SAA学習-セキュリティの運用-AWS KMSの活用
今回のテーマ:AWS KMS
主要サービスの公式資料
AWS KMS: docs.aws.amazon.com
AWS KMS
AWS KMSは、データを暗号化するためのマネージド型暗号化サービスとなります。
特徴としては以下のものが挙げられます。
- 暗号鍵の作成/管理/運用を実施するマネージドサービスで、AWSコンソールやAWS SDKまたはCLIを使用し、キーの作成/インポート/ローテション/削除/管理を実施
- IAMと連携し鍵のアクセス管理を実施
- カスタマーマスターキー(CMK)の無効化/有効化/削除を実施し、1年ごとの自動ローテションが可能
- CMKを外部から持ち込んで管理することが可能
- キーを保護するため、FIPS140-2の検証済みまたは検証段階のハードウェアセキュリティモジュールを採用
- AWS CloudTrail統合されており、すべてのキーの使用ログを表示
- RDSやS3などの多数のAWSサービスに適用可能
- KMS SDKを利用し、アプリケーションの暗号化が可能
AWS KMSの概念
AWS KMSの構成要素として3つあり以下のようなものがあります。
カスタマーマスターキー
- 暗号化を実行する上で最初に作成されるマスターキー
- 暗号化キーを暗号化する
- ローテションされる
カスタマーデータキー(暗号化キー)
- 実際のデータ暗号化に利用するキー
- KMSで生成されCMKにて暗号化される
エンベロープ暗号化
- マスターキーで暗号化せず、暗号化したデータキーを利用し暗号化をする暗号化方式
構成要素よりAWS KMSのポイントは、以下のようになります。
- データキーとマスターキーによる暗号化を実施
- カスタマーマスターキー(CMK)を利用しデータを暗号化
エンベロープ暗号化
エンベロープ暗号化の暗号化方式は、以下のように概要図となります。
今回のテーマは以上です。