暗号化モジュール検証プログラムでは検証されていません)。
KMS キーのキーマテリアルは、HSM で生成されるときにデフォルトで暗号化されます。キーマテリアルは HSM の揮発性メモリ内でのみ、暗号化オペレーションで使用するのにかかる数ミリ秒の間だけ復号化されます。キーマテリアルがアクティブに使用されていない場合は常に、HSM 内で暗号化され、[耐久性の高い](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99.999999999%)、低レイテンシーの永続ストレージに転送され、そこで HSM とは別の場所に保管されます。プレーンテキストのキーマテリアルは、HSM [セキュリティ境界](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary)を離れることはありません。また、ディスクに書き込まれることも、ストレージメディアに保持されることもありません。(唯一の例外は、非対称キーペアのパブリックキーです。これはシークレットではありません)。
AWS は、基本的なセキュリティ原則として、プレーンテキストの暗号化キーマテリアルと人間によるやり取りがないことをアサートします AWS のサービス。 AWS のサービス 演算子を含むすべてのユーザーがプレーンテキストのキーマテリアルを表示、アクセス、またはエクスポートするメカニズムはありません。この原則は、壊滅的な障害やディザスタリカバリ中にも適用されます。のプレーンテキストのカスタマーキーマテリアル AWS KMS は、FIPS AWS KMS 140-3 検証済み HSMs 内の暗号化オペレーションに使用され、顧客またはその代理人によってサービスに対して行われた承認されたリクエストにのみ応答します。
[カスタマーマネージドキー](concepts.md#customer-mgn-key)の場合、キー AWS アカウント を作成する は、キーの唯一かつ譲渡不可能な所有者です。所有しているアカウントは、キーへのアクセスを制御する権限付与ポリシーを完全かつ排他的に制御できます。の場合 AWS マネージドキー、 AWS アカウント は へのリクエストを承認する IAM ポリシーを完全に制御できます AWS のサービス。
### の外部で生成されたキーマテリアルの保護 AWS KMS
AWS KMS は、 で生成されたキーマテリアルの代替手段を提供します AWS KMS。
オプションの AWS KMS 機能である[カスタムキーストア](key-store-overview.md#custom-key-store-overview)を使用すると、外部で生成および使用されるキーマテリアルでバックアップされた KMS キーを作成できます AWS KMS。[AWS CloudHSM キーストア](keystore-cloudhsm.md)の KMS キーは、ユーザーが管理する AWS CloudHSM ハードウェアセキュリティモジュールのキーによってバックアップされます。これらの HSM は、[FIPS 140-2 セキュリティレベル 3 または 140-3 セキュリティレベル 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) で認定されています。[外部キーストアの KMS キー](keystore-external.md)は、プライベートデータセンターの物理 HSM など AWS、外部で制御および管理している外部キーマネージャーのキーによってバックアップされます。
もう 1 つのオプション機能により、KMS キーの[キーマテリアルをインポート](importing-keys.md)できます。への転送中にインポートされたキーマテリアルを保護するには AWS KMS、 AWS KMS HSM で生成された RSA キーペアからパブリックキーを使用してキーマテリアルを暗号化します。インポートされたキーマテリアルは AWS KMS HSM で復号され、HSM の対称キーで再暗号化されます。すべての AWS KMS キーマテリアルと同様に、プレーンテキストでインポートされたキーマテリアルが HSMs を暗号化されないままにすることはありません。ただし、キーマテリアルを提供したお客様は、 AWS KMSの外部におけるキーマテリアルの安全な使用、耐久性、メンテナンスに対して責任を持ちます。
## データ暗号化
のデータは、 AWS KMS keys とそれらが表す暗号化キーマテリアル AWS KMS で構成されます。このキーマテリアルは、 AWS KMS ハードウェアセキュリティモジュール (HSM) 内でのみ、かつ使用中の場合にのみ、プレーンテキストで存在します。それ以外の場合、キー素材は暗号化され、耐久性のある永続ストレージに保存されます。
が KMS キー用に AWS KMS 生成するキーマテリアルはHSMs の AWS KMS 境界を暗号化されないままにすることはありません。 AWS KMS API オペレーションではエクスポートまたは送信されません。ただし、[マルチリージョンキー](multi-region-keys-overview.md)は例外です。 はクロスリージョンレプリケーションメカニズム AWS KMS を使用して、マルチリージョンキーのキーマテリアルを 1 つの の HSM から別の AWS リージョン の HSM にコピーします AWS リージョン。詳細については、「暗号化の詳細」の[「マルチリージョンキーのレプリケーションプロセス](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html)」を参照してください。 AWS Key Management Service
**Topics**
+ [保管中の暗号化](#encryption-at-rest)
+ [転送中の暗号化](#encryption-in-transit)
### 保管中の暗号化
AWS KMS は、FIPS 140-3 セキュリティレベル 3 準拠のハードウェアセキュリティモジュール (HSMs) AWS KMS keys で のキーマテリアルを生成します。 [https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)唯一の例外は中国リージョンで、 AWS KMS が KMS キーの生成に使用する HSMs は、関連するすべての中国の規制に準拠していますが、FIPS 140-3 暗号化モジュール検証プログラムでは検証されていません。使用されていない場合、キーマテリアルは HSM キーによって暗号化され、耐久性のある永続的なストレージに書き込まれます。KMS キーのキーマテリアルおよびキーマテリアルを保護する暗号化キーは、HSM をプレーンテキスト形式のままにしません。
KMS キーのキーマテリアルの暗号化と管理は、 AWS KMSによって完全に処理されます。
詳細については、 AWS Key Management Service 「暗号化の詳細」の[「 の使用 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html)」を参照してください。
