AWS KMS の概念 - AWS Key Management Service
序章

AWS KMS の概念

AWS Key Management Service (AWS KMS) で使用される基本的な用語および概念についてと、それらがデータの保護にどのように役立つかについて説明します。

への概論AWS KMS

AWS Key Management Service (AWS KMS) には暗号化キーを生成および管理するためのウェブインターフェイスがあり、データを保護するための暗号化サービスプロバイダーとして機能します。AWS KMS は、AWS のサービスと統合された従来型のキー管理サービスを備え、AWS 全体でお客様のキーが一貫して見えるようになっています。また、一元管理および監査機能を備えています。

AWS KMS には、AWS マネジメントコンソール、コマンドラインインターフェイス、および RESTful API オペレーションによるウェブインターフェイスが含まれ、FIPS 140-3 検証済みハードウェアセキュリティモジュール (HSM) の分散フリートに対する暗号化オペレーションをリクエストできます。AWS KMS HSM は、AWS KMS のセキュリティおよびスケーラビリティ要件を満たす専用の暗号化機能を提供するように設計されたマルチチップのスタンドアロンハードウェア暗号化アプライアンスです。AWS KMS keys として管理しているキーで、独自の HSM ベースの暗号化階層を確立できます。これらのキーは HSM 上でのみ使用でき、暗号化リクエストの処理に必要な時間だけメモリ内にあります。複数の KMS キーを作成できます。各キーはキー ID で表されます。お客様が管理する AWS IAM ロールとアカウントでのみ、カスタマーマネージド KMS キーを作成、削除、またはデータの暗号化、復号化、署名、検証のために使用できます。キーにアタッチされたポリシーを作成することで、KMS キーを管理および/または使用できるユーザーに関するアクセス制御を定義できます。このようなポリシーを使用すると、API オペレーションごとにキーにアプリケーション固有の使用を定義できます。

加えて、ほとんどの AWS のサービスは、KMS キーを使用した保管中のデータの暗号化をサポートします。この機能により、お客様は、KMS キーへのアクセス方法とタイミングを制御することで、AWS のサービスが暗号化されたデータにアクセスする方法とタイミングを制御できます。

AWS KMS アーキテクチャ

AWS KMS は、ウェブとの接点である AWS KMS ホストと階層化された HSM で構成された階層型サービスです。これらの階層型ホストのグループ化は、AWS KMS スタックを形成します。AWS KMS へのすべてのリクエストは、Transport Layer Security プロトコル (TLS) を介して行われ、AWS KMS ホスト上で終了する必要があります。AWS KMS ホストは、Perfect Forward Secrecy を提供する暗号化スイートを使用する TLS のみを許可します。AWS KMS では、他のすべての AWS API オペレーションに利用可能な AWS Identity and Access Management (IAM) と同じ認証情報とポリシーメカニズムを使用して、リクエストを認証および承認します。

AWS KMS 設計目標

AWS KMS は、次の要件を満たすように設計されています。

耐久性

暗号化キーの耐久性は、AWS で最高の耐久性を持つサービスと同等に設計されています。1 つの暗号化キーで、長期間にわたって蓄積された大量のデータを暗号化できます。

信頼性

キーの使用は、ユーザーが定義および管理するアクセス制御ポリシーによって保護されます。プレーンテキストの KMS キーをエクスポートするメカニズムはありません。暗号化キーの機密性は重要です。HSM で管理アクションを実行するには、定足数ベースのアクセス制御にロール固有のアクセス権を持つ複数の Amazon 従業員が必要です。

低レイテンシーと高スループット

AWS KMS には、 の他のサービスで使用するのに適したレイテンシーとスループットのレベルでの暗号化オペレーションが用意されています。AWS

リージョンの独立性

AWS は、異なるリージョンでデータアクセスを制限する必要があるお客様向けに、リージョンの独立性を確保しています。キーの使用は、AWS リージョン 内に限ることができます。

元になる乱数の安全性

強力な暗号は、真に予測不可能な乱数生成に依存するため、AWS KMS には、高品質で検証済みの乱数のソースが用意されています。

Audit

AWS KMS では、暗号化キーの使用と管理が AWS CloudTrail ログに記録されます。AWS CloudTrail ログを使用して、AWS のサービスによる自身のための使用を含め、暗号化キーの使用状況を調べることができます。

これらの目標を達成するために、AWS KMS システムには、「ドメイン」を管理する一連の AWS KMS オペレーターとサービスホストオペレーター (総称して「オペレーター」) が含まれています。ドメインとは、リージョンに定義された AWS KMS サーバー、HSM、およびオペレーターのセットです。各 AWS KMS オペレーターは、アクションを認証するために使用されるプライベートとパブリックのキーペアを含むハードウェアトークンを持っています。HSM には、HSM 状態の同期を保護する暗号化キーを確立するために、追加のプライベートとパブリックのキーペアがあります。