翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS KMS の概念
<a name="concepts-intro"></a>

 AWS Key Management Service (AWS KMS) で使用される基本的な用語と概念、およびそれらがどのように連携してデータを保護するかについて説明します。

## の概要 AWS KMS
<a name="intro"></a>

AWS Key Management Service (AWS KMS) は、暗号化キーを生成および管理するためのウェブインターフェイスを提供し、データを保護するための暗号化サービスプロバイダーとして機能します。 は、 AWS サービスと統合された従来のキー管理サービス AWS KMS を提供し AWS、一元的な管理と監査により、顧客のキーの一貫したビューを提供します。

AWS KMS には AWS マネジメントコンソール、、コマンドラインインターフェイス、および RESTful API オペレーションを介したウェブインターフェイスが含まれており、FIPS 140-3 検証済みハードウェアセキュリティモジュール (HSMs。 AWS KMS HSM は、 のセキュリティとスケーラビリティの要件を満たす専用の暗号化機能を提供するように設計されたマルチチップスタンドアロンハードウェア暗号化アプライアンスです AWS KMS。 AWS KMS keysとして管理しているキーで、独自の HSM ベースの暗号化階層を確立できます。これらのキーは HSM 上でのみ使用でき、暗号化リクエストの処理に必要な時間だけメモリ内にあります。複数の KMS キーを作成できます。各キーはキー ID で表されます。各顧客が管理する AWS IAM ロールとアカウントでのみ、カスタマーマネージド KMS キーを作成、削除、またはデータの暗号化、復号、署名、検証に使用できます。キーにアタッチされたポリシーを作成することで、KMS キーを管理および/または使用できるユーザーに関するアクセス制御を定義できます。このようなポリシーを使用すると、API オペレーションごとにキーにアプリケーション固有の使用を定義できます。

さらに、ほとんどの AWS サービスは、KMS キーを使用した保管中のデータの暗号化をサポートしています。この機能を使用すると、KMS キーにアクセスする方法とタイミングを制御することで、 AWS サービスが暗号化されたデータにアクセスする方法とタイミングを制御できます。

![\[AWS KMS アーキテクチャ。\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/kms-key-architecture-updated.png)


AWS KMS は、ウェブ向け AWS KMS ホストと HSMs。これらの階層型ホストのグループ化は AWS KMS スタックを形成します。へのすべてのリクエストは、Transport Layer Security プロトコル (TLS) 経由で行い、 AWS KMS host. AWS KMS hosts で終了 AWS KMS する必要があります。 は、完全な[前方秘匿性](http://dx.doi.org/10.6028/NIST.SP.800-52r2)を提供する暗号スイートでのみ TLS を許可します。 AWS KMS は、他のすべての AWS API オペレーションで使用できる AWS Identity and Access Management (IAM) の同じ認証情報とポリシーメカニズムを使用してリクエストを認証および認可します。

### AWS KMS 設計目標
<a name="design-goals"></a>

AWS KMS は、以下の要件を満たすように設計されています。

**耐久性**  
暗号化キーの耐久性は、 の最高の耐久性サービスに等しいように設計されています AWS。1 つの暗号化キーで、長期間にわたって蓄積された大量のデータを暗号化できます。

**信頼性**  
キーの使用は、ユーザーが定義および管理するアクセス制御ポリシーによって保護されます。プレーンテキストの KMS キーをエクスポートするメカニズムはありません。暗号化キーの機密性は重要です。HSM で管理アクションを実行するには、定足数ベースのアクセス制御にロール固有のアクセス権を持つ複数の Amazon 従業員が必要です。

**低レイテンシーと高スループット**  
AWS KMS は、 の他のサービスでの使用に適したレイテンシーとスループットレベルで暗号化オペレーションを提供します AWS。

**リージョンの独立性**  
AWS は、異なるリージョンでデータアクセスを制限する必要があるお客様向けに、独立したリージョンを提供します。キーの使用は、 AWS リージョン内に限ることができます。

**元になる乱数の安全性**  
強力な暗号化は真に予測不可能な乱数生成に依存するため、 は高品質で検証済みの乱数のソース AWS KMS を提供します。

**監査 **  
AWS KMS は、 AWS CloudTrail ログに暗号化キーの使用と管理を記録します。 AWS CloudTrail ログを使用して、ユーザーに代わって AWS のサービスによるキーの使用など、暗号化キーの使用を検査できます。

これらの目標を達成するために、 AWS KMS システムには、「ドメイン」を管理する AWS KMS 一連の演算子とサービスホスト演算子 (総称して「オペレータ」) が含まれています。ドメインは、リージョンで定義された AWS KMS サーバー、HSMs、および演算子のセットです。各 AWS KMS 演算子には、アクションの認証に使用されるプライベートキーとパブリックキーのペアを含むハードウェアトークンがあります。HSM には、HSM 状態の同期を保護する暗号化キーを確立するために、追加のプライベートとパブリックのキーペアがあります。