基本概念 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

基本概念

AWS Key Management Service を最大限理解するのに役立つ、基本的な用語と概念について説明します。

AWS KMS key
注記

AWS KMS では、カスタマーマスターキー (CMK) という用語が AWS KMS key および KMS キーに置き換えられています。この概念に変更はありません。AWS KMS では、互換性を破る変更を避けるため、この用語にいくつかのバリエーションがあります。

キー階層の最上位を表す論理キーです。KMS キーには、一意のキー識別子またはキー ID を含む Amazon リソースネーム (ARN) が与えられます。AWS KMS keys には、次の 3 つのタイプがあります。

  • カスタマーマネージド型キー – お客様が作成およびライフサイクルとキーポリシーの管理を行います。これらのキーに対して行われたすべてのリクエストは、 CloudTrail イベントとして記録されます。

  • AWS マネージドキー – AWS が作成およびライフサイクルポリシーとキーポリシーの管理を行います。AWS マネージドキー は、お客様の AWS アカウント のリソースです。お客様は のアクセスポリシーと CloudTrail イベントを表示できますがAWS マネージドキー、これらのキーのどの側面も管理することはできません。これらのキーに対して行われたすべてのリクエストは、 CloudTrail イベントとして記録されます。

  • AWS 所有のキー – これらのキーは AWS によって作成され、さまざまな AWS サービスで内部の暗号化オペレーションに使用されます。お客様は、 のキーポリシーやAWS 所有のキー使用状況を可視化できません CloudTrail。

エイリアス

KMS キーに関連付けられているわかりやすい名前です。エイリアスは、多くの AWS KMS API オペレーションでキー ID と同じように使用できます。

アクセス許可

キーに対するアクセス許可を定義する KMS キーにアタッチされたポリシーです。デフォルトのポリシーでは、お客様が定義するすべてのプリンシパルが許可されます。また AWS アカウント による、キーを参照する IAM ポリシーの追加も許可されます。

権限

最初に目的の IAM プリンシパルまたは使用期間が知られていないため、キーや IAM ポリシーに追加できない場合、KMS キーの使用のために委任されるアクセス許可です。許可の使用方法の 1 つは、AWS サービスにおける KMS キーの使用方法についてのスコープダウンされたアクセス許可を定義することです。サービスでは、直接署名された API コールがない場合、ユーザーに代わり暗号化されたデータに対して非同期作業を行うためにキーを使用することがあります。

データキー

HSM で生成され、KMS キーによって保護される暗号化キーです。AWS KMS では、許可されたエンティティにより KMS キーで保護されるデータキーを取得できます。これらは、プレーンテキスト (暗号化されていない) データキーおよび暗号化されたデータキーの両方として返すことができます。データキーは、対称キーでも非対称キーでも構いません (パブリックおよびプライベートの両方の部分が返されます)。

暗号文

AWS KMS の暗号化された出力です。混乱を解消するため、顧客の暗号文と呼ばれることもあります。暗号文には、追加情報を含む暗号化されたデータが含まれています。この情報により、復号化のプロセスで使用する KMS キーを識別できます。暗号化されたデータキーは KMS キーを使用する際に生成される暗号文の一般的な例の 1 つですが、サイズが 4 KB 未満のデータは KMS キーで暗号化し、暗号文を生成できます。

暗号化コンテキスト

AWS KMS で保護されている情報に関連付けられた、追加情報のキーと値のペアマップです。AWS KMS では、データキーが保護に認証済みの暗号化が使用されます。暗号化コンテキストは、AWS KMS で暗号化された暗号文で、認証済みの暗号化の AAD に組み込まれます。このコンテキスト情報はオプションで、キー (または暗号化オペレーション) のリクエスト時には返されません。使用する場合、このコンテキスト値は復号オペレーションを正常に完了するために必要です。暗号化コンテキストの使用目的の 1 つは、追加の認証情報を提供することです。この情報は、ポリシーを適用し、AWS CloudTrail ログに含めるのに役立ちます。例えば、{"key name":"satellite uplink key"} のキーと値のペアを使用して、データキーに名前を付けられます。その後のキーが使用されると、“key name”: “satellite uplink key”を含む AWS CloudTrail エントリが作成されます。この追加情報は、特定の KMS キーが使用された理由を理解するのに役立つコンテキストを提供します。

パブリックキー

非対称暗号 (RSA または楕円曲線) を使用する場合、パブリックキーはパブリック/プライベートのキーペアの“public component”です。パブリックキーは、パブリック/プライベートのキーペアの所有者のデータを暗号化するエンティティに共有および分散できます。デジタル署名オペレーションでは、パブリックキーを使用して署名を検証できます。

プライベートキー

非対称暗号 (RSA または楕円曲線) を使用する場合、プライベートキーはパブリック/プライベートのキーペアの「プライベートコンポーネント」です。プライベートキーは、データの復号またはデジタル署名の作成に使用されます。対称 KMS キーと同様に、プライベートキーは HSM で暗号化されます。これらは、暗号化リクエストの処理に必要な期間、HSM の短期メモリにのみ復号されます。