翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の非対称キー AWS KMS
非対称 KMS キーは、数学的に関連する公開キーとプライベートキーペアを表します。パブリックキーは、たとえ信頼されていなくても、誰にでも渡すことができますが、シークレットキーは秘密にしておく必要があります。
非対称 KMS キーでは、プライベートキーは に作成 AWS KMS され、暗号化されていないままになる AWS KMS ことはありません。プライベートキーを使用するには、 を呼び出す必要があります AWS KMS。API AWS KMS オペレーションを呼び出す AWS KMS ことで、 内でパブリックキーを使用できます。または、パブリックキーをダウンロードして、 の外部で使用できます AWS KMS。
を呼び出すことができないユーザーが の外部 AWS で暗号化する必要がある場合は AWS KMS、非対称 KMS キーが適しています。ただし、 AWS サービスに保存または管理するデータを暗号化する KMS キーを作成する場合は、対称暗号化 KMS キーを使用します。 AWS と統合されている サービスは AWS KMS
で 4 KB を超えるメッセージに署名する場合は AWS KMS、署名 AWS KMS 前に の外部でメッセージをハッシュする必要があります。 AWS KMS には、メッセージ入力を処理するための 3 つのMessageTypeオプションがあります。プレーンテキストメッセージRAWの場合 ( がハッシュ AWS KMS を実行する場合)、事前ハッシュされたメッセージDIGESTの場合 ( がハッシュステップを AWS KMS スキップする場合)、EXTERNAL_MU特に入力が 64 バイトの代表的な μ 値である ML-DSA KMS キー仕様の場合です。4 KB の制限を超える大きなメッセージの場合は、メッセージを外部でハッシュし、 AWS KMS Sign および AWS KMS Verify オペレーションを呼び出すときに MessageType:DIGEST (または ML-DSA KMS キーMessageType:EXTERNAL_MUの場合は) を使用します。
AWS KMS は、いくつかのタイプの非対称 KMS キーをサポートしています。
- RSA KMS キー
-
暗号化と復号、または署名と検証用の RSA キーペアを持つ KMS キー (両方ではありません)。 は、さまざまなセキュリティ要件に対して複数のキー長 AWS KMS をサポートします。
が RSA KMS キーに対して AWS KMS サポートする暗号化および署名アルゴリズムの技術的な詳細については、「RSA キー仕様」を参照してください。
- 楕円曲線 (ECC) KMS キー
-
署名と検証、または共有シークレットを取得するための楕円曲線キーペアを持つ KMS キー (両方ではありません)。 は、一般的に使用されるいくつかの曲線 AWS KMS をサポートします。
が ECC KMS キーで AWS KMS サポートする署名アルゴリズムの技術的な詳細については、「楕円曲線のキー仕様」を参照してください。
- ML-DSA KMS キー
-
署名と検証用の ML-DSA キーペアを持つ KMS キー。ML-DSA は、量子コンピューティングによって生じるセキュリティの脅威からの保護を目的として米国国立標準技術研究所 (NIST) によって開発されたポスト量子暗号標準です。ML-DSA は、RSA または楕円曲線デジタル署名アルゴリズムからポスト量子暗号化に移行する組織に推奨されるデジタル署名アルゴリズムです。
AWS KMS は、さまざまなセキュリティ要件に対して複数のキー長をサポートします。が ML-DSA KMS キーで AWS KMS サポートする署名アルゴリズムの技術的な詳細については、「ML-DSA キー仕様」を参照してください。
- SM2 KMS キー仕様 (中国リージョンのみ)
-
暗号化と復号化、署名と検証、もしくは共有シークレットの取得向けの SM2 キーペアを持つ KMS キー (いずれか 1 つのKey usageタイプを選択する必要があります)。
が SM2 KMS キー (中国リージョンのみ) で AWS KMS サポートする暗号化および署名アルゴリズムの技術的な詳細については、SM2 キー仕様」を参照してください。
非対称キーの設定を選択する方法については、「作成する KMS キーのタイプの選択」を参照してください。
リージョン
非対称 KMS キーと非対称データキーペアは、 AWS KMS がサポート AWS リージョン するすべての でサポートされています。
詳細はこちら
-
非対称 KMS キーを作成するには、「非対称 KMS キーを作成する」を参照してください。
-
マルチリージョンの非対称 KMS キーを作成するには、「マルチリージョンのプライマリキーを作成する」を参照してください。
-
非対称 KMS キーを使用してメッセージに署名し、署名を検証する方法については、AWS セキュリティブログの Digital signing with the new asymmetric keys feature of AWS KMS
を参照してください。 -
非対称 KMS キーの削除に関する注意事項については、「Deleting asymmetric KMS keys」を参照してください。
-
非対称 KMS キーの特定と閲覧については、「非対称 KMS キーを特定する」を参照してください。
