View a markdown version of this page

暗号化 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

暗号化

の基本的な機能は、KMS キーでオブジェクトを暗号化 AWS KMS することです。設計上、 AWS KMS では HSM で低レイテンシーの暗号化オペレーションが提供されます。この結果として、暗号化関数への直接の呼び出しで暗号化できるプレーンテキストの量には 4 KB という制限があります。を使用して、より大きなメッセージを暗号化 AWS Encryption SDK できます。 コマンドを認証すると、 は AWS KMS KMS キーに関連する現在のアクティブな EKT を取得します。EKT は、プレーンテキストと暗号化コンテキストとともに、リージョン内の利用可能なすべての HSM に渡されます。これらは、 AWS KMS ホストとドメイン内の HSM の間で認証されたセッションを介して送信されます。

HSM では、次の操作を実行します。

  1. EKT を復号化し、HBK = Decrypt(DKi, EKT) を取得します。

  2. ランダムなノンス N を生成します。

  3. HBK および N から、256 ビットの AES-GCM 導出暗号化キー K を取得します。

  4. プレーンテキスト ciphertext = Encrypt(K, context, plaintext) を暗号化します。

暗号文の値が返され、プレーンテキストのデータも暗号文も AWS インフラストラクチャのどこにも保持されません。暗号文、暗号化コンテキスト、KMS キーを使用する権限がない場合、基礎となるプレーンテキストを返すことはできません。