キーリングの使用

AWS Encryption SDK の AWS Encryption SDK for C、 AWS Encryption SDK for JavaScript、 AWS Encryption SDK for Java、および 。NET はキーリングを使用してエンベロープ暗号化 を実行します。データキーの生成、暗号化、復号は、キーリングによって行われます。キーリングは、それぞれのメッセージを保護する一意のデータキーのソースと、そのデータキーを暗号化する ラッピングキー を決定します。キーリングは暗号化時に指定し、復号時には同じキーリングか別のキーリングを指定します。が提供するキーリングを使用することSDKも、互換性のある独自のカスタムキーリングを記述することもできます。

各キーリングを個別に使用するか、キーリングを組み合わせてマルチキーリングにすることができます。ほとんどのキーリングではデータキーを生成、暗号化、および復号することができますが、特定のオペレーションを 1 つのみ実行するキーリング (例: データキーのみを生成するキーリング) を作成し、他のキーリングと組み合わせて使用することができます。

ラッピングキーを保護し、 AWS Key Management Service (AWS KMS) を暗号化されないまま AWS KMS keys にしない を使用するキーリングなど、安全な境界内で暗号化オペレーションを実行する AWS KMS キーリングを使用することをお勧めします。また、ハードウェアセキュリティモジュール (HSMs) に保存されているラッピングキーを使用するか、他のマスターキーサービスで保護されているキーリングを作成することもできます。詳細については、AWS Encryption SDK 仕様のトピック「Keyring Interface」を参照してください。

キーリングは、、、および AWS Encryption でマスターキー AWS Encryption SDK for Java AWS Encryption SDK for Pythonとマスターキープロバイダーの役割を果たしますCLI。 AWS Encryption SDK の異なる言語実装を使用してデータを暗号化および復号する場合は、必ず互換性のあるキーリングとマスターキープロバイダを使用してください。詳細については、「キーリングの互換性」を参照してください。

このトピックでは、 のキーリング機能の使用方法 AWS Encryption SDK と、キーリングの選択方法について説明します。キーリングの作成と使用の例については、「C」および「 JavaScriptトピック」を参照してください。

トピック

• キーリングのしくみ
• キーリングの互換性
• キーリングの選択