### 転送中の暗号化
が KMS キー用に AWS KMS 生成するキーマテリアルは、 AWS KMS API オペレーションではエクスポートまたは送信されません。 は[キー識別子](concepts.md#key-id) AWS KMS を使用して、API オペレーションの KMS キーを表します。同様に、 AWS KMS [カスタムキーストアの KMS キーのキー](key-store-overview.md#custom-key-store-overview)マテリアルはエクスポートできず、 AWS KMS または AWS CloudHSM API オペレーションでは送信されません。
ただし、一部の AWS KMS API オペレーションは[データキー](data-keys.md)を返します。お客様は API オペレーションを使用して、選択した KMS キーの[キーマテリアルをインポート](importing-keys.md)することもできます。
すべての AWS KMS API コールは Transport Layer Security (TLS) を使用して署名および送信する必要があります。 は TLS 1.2 AWS KMS を必要とし、すべてのリージョンで TLS 1.3 を推奨します。 は、中国リージョンを除くすべてのリージョン AWS KMS のサービスエンドポイントのハイブリッドポスト量子 TLS AWS KMS もサポートしています。 AWS KMS は、 の FIPS エンドポイントのハイブリッドポスト量子 TLS をサポートしていません AWS GovCloud (US)。 AWS KMS の呼び出しには、*PFS (Perfect Forward Secrecy)* をサポートする最新の暗号スイートも必要です。つまり、プライベートキーなどのシークレットが漏洩した場合でも、セッションキーは漏洩しません。
コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。標準 AWS KMS エンドポイントまたは FIPS AWS KMS エンドポイントを使用するには、クライアントが TLS 1.2 以降をサポートしている必要があります。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。FIPS エンドポイントのリストについては、 AWS KMS 「」の[AWS Key Management Service 「 エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/kms.html)」を参照してください AWS 全般のリファレンス。
AWS KMS サービスホストと HSMs 間の通信は、認証された暗号化スキームで楕円曲線暗号化 (ECC) と高度な暗号化標準 (AES) を使用して保護されます。詳細については、 AWS Key Management Service 「暗号化の詳細」の[「内部通信セキュリティ](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html)」を参照してください。
## ネットワーク間のトラフィックのプライバシー
AWS KMS は、 AWS マネジメントコンソール と一連の API オペレーションをサポートし、暗号化オペレーションで作成、管理 AWS KMS keys 、使用できるようにします。
AWS KMS は、プライベートネットワークから への 2 つのネットワーク接続オプションをサポートします AWS。
+ インターネット経由の IPsec VPN 接続
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/): 内部ネットワークを標準のイーサネット光ファイバケーブル経由で Direct Connect の場所にリンクします。
すべての AWS KMS API コールに署名し、Transport Layer Security (TLS) を使用して送信する必要があります。コールには、 [完全な転送秘密](https://en.wikipedia.org/wiki/Forward_secrecy)をサポートする最新の暗号スイートも必要です。KMS キーのキーマテリアルを保存するハードウェアセキュリティモジュール (HSMs) へのトラフィックは、 AWS 内部ネットワーク経由で既知の AWS KMS API ホストからのみ許可されます。
パブリックインターネット経由でトラフィックを送信せずに仮想プライベートクラウド (VPC) AWS KMS から直接 に接続するには、 を搭載した VPC エンドポイントを使用します[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。詳細については、「[VPC エンドポイント AWS KMS を介して に接続する](kms-vpc-endpoint.md)」を参照してください。
AWS KMS は、Transport Layer Security (TLS) ネットワーク暗号化プロトコルの[ハイブリッドポスト量子キー交換](pqtls.md)オプションもサポートしています。このオプションは、 AWS KMS API エンドポイントに接続するときに TLS で使用できます。
# の ID とアクセスの管理 AWS Key Management Service
AWS Identity and Access Management (IAM) は、 AWS リソースへのアクセスを安全に制御するのに役立ちます。管理者は、誰を*認証* (サインイン) し、誰に AWS KMS リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。詳細については、「[での IAM ポリシーの使用 AWS KMS](iam-policies.md)」を参照してください。
[キーポリシー](key-policies.md)は、 で KMS キーへのアクセスを制御するための主要なメカニズムです AWS KMS。すべての KMS キーにはキーポリシーが必要です。[IAM ポリシー](iam-policies.md)と[権限](grants.md)をキーポリシーとともに使用して、KMS キーへのアクセスを制御することもできます。詳細については、「[KMS キーのアクセスとアクセス許可](control-access.md)」を参照してください。
Amazon Virtual Private Cloud (Amazon VPC) を使用している場合は、 AWS KMS を使用するインターフェイス [VPC エンドポイントを作成できます](kms-vpc-endpoint.md)[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。VPC エンドポイントポリシーを使用して、 AWS KMS エンドポイントにアクセスできるプリンシパル、実行できる API コール、アクセスできる KMS キーを決定することもできます。
**Topics**
+ [AWS の 管理ポリシー AWS Key Management Service](security-iam-awsmanpol.md)
+ [のサービスにリンクされたロールの使用 AWS KMS](using-service-linked-roles.md)
# AWS の 管理ポリシー AWS Key Management Service
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AWSKeyManagementServicePowerUser
`AWSKeyManagementServicePowerUser` ポリシーを IAM アイデンティティにアタッチできます。
