今回のテーマ：AWS KMS

主要サービスの公式資料

AWS KMS： docs.aws.amazon.com

AWS KMS

AWS KMSは、データを暗号化するためのマネージド型暗号化サービスとなります。
特徴としては以下のものが挙げられます。

• 暗号鍵の作成/管理/運用を実施するマネージドサービスで、AWSコンソールやAWS SDKまたはCLIを使用し、キーの作成/インポート/ローテション/削除/管理を実施
• IAMと連携し鍵のアクセス管理を実施
• カスタマーマスターキー(CMK)の無効化/有効化/削除を実施し、1年ごとの自動ローテションが可能
• CMKを外部から持ち込んで管理することが可能
• キーを保護するため、FIPS140-2の検証済みまたは検証段階のハードウェアセキュリティモジュールを採用
• AWS CloudTrail統合されており、すべてのキーの使用ログを表示
• RDSやS3などの多数のAWSサービスに適用可能
• KMS SDKを利用し、アプリケーションの暗号化が可能

AWS KMSの概念

AWS KMSの構成要素として3つあり以下のようなものがあります。

• カスタマーマスターキー

  • 暗号化を実行する上で最初に作成されるマスターキー
  • 暗号化キーを暗号化する
  • ローテションされる

• カスタマーデータキー(暗号化キー)

  • 実際のデータ暗号化に利用するキー
  • KMSで生成されCMKにて暗号化される

• エンベロープ暗号化

  • マスターキーで暗号化せず、暗号化したデータキーを利用し暗号化をする暗号化方式

構成要素よりAWS KMSのポイントは、以下のようになります。

• データキーとマスターキーによる暗号化を実施
• カスタマーマスターキー(CMK)を利用しデータを暗号化

エンベロープ暗号化

エンベロープ暗号化の暗号化方式は、以下のように概要図となります。

今回のテーマは以上です。