カスタムキーストア
キーストア は、暗号化キーを保存するための安全な場所です。AWS KMS のデフォルトのキーストアは、保存しているキーを生成および管理するためのメソッドもサポートしています。デフォルトでは、AWS KMS で作成される AWS KMS keys の暗号化キーマテリアルは、FIPS 140-2 で検証された暗号化モジュール
ただし、HSM の管理をさらに強化する必要がある場合は、カスタムキーストアを作成します。
カスタムキーストアとは AWS KMS の内部にある論理キーストアのことで、ユーザーが所有し管理している AWS KMS の、外部のキーマネージャーがバックアップしています。カスタムキーストアには、AWS KMS のキー管理のための便利な包括的インターフェイスに、キーマテリアルと暗号化オペレーションを所有し制御する機能が統合されています。カスタムキーストアで KMS キーを使用する場合、暗号化のオペレーションは、ユーザーのキーマネージャーが、ユーザーの暗号化キーを使用して実行します。それにより、暗号化キーの可用性と耐久性、および HSM のオペレーションに対するユーザーの責任が増えます。
AWS KMS は、2 種類のカスタムキーストアをサポートしています。
-
AWS CloudHSM キーストアは、AWS CloudHSM クラスターにバックアップされた AWS KMS カスタムキーストアです。AWS CloudHSM キーストアで KMS キーを作成すると、AWS KMS が、256 ビットの永続的でエクスポート不可の Advanced Encryption Standard (AES) 対称キーを、関連する AWS CloudHSM クラスターに作成します。このキーマテリアルは、暗号化されずに AWS CloudHSM クラスターの外に出ることはありません。AWS CloudHSM キーストアで KMS キーを使用すると、暗号化オペレーションはクラスター内の HSM で実行されます。AWS CloudHSM クラスターは、FIPS 140-2 Level 3
で認定されたハードウェアセキュリティモジュール (HSM) によってバックアップされます。 -
外部キーストアは、AWS の外部でユーザーが所有し管理している外部キーマネージャーによってバックアップされた AWS KMS カスタムキーストアです。外部キーストアで KMS キーを使用すると、すべての暗号化および復号化のオペレーションは、外部のキーマネージャーによって、ユーザーの暗号化キーを使用して実行されます。外部キーストアは、さまざまなベンダーの、さまざまな外部キーマネージャーをサポートするように設計されています。
AWS KMS は、外部のキーマネージャーまたは暗号化キーを直接閲覧したり、それらにアクセスしたり、それらを操作したりすることはありません。外部キーストアの KMS キーを使って暗号化または複合化を行うとき、オペレーションは、外部キーマネージャーによって、ユーザーの外部キーを使用して実行されます。ユーザーは、AWS を操作することなく暗号化のオペレーションを拒否または中止できることを含め、暗号化キーに対する完全な制御を保持します。ただし、その距離と処理の追加とにより、外部キーストアの KMS キーを使用するとレイテンシーとパフォーマンスが低下し、AWS KMS でキーマテリアルを持つ KMS キーを使用する場合に比べ、可用性に変化が出る場合があります。AWS KMS 外部キーストア機能と互換性のあるキーマネージャーに関する詳細は、「AWS Key Management Service のよくある質問」の「XKS Proxy 仕様をサポートしている外部ベンダーは?
」を参照してください。
これら 2 種類のカスタムキーストアは、標準の AWS KMS キーストアとはまったく異なり、互いにもまったく異なります。それぞれのセキュリティモデル、責任の所在、パフォーマンス、料金、ユースケースもまた、大きく異なります。カスタムキーストアを選択するときは、事前に関連のドキュメントをよく読み、制御を増やせばそれだけ設定とメンテナンスの責任も増えることを確認します。ただし、オペレーションを行う際のルールや規制によりキーマテリアルを直接管理する必要がある場合は、カスタムキーストアを使用するのが良いでしょう。
サポートされていない機能
AWS KMS はカスタムキーストアで次の機能をサポートしていません。
