翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 実装
<a name="implementation"></a>

この戦略では、*アーキテクチャ*とは、暗号化標準の技術的な実装を指します。このセクションでは AWS のサービス、 [AWS Key Management Service (AWS KMS）](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) や などの が[AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)、ポリシーと標準に従ってdata-at-rest暗号化戦略を実装するのに役立つ方法について説明します。

AWS KMS は、データの保護に使用される暗号化キーの作成と制御に役立つマネージドサービスです。KMS キーがサービスを暗号化されないままにすることはありません。KMS キーを使用または管理するには、 を操作し AWS KMSます。多くの AWS のサービス は と統合されています AWS KMS。

AWS CloudHSM は、 AWS 環境で*ハードウェアセキュリティモジュール* (HSMs) を作成および維持するための暗号化サービスです。HSMsは、暗号化オペレーションを処理し、暗号化キーの安全なストレージを提供するコンピューティングデバイスです。標準で FIPS 140-2 Level 3 検証済みハードウェアの使用が必要な場合、または標準で PKCS\#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) などの業界標準 APIs の使用が規定されている場合は、 の使用を検討してください AWS CloudHSM。

をカスタムキーストア AWS CloudHSM として設定できます AWS KMS。このソリューションでは、 の利便性とサービスの統合 AWS KMS と、 で AWS CloudHSM クラスターを使用することによるコントロールとコンプライアンスの利点を追加しています AWS アカウント。詳細については、[「カスタムキーストア](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) (AWS KMS ドキュメント）」を参照してください。

このドキュメントでは、 AWS KMS の機能の概要と、 AWS KMS がポリシーと標準にどのように対処できるかについて説明します。

## コスト、利便性、制御
<a name="cost-convenience-control"></a>

AWS KMS にはさまざまなタイプのキーが用意されています。一部は が所有または管理し AWS、その他はお客様が作成および管理します。これらのオプションは、キーとコストに関する考慮事項に対するコントロールのレベルに基づいて選択できます。
+ **AWS 所有キー** – これらのキー AWS は所有および管理され、複数の で使用されます AWS アカウント。一部の AWS のサービス は AWS 所有キーをサポートしています。これらのキーは無料で使用できます。このキータイプにより、キーのライフサイクルとアクセスを管理するコストと管理オーバーヘッドから解放されます。このタイプのキーの詳細については、「 [AWS 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) (AWS KMS ドキュメント）」を参照してください。
+ **AWS マネージドキー** – AWS のサービス が と統合されている場合 AWS KMS、そのサービスのリソースを保護するために、ユーザーに代わってこのタイプのキーを作成、管理、使用できます。これらのキーは で作成され AWS アカウント、 AWS のサービス のみが使用できます。 AWS マネージドキーには月額料金はかかりません。無料利用枠を超えると使用料が発生する場合がありますが、一部の ではこれらのコスト AWS のサービス がカバーされます。ID ポリシーを使用して、これらのキーの表示および監査アクセスを制御できますが、 はキーのライフサイクル AWS を管理します。このタイプのキーの詳細については、「 [AWS マネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (AWS KMS ドキュメント）」を参照してください。と統合される の AWS のサービス 包括的なリストについては AWS KMS、「 [AWS のサービス 統合](https://aws.amazon.com/kms/features/#AWS_Service_Integration) (AWS マーケティング）」を参照してください。
+ **カスタマーマネージドキー** – このタイプのキーを作成、所有、管理し、キーのライフサイクルを完全に制御できます。職務の分離では、アイデンティティポリシーとリソースベースのポリシーの両方を使用して、キーへのアクセスを制御できます。自動[キーローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)を設定することもできます。カスタマーマネージドキーには月額料金が発生し、無料利用枠を超えた場合は使用料も発生します。このタイプのキーの詳細については、[「カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (AWS KMS ドキュメント）」を参照してください。

キーのストレージと使用状況の詳細については、「 の[AWS Key Management Service 料金](https://aws.amazon.com/kms/pricing/) (AWS マーケティング）」を参照してください。

## パフォーマンスと暗号化のタイプ
<a name="performance"></a>

標準で選択した暗号化タイプに基づいて、2 種類の KMS キーを使用できます。
+ **対称** – すべての AWS KMS key タイプで対称暗号化がサポートされています。カスタマーマネージドキーを暗号化する場合、AES-256-GCM による暗号化と復号に単一強度キーを使用できます。
+ **非対称** – カスタマーマネージドキーは非対称暗号化をサポートします。意図した用途に基づいて、さまざまな主要な長所とアルゴリズムから選択できます。非対称キーは RSA で暗号化および復号化でき、RSA または ECC でオペレーションに署名および検証できます。非対称キーアルゴリズムは本質的にロールを分離し、キー管理を簡素化します。で非対称暗号化を使用する場合 AWS KMS、キーのローテーションや外部キーマテリアルのインポートなど、一部のオペレーションはサポートされていません。