`AWSKeyManagementServicePowerUser` マネージドポリシーを使用して、アカウントの IAM プリンシパルにパワーユーザーの許可を付与できます。パワーユーザーは KMS キーを作成し、作成した KMS キーを使用および管理し、すべての KMS キーと IAM アイデンティティを表示できます。`AWSKeyManagementServicePowerUser` マネージドポリシーを持つプリンシパルは、キーポリシー、他の IAM ポリシー、許可など、他のソースから許可を取得することもできます。
`AWSKeyManagementServicePowerUser` は AWS マネージド IAM ポリシーです。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**注記**
KMS キーに固有のこのポリシー内の許可は (`kms:TagResource` および `kms:GetKeyRotationStatus` など)、その KMS キーのキーポリシーが、キーへのアクセスを制御するために IAM ポリシーを使用することを AWS アカウント に対して[明示的に許可している](key-policy-default.md#key-policy-default-allow-root-enable-iam)場合にのみ有効です。許可が KMS キーに固有のものであるかどうかを判断するには、[AWS KMS アクセス許可](kms-api-permissions-reference.md) を表示して、**[Resources]** (リソース) 列にある **[KMS key]** (KMS キー) の値を確認します。
このポリシーは、オペレーションを許可するキーポリシーを持つすべての KMS キーに対して、パワーユーザーの許可を付与します。クロスアカウントの許可の場合 (`kms:DescribeKey` および `kms:ListGrants` など)、これにより、信頼されていない AWS アカウントの KMS キーが含まれる可能性があります。詳細については、「[IAM ポリシーのベストプラクティス](iam-policies-best-practices.md)」および「[他のアカウントのユーザーに KMS キーの使用を許可する](key-policy-modifying-external-accounts.md)」を参照してください。許可が他のアカウントの KMS キーに対して有効かどうかを判断するには、[AWS KMS アクセス許可](kms-api-permissions-reference.md) を表示して、**[Cross-account use]** (クロスアカウントの使用) 列にある **[Yes]** (はい) の値を確認します。
プリンシパルがエラーなしで AWS KMS コンソールを表示できるようにするには、ポリシーに含まれていない [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) アクセス許可が必要です`AWSKeyManagementServicePowerUser`。この許可は、別の IAM ポリシーで許可できます。
[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) マネージド IAM ポリシーには、以下の許可が含まれます。
+ プリンシパルが KMS キーを作成できるようにします。このプロセスにはキーポリシーの設定が含まれるため、パワーユーザーは自分や他者に、自分が作成した KMS キーを使用および管理するためのアクセス許可を付与することができます。
+ プリンシパルは、すべての KMS キーの[エイリアス](kms-alias.md)と[タグ](tagging-keys.md)を作成および削除できます。タグまたはエイリアスを変更すると、KMS キーを使用および管理するためのアクセス許可が、許可または拒否される場合があります。詳細については、「[の ABAC AWS KMS](abac.md)」を参照してください。
+ プリンシパルは、キー ARN、暗号化設定、キーポリシー、エイリアス、タグ、[ローテーション状態](rotate-keys.md)など、すべての KMS キーに関する詳細情報を取得できます。
+ プリンシパルが IAM ユーザー、グループ、ロールを一覧表示できるようにします。
+ このポリシーでは、プリンシパルが自分で作成していない KMS キーを使用または管理することは許可できません。ただし、すべての KMS キーのエイリアスとタグを変更することはできるため、KMS キーを使用または管理する許可を許可または拒否できる可能性があります。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」の[AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)」を参照してください。
## AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceCustomKeyStores
IAM エンティティに `AWSServiceRoleForKeyManagementServiceCustomKeyStores` をアタッチすることはできません。このポリシーは、 AWS CloudHSM キーストアに関連付けられた AWS CloudHSM クラスターを表示し、カスタムキーストアとその AWS CloudHSM クラスター間の接続をサポートするネットワークを作成するアクセス許可を付与 AWS KMS するサービスにリンクされたロールにアタッチされます。詳細については、「[AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する](authorize-kms.md)」を参照してください。
## AWS マネージドポリシー: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
IAM エンティティに `AWSServiceRoleForKeyManagementServiceMultiRegionKeys` をアタッチすることはできません。このポリシーは、マルチリージョンプライマリキーのキーマテリアルへの変更をレプリカキーに同期する AWS KMS アクセス許可を付与するサービスにリンクされたロールにアタッチされます。詳細については、「[マルチリージョンキー AWS KMS の同期を許可する](multi-region-auth-slr.md)」を参照してください。
