AWS KMS key 管理 - Amazon Aurora

AWS KMS key 管理

Amazon Aurora には、キー管理のために AWS Key Management Service (AWS KMS) が自動的に統合されます。Amazon Aurora では、エンベロープ暗号化が使用されます。エンベロープ暗号化の仕組みの詳細については、AWS Key Management Service デベロッパーガイドの「エンベロープ暗号化」を参照してください。

AWS KMS key は、キーの論理的な表現です。KMS キーには、キー ID、作成日、説明、キーステータスなどのメタデータが含まれます。KMS キーには、データの暗号化と復号に使用されるキーマテリアルも含まれています。KMS キーの詳細については、AWS Key Management Service デベロッパーガイドの「AWS KMS keys 」を参照してください。

Amazon Aurora の暗号化された DB クラスターに使用される KMS キーは、AWS KMS コンソールAWS Key Management Service (AWS KMS)、AWS CLI、または AWS KMS API を使用して管理できます。KMS キーに対するフル制御の権限が必要な場合は、カスタマーマネージドキー作成する必要があります。カスタマーマネージドキーの詳細については、AWS Key Management Service デベロッパーガイドの「Customer managed keys」を参照してください。

AWS マネージドキー は、お客様のアカウントにある KMS キーであり、AWS KMS と統合されている AWS のサービスがお客様に代わって作成し、管理し、使用します。AWS マネージドキー を削除、編集、または更新することはできません。AWS マネージドキー の詳細については、AWS Key Management Service デベロッパーガイドの「AWS マネージドキー 」を参照してください。

スナップショットを共有する AWS アカウントの AWS マネージドキー を使って暗号化されたスナップショットを共有することはできません。

AWS CloudTrail を使用することによって、AWS 管理のキーやカスタマーマネージドキーを使用して実行された、すべてのアクションの監査ログを表示できます。

重要

RDS データベースで使用される KMS キーに対するアクセス許可を無効化または取り消すと、KMS キーへのアクセスが必要な際、RDS はユーザーのデータベースをターミナル状態にします。KMS キーへのアクセスを必要とするユースケースに応じて、この変更は即時の場合と遅延する場合があります。この状態では、DB クラスターは使用できなくなり、データベースの現在の状態を復元することができなくなります。DB クラスターを復元するには、RDS 用の KMS キーに対するアクセスを再度有効化し、利用可能な最新のバックアップから DB クラスターを復元します。

カスタマーマネージドキーの使用の承認

Aurora が暗号化オペレーションでカスタマーマネージドキーを使用すると、Aurora リソースを作成または変更するユーザーに代わって動作します。

代理としてカスタマーマネージドキーを Aurora リソースで使用させるには、カスタマーマネージドキーで次の操作を呼び出すためのアクセス許可がユーザーに必要になります。

  • kms:GenerateDataKey

  • kms:Decrypt

これらの必要なアクセス許可は、キーポリシーか、キーポリシーで許可されている場合は IAM ポリシーで指定できます。

さまざまな方法で、IAM ポリシー をより厳しくすることができます。例えば、Aurora から発信されるリクエストにのみカスタマーマネージドキーの使用を許可する場合、rds.<region>.amazonaws.com 値を指定しながら kms:ViaService condition key を使用します。

また、暗号化オペレーションにカスタマーマネージドキーを使用する条件として、暗号化コンテキストのキーまたは値を使用することもできます。

詳細については、「AWS Key Management Service デベロッパーガイド」の「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。