対称キーと非対称キーがサポートする AWS KMS オペレーションの詳細については、[「キータイプリファレンス](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-compare.html)」（AWS KMS ドキュメント) を参照してください。

### エンベロープ暗号化
<a name="envelope-encryption"></a>

エンベロープ暗号化が組み込まれています AWS KMS。では AWS KMS、プレーンテキスト形式または暗号化形式でデータキーを生成します。暗号化されたデータキーは KMS キーで暗号化されます。KMS キーは、 AWS CloudHSM クラスターのカスタムキーストアに保存できます。エンベロープ暗号化の利点の詳細については、「」を参照してください[エンベロープ暗号化について](about-data-encryption.md#about-envelope-encryption)。

## キーストレージの場所
<a name="storage"></a>

ポリシーを使用して、 AWS KMS リソースへのアクセスを管理します。*ポリシー*は、どのユーザーがどのリソースにアクセスできるかを説明します。 AWS Identity and Access Management (IAM) プリンシパルにアタッチされたポリシーは、*アイデンティティベースのポリシー*または *IAM ポリシー*と呼ばれます。他の種類のリソースにアタッチされたポリシーは*リソースポリシー*と呼ばれます。 の AWS KMS リソースポリシー AWS KMS keys は*キーポリシー*と呼ばれます。すべての KMS キーにはキーポリシーがあります。

キーポリシーは、暗号化キーを一元的な場所に保存したり、データの近くに分散して保存したりする柔軟性を提供します。に KMS キーを保存する場所を決定するときは、次の AWS KMS 機能を考慮してください AWS アカウント。
+ **単一リージョンインフラストラクチャのサポート** – デフォルトでは、KMS キーはリージョン固有であり、暗号化 AWS KMS されていないままになることはありません。特定の地理的場所でキーを制御するための厳格な要件が標準にある場合は、単一リージョンキーの使用を検討してください。
+ **マルチリージョンインフラストラクチャのサポート -** は*、マルチリージョンキーと呼ばれる専用キー*タイプもサポートしています。 AWS KMS データを複数の に保存することは、ディザスタリカバリの一般的な設定 AWS リージョン です。マルチリージョンキーを使用すると、再暗号化せずにリージョン間でデータを転送でき、各リージョンで同じキーを持っているかのようにデータを管理できます。この機能は、暗号化インフラストラクチャがアクティブ/アクティブ設定で複数のリージョンにまたがることを標準で要求する場合に非常に役立ちます。詳細については、[「マルチリージョンキー](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) (AWS KMS ドキュメント）」を参照してください。
+ **一元管理** – 標準でキーを一元的な場所に保存する必要がある場合は、 AWS KMS を使用してすべての暗号化キーを 1 つの に保存できます AWS アカウント。キーポリシーを使用して、同じリージョン内の異なるアカウントにある他のアプリケーションへのアクセスを許可します。一元化されたキー管理により、キーライフサイクルとキーアクセスコントロールの管理オーバーヘッドを削減できます。
+ **外部キーマテリアル** – 外部で生成されたキーマテリアルを にインポートできます AWS KMS。この機能は、単一リージョンおよびマルチリージョンの対称キーでサポートされています。対称キーのマテリアルは外部で生成されるため、生成されたキーマテリアルを保護する責任があります。詳細については、[「インポートされたキーマテリアル](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) (AWS KMS ドキュメント）」を参照してください。

## アクセスコントロール
<a name="controlling-access"></a>

では AWS KMS、[キーポリシー、IAM ポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)、[許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)のポリシーメカニズムを使用して、きめ細かなアクセスコントロールを実装できます。 [https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)これらのコントロールを使用すると、管理者、データを暗号化できるキーユーザー、データを復号できるキーユーザー、データの暗号化と復号の両方が可能なキーユーザーなどのロールに基づいて職務の分離を設定できます。詳細については、[「認証とアクセスコントロール](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) (AWS KMS ドキュメント）」を参照してください。

## 監査とログ記録
<a name="auditing-and-logging"></a>

AWS KMS は、ログ AWS CloudTrail 記録とモニタリングの目的で および Amazon EventBridge と統合されています。すべての AWS KMS API オペレーションは CloudTrail ログに記録され、監査可能です。Amazon CloudWatch、EventBridge、および を使用して AWS Lambda 、通知と自動修復を設定するカスタムモニタリングソリューションを設定できます。詳細については、[「ログ記録とモニタリング](https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html) (AWS KMS ドキュメント）」を参照してください。