## AWS KMS AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS KMS してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、 AWS KMS [ドキュメント履歴](dochistory.md) ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) – 既存のポリシーの更新 | AWS KMS は、ポリシーバージョン v2 の マネージドポリシーにステートメント ID (`Sid`) フィールドを追加しました。 | 2024 年 11 月 21 日 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) – 既存ポリシーの更新 | AWS KMS に`ec2:DescribeVpcs`、 AWS CloudHSM クラスターを含む VPC の変更をモニタリングするための `ec2:DescribeNetworkAcls`、、および アクセス`ec2:DescribeNetworkInterfaces`許可が追加されました。これにより、 は障害発生時に明確なエラーメッセージを提供 AWS KMS できます。 | 2023 年 11 月 10 日 |
| AWS KMS が変更の追跡を開始しました | AWS KMS は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2023 年 11 月 10 日 |
# のサービスにリンクされたロールの使用 AWS KMS
AWS Key Management Service は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS KMS。サービスにリンクされたロールは によって定義 AWS KMS され、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS KMS が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS KMS を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS KMS ることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティに添付することはできません。
サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、 AWS KMS リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
このトピックで説明されているサービスにリンクされたロールの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。
**Topics**
+ [AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する](authorize-kms.md)
+ [マルチリージョンキー AWS KMS の同期を許可する](multi-region-auth-slr.md)
# AWS CloudHSM と Amazon EC2 リソースの管理 AWS KMS を承認する
AWS CloudHSM キーストアをサポートするために、 には AWS CloudHSM クラスターに関する情報を取得するためのアクセス許可 AWS KMS が必要です。また、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに接続するネットワークインフラストラクチャを作成するアクセス許可も必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。 AWS CloudHSM キーストアを作成するユーザーには、サービスにリンクされたロールの作成を許可する`iam:CreateServiceLinkedRole`アクセス許可が必要です。
**AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** マネージドポリシーの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。
**Topics**
+ [AWS KMS サービスにリンクされたロールについて](#about-key-store-slr)
+ [サービスにリンクされたロールの作成](#create-key-store-slr)
+ [サービスにリンクされたロールの説明を編集する](#edit-key-store-slr)
+ [サービスにリンクされたロールを削除する](#delete-key-store-slr)
## AWS KMS サービスにリンクされたロールについて
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)は、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。詳細については、「[のサービスにリンクされたロールの使用 AWS KMS](using-service-linked-roles.md)」を参照してください。
AWS CloudHSM キーストアの場合、 は **AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 管理ポリシーで AWS KMS 作成します。このポリシーはロールに以下のアクセス許可を与えます。
+ [cloudhsm:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) – カスタムキーストアにアタッチされている AWS CloudHSM クラスターの変更を検出します。
+ [ec2:CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 AWS KMS と AWS CloudHSM クラスター間のネットワークトラフィックフローを有効にするセキュリティグループを作成するときに使用されます。
+ [ec2:AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 から AWS CloudHSM クラスターを含む VPC AWS KMS へのネットワークアクセスを許可するときに使用されます。
+ [ec2:CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – [AWS CloudHSM キーストアを接続し](connect-keystore.md)て、 AWS KMS と AWS CloudHSM クラスター間の通信に使用されるネットワークインターフェイスを作成するときに使用されます。
+ [ec2:RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – [AWS CloudHSM キーストアを接続して、](connect-keystore.md) が AWS KMS 作成したセキュリティグループからすべてのアウトバウンドルールを削除するときに使用されます。
+ [ec2:DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – [AWS CloudHSM キーストアを切断](disconnect-keystore.md)して、キー AWS CloudHSM ストアの接続時に作成されたセキュリティグループを削除するときに使用されます。
+ [ec2:DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたセキュリティグループの変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
+ [ec2:DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) – AWS CloudHSM クラスターを含む VPC の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにします。
