翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS KMS 設計目標 AWS KMS は、以下の要件を満たすように設計されています。 **耐久性** 暗号化キーの耐久性は、 の最高の耐久性サービスに等しいように設計されています AWS。1 つの暗号化キーで、長期間にわたって蓄積された大量のデータを暗号化できます。 **信頼性** キーの使用は、ユーザーが定義および管理するアクセス制御ポリシーによって保護されます。プレーンテキストの KMS キーをエクスポートするメカニズムはありません。暗号化キーの機密性は重要です。HSM で管理アクションを実行するには、定足数ベースのアクセス制御にロール固有のアクセス権を持つ複数の Amazon 従業員が必要です。 **低レイテンシーと高スループット** AWS KMS は、 の他のサービスでの使用に適したレイテンシーおよびスループットレベルで暗号化オペレーションを提供します AWS。 **リージョンの独立性** AWS は、異なるリージョンでデータアクセスを制限する必要があるお客様向けに、独立したリージョンを提供します。キーの使用は、 AWS リージョン内に限ることができます。 **元になる乱数の安全性** 強力な暗号は、真に予測不可能な乱数生成に依存するため、 AWS KMS には、高品質で検証済みの乱数のソースが用意されています。 **監査 ** AWS KMS は、 AWS CloudTrail ログに暗号化キーの使用と管理を記録します。 AWS CloudTrail ログを使用して、ユーザーに代わって AWS のサービスによるキーの使用など、暗号化キーの使用を検査できます。 これらの目標を達成するために、 AWS KMS システムには、「ドメイン」を管理する AWS KMS 一連の演算子とサービスホスト演算子 (総称して「オペレータ」) が含まれています。ドメインは、リージョンで定義された AWS KMS サーバー、HSMs、および演算子のセットです。各 AWS KMS 演算子には、アクションの認証に使用されるプライベートキーとパブリックキーのペアを含むハードウェアトークンがあります。HSM には、HSM 状態の同期を保護する暗号化キーを確立するために、追加のプライベートとパブリックのキーペアがあります。 このホワイトペーパーでは、 が暗号化するキーやその他のデータ AWS KMS を保護する方法を説明します。このドキュメントでは、暗号化する暗号化キーまたはデータを「シークレット」または「シークレットマテリアル」と呼びます。