翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ポスト量子 TLS
Secrets Manager は、Transport Layer Security (TLS) ネットワーク暗号化プロトコル用のハイブリッドポスト量子キー交換オプションをサポートします。この TLS オプションは、Secrets Manager API エンドポイントに接続するときに使用できます。この機能はポスト量子アルゴリズムが標準化される前に提供されているため、これらのキー交換プロトコルの Secrets Manager コールへの影響のテストを開始できます。これらのオプションのハイブリッドポスト量子キー交換機能は、現在使用している TLS 暗号化と同等以上に安全であり、セキュリティ上のさらなる利点をもたらす可能性があります。ただし、現在使用されている従来のキー交換プロトコルと比較して、レイテンシーとスループットに影響します。
潜在的な将来の攻撃から現在暗号化されたデータを保護するために、AWS は量子耐性またはポスト量子アルゴリズムを開発する暗号化コミュニティに参加しています。Secrets Manager エンドポイントにハイブリッドポスト量子キー交換暗号スイートを実装しました。これらのハイブリッド暗号スイートは、従来の要素とポスト量子要素を組み合わせたもので、これにより TLS 接続が少なくとも従来の暗号スイートと同じくらい強力になります。ただし、ハイブリッド暗号スイートのパフォーマンス特性と帯域幅要件は従来のキー交換メカニズムのものとは異なるため、API コールでテストすることをお勧めします。
Secrets Manager は、中国リージョンを除くすべてのリージョンで PQTLS をサポートしています。
ハイブリッドポスト量子 TLS の設定する
-
Maven 依存関係に AWS 共通ランタイムクライアントを追加します。利用可能な最新バージョンを使用することをお勧めします。たとえば、以下のステートメントはバージョン 2.20.0 を追加します。
<dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>aws-crt-client</artifactId> <version>2.20.0</version> </dependency> -
AWS SDK for Java 2.x をプロジェクトに追加して初期化します。HTTP クライアントでハイブリッドポスト量子暗号スイートを有効にします。
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder() .postQuantumTlsEnabled(true) .build(); -
Secrets Manager 非同期クライアントを作成します。
SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder() .httpClient(awsCrtHttpClient) .build();これで Secrets Manager API オペレーションを呼び出すと、コールはハイブリッドポスト量子 TLS を使用して Secrets Manager エンドポイントに送信されます。
ハイブリッドポスト量子 TLS の使用の詳細については、次を参照してください。
-
「AWS SDK for Java 2.x 開発者ガイド」と「AWS SDK for Java 2.x released
」( がリリースされました) のブログ記事。 -
「Introducing s2n-tls, a New Open Source TLS Implementation
」(新しいオープンソース TLS 実装の のご紹介) および「Using s2n-tls 」( の使用)。 -
米国国立標準技術研究所 (NIST) のポスト量子暗号
。 -
Hybrid Post-Quantum Key Encapsulation Methods (PQ KEM) for Transport Layer Security 1.2 (TLS)
(Transport Layer Security 1.2 (TLS) 用のハイブリッド Post-Quantum Key Encapsulation Methods (PQ KEM))。
Secrets Manager のポスト量子 TLS は、中国を除くすべての AWS リージョン で利用できます。