+ [ec2:DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) – AWS CloudHSM クラスターを含む VPC のネットワーク ACLs の変更をモニタリングし、 が障害発生時に明確なエラーメッセージを提供 AWS KMS できるようにするために使用されます。
+ [ec2:DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) – AWS CloudHSM クラスターを含む VPC で AWS KMS 作成されたネットワークインターフェイスの変更をモニタリングし、 AWS KMS が障害発生時に明確なエラーメッセージを提供できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールは のみを信頼するため`cks.kms.amazonaws.com`、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、 が AWS CloudHSM クラスターを表示し、 AWS CloudHSM キーストアを関連する AWS CloudHSM クラスターに接続 AWS KMS するために必要なオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には、 AWS CloudHSM クラスター、HSMs、またはバックアップを作成、管理、削除するアクセス許可はありません。
**リージョン**
AWS CloudHSM キーストア機能と同様に、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** ロールは、 AWS KMS と が利用可能なすべての AWS リージョン でサポート AWS CloudHSM されています。各サービスがサポート AWS リージョン する のリストについては、の[AWS Key Management Service 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/kms.html)」および[AWS CloudHSM 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)」を参照してください*Amazon Web Services 全般のリファレンス*。
AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。
## サービスにリンクされたロールの作成
AWS KMS AWS CloudHSM は、キー AWS アカウント ストアを作成するときに、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールがまだ存在しない場合、 に自動的に AWSServiceRoleForKeyManagementServiceCustomKeyStores サービスにリンクされたロールを作成します。このサービスにリンクされたロールを直接作成または再作成することはできません。
## サービスにリンクされたロールの説明を編集する
**AWSServiceRoleForKeyManagementServiceServiceCustomKeyStor** es サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することはできます。手順については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## サービスにリンクされたロールを削除する
AWS KMS は、[すべての AWS CloudHSM キーストア](delete-keystore.md)を削除した場合でも、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを AWS アカウント から削除しません。現在、**AWSServiceRoleForKeyManagementServiceCustomKeyStores** サービスにリンクされたロールを削除する手順はありませんが、アクティブな AWS CloudHSM キーストアがない限り、 はこのロールを引き受けたり、アクセス許可を使用した AWS KMS りしません。
# マルチリージョンキー AWS KMS の同期を許可する
[マルチリージョンキー](multi-region-keys-auth.md)をサポートするには、マルチリージョンプライマリキー[の共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)をレプリカキーと同期するアクセス許可 AWS KMS が必要です。これらのアクセス許可を取得するには、 で **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロール AWS KMS を作成します AWS アカウント。マルチリージョンキーを作成するユーザーには、サービスにリンクされたロールの作成を許可するための `iam:CreateServiceLinkedRole` アクセス許可が必要です。
AWS CloudTrail ログの共有プロパティの同期を記録する [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail AWS KMS イベントを表示できます。
**AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** マネージドポリシーの更新の詳細については、「[AWS KMS AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。
**Topics**
+ [マルチリージョンキーのサービスリンクロールについて](#about-multi-region-slr)
+ [サービスにリンクされたロールの作成](#create-mrk-slr)
+ [サービスにリンクされたロールの説明を編集する](#edit-mrk-slr)
+ [サービスにリンクされたロールを削除する](#delete-mrk-slr)
## マルチリージョンキーのサービスリンクロールについて
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)は、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を 1 つの AWS サービスに付与する IAM ロールです。複雑な IAM ポリシーを作成および維持しなくても、複数の統合 AWS サービスの機能を簡単に使用できるように設計されています。
マルチリージョンキーの場合、 は、AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy 管理ポリシーを使用して **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** サービスにリンクされたロール AWS KMS を作成します。このポリシーは、ロールに `kms:SynchronizeMultiRegionKey` アクセス許可を付与します。これにより、マルチリージョンキーの共有プロパティを同期できます。
