データキーキャッシュ - AWS Encryption SDK

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データキーキャッシュ

データキーキャッシュにより、キャッシュにデータキーおよび関連する暗号化マテリアルが保存されます。データを暗号化または復号する場合は、AWS Encryption SDK はキャッシュ内に一致するデータキーを探します。一致が見つかった場合、新しいデータキーを生成するのではなく、キャッシュされたデータキーを使用します。データキーキャッシュによりパフォーマンスが向上し、コストを削減します。また、アプリケーションの拡張の際、サービス制限内に収まるよう役立ちます。

以下の場合、アプリケーションはデータキーキャッシュからメリットを得られます。

  • データキーを再利用できる場合。

  • 多数のデータキーを生成する場合。

  • 暗号化オペレーションが許容できないほど時間とコストがかかり、制限があり、リソースを多く使用する場合。

キャッシュにより、AWS Key Management Service (AWS KMS) などの暗号化サービスの使用回数を減らすことができます。AWS KMS requests-per-second 限界に達している場合は、キャッシュが役立ちます。アプリケーションでは、AWS KMS を呼び出すのではなく、キャッシュキーを使用してデータキーリクエストの一部をサービスできます。(また、AWS サポートセンターにケースを作成してアカウントの制限を引き上げることができます。)

AWS Encryption SDK によりデータキーキャッシュを作成および管理することができます。キャッシュとやり取りがあり、設定したセキュリティのしきい値を適用するローカルキャッシュおよびキャッシュ暗号化マテリアルマネージャー (キャッシュ CMM) を提供します。連携によって、これらのコンポーネントはシステムのセキュリティを維持しながら、データキーの再利用による効率の恩恵を受けるのに役立ちます。

データキーキャッシュは、AWS Encryption SDK のオプション機能であり、使用には注意が必要です。AWS Encryption SDK は、デフォルトで、すべての暗号化操作に対して新しいデータキーを生成します。この手法では、暗号化のベストプラクティスをサポートしており、過剰なデータキーの再利用を防ぎます。一般的に、パフォーマンスの目標を満たすために必要な場合のみ、データキーキャッシュを使用します。次に、データキーキャッシュのセキュリティしきい値を使用して、コストとパフォーマンスの目標を満たすために必要なキャッシュの最小量を使用していることを確認します。

データキーキャッシュは .NET 用 AWS Encryption SDK ではサポートされていません。バージョン 3。 の x AWS Encryption SDK for Java はキャッシュ CMM を廃止します。ただし、バージョン 4。 .NET およびバージョン 3 AWS Encryption SDK の場合は x です。 x の x は、AWS Encryption SDK for JavaAWS KMS代替の暗号マテリアルキャッシュソリューションである階層型キーリングをサポートします

これらセキュリティトレードオフの詳細については、AWS セキュリティブログの「AWS Encryption SDK: How to Decide if Data Key Caching is Right for Your Application」を参照してください。