**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールは のみを信頼するため`mrk.kms.amazonaws.com`、 のみがこのサービスにリンクされたロールを引き受け AWS KMS ることができます。このロールは、マルチリージョン共有プロパティを同期 AWS KMS する必要があるオペレーションに限定されます。追加のアクセス許可 AWS KMS は付与されません。たとえば、 AWS KMS には KMS キーを作成、レプリケート、削除するアクセス許可はありません。
AWS サービスにリンクされたロールの使用方法の詳細については、IAM ユーザーガイドの[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## サービスにリンクされたロールの作成
AWS KMS ロールがまだ存在しない場合、マルチリージョンキーを作成する AWS アカウント と、 で **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールが自動的に作成されます。このサービスにリンクされたロールを直接作成または再作成することはできません。
## サービスにリンクされたロールの説明を編集する
**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスリンクロールでは、ロール名またはポリシーステートメントを編集することはできませんが、ロールの説明を編集することができます。手順については、*IAM ユーザーガイド*の[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)を参照してください。
## サービスにリンクされたロールを削除する
AWS KMS は、**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** サービスにリンクされたロールを から削除せず AWS アカウント 、削除することはできません。ただし、 AWS アカウント および リージョンにマルチリージョンキーがない限り、 は **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** ロールを引き受けたり、そのアクセス許可を使用した AWS KMS りしません。
# でのログ記録とモニタリング AWS Key Management Service
モニタリングは、 AWS KMSでの AWS KMS keys の可用性、ステータス、使用状況を理解する上で重要なパートです。モニタリングは、 AWS ソリューションのセキュリティ、信頼性、可用性、パフォーマンスを維持するのに役立ちます。 には、KMS キーをモニタリングするためのいくつかのツール AWS が用意されています。
**AWS CloudTrail ログ**
AWS KMS API オペレーションへのすべての呼び出しは、 AWS CloudTrail ログにイベントとしてキャプチャされます。これらのログには、 AWS KMS コンソールからのすべての API コールと、 AWS KMS およびその他の AWS サービスによって行われたコールが記録されます。クロスアカウント API コール (別の AWS アカウントで KMS キーを使用する呼び出しなど) は、両方のアカウントの CloudTrail ログに記録されます。
トラブルシューティングまたは監査を行う際、ログを使用して KMS キーのライフサイクルを再構築できます。また、暗号化オペレーションにおける KMS キーの管理および使用を表示することもできます。詳細については、「[を使用した AWS KMS API コールのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)」を参照してください。
**Amazon CloudWatch Logs**
およびその他のソースからログファイルをモニタリング、保存 AWS CloudTrail 、アクセスします。詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)」を参照してください。
の場合 AWS KMS、CloudWatch は KMS キーとそれらが保護するリソースに関する問題の防止に役立つ情報を保存します。詳細については、「[Amazon CloudWatch で KMS キーをモニタリングする](monitoring-cloudwatch.md)」を参照してください。
**Amazon EventBridge**
AWS KMS は、KMS キーが[ローテーションまたは削除されるか](rotate-keys.md)、KMS キーに[を削除する AWS KMS key](deleting-keys.md)[インポートされたキーマテリアル](importing-keys.md)の有効期限が切れると、EventBridge イベントを生成します。 AWS KMS イベント (API オペレーション) を検索し、1 つ以上のターゲット関数またはストリームにルーティングして、状態情報をキャプチャします。詳細については、[Amazon EventBridge を使用した KMS キーのモニタリング](kms-events.md) および「[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/)」を参照してください。
**Amazon CloudWatch Metrics**
CloudWatch メトリクスを使用して KMS キーをモニタリングできます。CloudWatch メトリクスは、 から未加工データを収集し、パフォーマンスメトリクス AWS KMS に加工します。データは 2 週間間隔で記録されるため、現在および過去の情報の傾向を表示できます。これにより、KMS キーがどのように使用され、それらの使用が時間の経過とともにどのように変化するかを理解できます。CloudWatch メトリクスを使用して KMS キーをモニタリングする方法については、[AWS KMS メトリクスとディメンション](monitoring-cloudwatch.md#kms-metrics) を参照してください。
**Amazon CloudWatch アラーム**
指定した期間における単一のメトリックスの変化を監視します。次に、一定期間におけるしきい値に対するメトリックの値に基づいてアクションを実行します。例えば、暗号化オペレーションで削除がスケジュールされている KMS キーの使用を誰かが試みたときにトリガーされる CloudWatch アラームを作成できます。これは、KMS キーがまだ使用中であり、削除すべきではないことを示します。詳細については、「[削除待ち状態の KMS キーの使用を検出するアラームの作成](deleting-keys-creating-cloudwatch-alarm.md)」を参照してください。
**AWS Security Hub CSPM**
を使用して、セキュリティ業界標準とベストプラクティスのコンプライアンスについて AWS KMS 使用状況をモニタリングできます AWS Security Hub CSPM。Security Hub CSPM によってセキュリティコントロールが使用されてリソース設定およびセキュリティ標準が評価され、さまざまなコンプライアンスフレームワークに準拠できるようにサポートします。詳細については、「AWS Security Hub ユーザーガイド」の「[AWS Key Management Service コントロール](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html)」を参照してください。
# のコンプライアンス検証 AWS Key Management Service
サードパーティーの監査者は、複数のコンプライアンスプログラムの一環として AWS Key Management Service のセキュリティと AWS コンプライアンスを評価します。これらのプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
**Topics**
+ [コンプライアンスとセキュリティに関するドキュメント](#compliance-documents)
+ [詳細情報](#compliance-more)
## コンプライアンスとセキュリティに関するドキュメント
以下のコンプライアンスおよびセキュリティドキュメントが対象です AWS KMS。表示するには、[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) を使用します。
+ クラウドコンピューティングコンプライアンスコントロールカタログ (C5)
+ ISO 27001:2013 適用宣言書 (SoA)
+ ISO 27001:2013 認証
+ ISO 27017:2015 適用宣言書 (SoA)
+ ISO 27017:2015 認証
+ ISO 27018:2015 適用宣言書 (SoA)
+ ISO 27018:2014 認証
+ ISO 9001:2015 認証
+ PCI DSS Attestation of Compliance (AOC) と Responsibility Summary
+ Service Organization Controls (SOC) 1 レポート
+ Service Organization Controls (SOC) 2 レポート
+ Service Organization Controls (SOC) 2 機密性に関するレポート
+ フェドランプ高
の使用については AWS Artifact、[AWS 「アーティファクトでのレポートのダウンロード](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
## 詳細情報
を使用する際のお客様のコンプライアンス責任 AWS KMS は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。の使用 AWS KMS が公開されている標準に準拠していることを前提としている場合、 は以下に役立つリソース AWS を提供します。
+ [AWS コンプライアンスプログラムによる対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/) – このページには、特定のコンプライアンスプログラムの対象となる AWS サービスが一覧表示されます。一般的な情報については、「[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
+ [セキュリティとコンプライアンスのクイックスタートガイド](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイする手順について説明します AWS。
+ [AWS コンプライアンスリソース](https://aws.amazon.com/compliance/resources/) – このワークブックとガイドのコレクションは、お客様の業界や地域に適用される場合があります。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – この AWS サービスは、リソース設定が内部プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価します。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – この AWS サービスは、 内のセキュリティ状態を包括的に表示します AWS。Security Hub CSPM は、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに対するコンプライアンスをチェックします。サポートされているサービスとコントロールの一覧については、「[Security Hub CSPM のコントロールリファレンス](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html)」を参照してください。
# の耐障害性 AWS Key Management Service
AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断せずに、自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、およびスケーラビリティが優れています。
グローバル AWS インフラストラクチャに加えて、 AWS KMS には、データの耐障害性とバックアップのニーズをサポートするのに役立ついくつかの機能が用意されています。 AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
## リージョンの隔離
AWS Key Management Service (AWS KMS) は、すべての で利用可能なセルフサステインリージョンサービスです AWS リージョン。のリージョン別に分離された設計 AWS KMS により、1 つの の可用性の問題が他のリージョンの AWS KMS オペレーションに影響を与え AWS リージョン ないようにできます。 AWS KMS は、*計画されたダウンタイムをゼロ*にし、すべてのソフトウェア更新とスケーリングオペレーションをシームレスかつ目に見えない方法で実行できるように設計されています。
AWS KMS [サービスレベルアグリーメント](https://aws.amazon.com/kms/sla/) (SLA) には、すべての KMS APIs。このコミットメントを実現するために、 AWS KMS は、API リクエストの実行に必要なすべてのデータと認可情報が、リクエストを受信するすべてのリージョンのホストで利用可能であることを確認します。
AWS KMS インフラストラクチャは、各リージョンの少なくとも 3 つのアベイラビリティーゾーン (AZs) にレプリケートされます。複数のホスト障害が AWS KMS パフォーマンスに影響を与えないようにするために、 AWS KMS はリージョン内の任意の AZs からの顧客トラフィックを処理するように設計されています。
KMS キーのプロパティまたは許可に加えた変更は、リージョン内のすべてのホストにレプリケートされ、後続のリクエストがリージョン内の任意のホストで正しく処理されるようにします。KMS キーを使用した[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)のリクエストは、 AWS KMS ハードウェアセキュリティモジュール (HSMs) のフリートに転送されます。いずれのモジュールも KMS キーを使用してオペレーションを実行できます。
## マルチテナント設計
のマルチテナント設計 AWS KMS により、99.999% の可用性 SLA を満たし、キーとデータの機密性を保護しながら高いリクエストレートを維持できます。
暗号化オペレーションに指定した KMS キーが常に使用されるキーであることを保証するために、複数の整合性強制メカニズムがデプロイされます。
KMS キーのプレーンテキストキーマテリアルは、広範囲に保護されています。キーマテリアルは作成後すぐに HSM で暗号化され、暗号化されたキーマテリアルはセキュアで低レイテンシーのストレージに即座に移動されます。暗号化されたキーは、HSM 内で取得され、使用に間に合うように復号されます。プレーンテキストキーは、暗号化オペレーションを完了するのに必要な時間だけ HSM メモリに残ります。その後、HSM で再暗号化され、暗号化されたキーがストレージに返されます。プレーンテキストのキーマテリアルが HSM を離れることはありません。永続ストレージに書き込まれることもありません。
## での耐障害性のベストプラクティス AWS KMS
AWS KMS リソースの耐障害性を最適化するには、次の戦略を検討してください。
+ バックアップおよびディザスタリカバリ戦略をサポートするには、*マルチリージョンキー*を検討してください。これは、1 つの AWS リージョン で作成された KMS キーで、ユーザーが指定したリージョンにのみレプリケートされます。マルチリージョンキーを使用すると、プレーンテキストを公開することなく AWS リージョン (同じパーティション内) 間で暗号化されたリソースを移動し、必要に応じて任意の送信先リージョンでリソースを復号できます。関連するマルチリージョンキーは、同じキーマテリアルとキー ID を共有するため、相互運用可能ですが、高解像度のアクセスコントロールのための独立したキーポリシーがあります。詳細については、[AWS KMSのマルチリージョンキー](multi-region-keys-overview.md)を参照してください。
+ などのマルチテナントサービスでキーを保護するには AWS KMS、[キーポリシー](key-policies.md)や [IAM ポリシー](iam-policies.md)などのアクセスコントロールを使用してください。さらに、 を搭載した *VPC インターフェイスエンドポイント* AWS KMS を使用して にリクエストを送信できます AWS PrivateLink。これを行うと、Amazon VPC と 間のすべての通信 AWS KMS は、VPC に制限された専用 AWS KMS エンドポイントを使用して AWS ネットワーク内で完全に行われます。[VPC エンドポイントポリシー](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)を使用して追加の認可レイヤーを作成することで、これらのリクエストをさらに保護できます。詳細については、「[VPC エンドポイント経由で AWS KMS に接続する](kms-vpc-endpoint.md)」を参照してください。
# のインフラストラクチャセキュリティ AWS Key Management Service
マネージドサービスである AWS Key Management Service (AWS KMS) は、[「Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)」で説明されている AWS グローバルネットワークセキュリティ手順で保護されています。
ネットワーク AWS KMS 経由で にアクセスするには、 AWS KMS 「 API [AWS Key Management Service リファレンス](https://docs.aws.amazon.com/kms/latest/APIReference/)」で説明されている API オペレーションを呼び出すことができます。 AWS KMS は、すべてのリージョンで TLS 1.2 を必要とし、TLS 1.3 を推奨します。 AWS KMS は、中国リージョンを除くすべてのリージョン AWS KMS のサービスエンドポイントのハイブリッドポスト量子 TLS もサポートしています。 AWS KMS は、 の FIPS エンドポイントのハイブリッドポスト量子 TLS をサポートしていません AWS GovCloud (US)。[標準の AWS KMS エンドポイント](https://docs.aws.amazon.com/general/latest/gr/kms.html)または [AWS KMS FIPS エンドポイント](https://docs.aws.amazon.com/general/latest/gr/kms.html)を使用するには、クライアントが TLS 1.2 以降をサポートする必要があります。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、 は、ソース IP アドレス、VPC、VPC エンドポイントに基づいて KMS キーへのアクセスを制御できるグローバルポリシー条件 AWS KMS をサポートしています。これらの条件キーは、キーポリシーと IAM ポリシーで使用できます。ただし、これらの条件により、 がユーザーに代わって KMS キーを使用すること AWS を防ぐことができます。詳細については、「[AWS グローバル条件キー](conditions-aws.md)」を参照してください。
例えば、次のキーポリシーステートメントでは、ソース IP アドレスがポリシーで指定された IP アドレスの 1 つでない限り、指定された[暗号化オペレーション](kms-cryptography.md#cryptographic-operations) AWS KMS key にこれを使用できる`KMSTestRole`ロールを引き受けることができるユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## 物理ホストの分離
が AWS KMS 使用する物理インフラストラクチャのセキュリティは、「Amazon Web Services: セキュリティプロセスの概要」の**「物理および環境セキュリティ**」セクションで説明されているコントロールの対象となります。 [https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)詳細については、前のセクションにリストされたコンプライアンスレポートとサードパーティーの監査結果を参照してください。
AWS KMS は、物理攻撃に耐える特定のコントロールで設計された専用の強化ハードウェアセキュリティモジュール (HSMs) でサポートされています。HSM は、ハイパーバイザーなどの仮想化レイヤー *を持たない* 物理デバイスで、物理デバイスを複数の論理テナント間で共有します。 AWS KMS keys のキーマテリアルは、KMS キーの使用中にのみ、HSM の揮発性メモリにのみ保存されます。このメモリは、HSM が意図したシャットダウンやリセットなど、動作状態から移行すると消去されます。 AWS KMS HSMs[AWS Key Management Service 「暗号化の詳細](https://docs.aws.amazon.com/kms/latest/cryptographic-details/)」を参照してください。