AWS Key Management Service でのデータ保護 - AWS Key Management Service
キーマテリアルの保護データ暗号化インターネットのプライバシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Key Management Service でのデータ保護

AWS Key Management Service は暗号化キーを保存して保護し、高可用性を実現すると同時に、強力で柔軟なアクセス制御を提供します。

キーマテリアルの保護

デフォルトでは、AWS KMS は KMS キーの暗号化キーマテリアルを生成し、保護します。さらに、AWS KMS は AWS KMS の外部で作成および保護されるキーマテリアルのオプションもあります。KMS キーとキーマテリアルの技術的な詳細については、「AWS Key Management Service 暗号化の詳細」を参照してください。

AWS KMS で生成されるキーマテリアルの保護

KMS キーを作成すると、デフォルトで AWS KMS がその KMS キーの暗号化マテリアルを生成し、保護します。

KMS キーのキーマテリアルを保護するために、AWS KMS は、FIPS 140-2 セキュリティレベル 3 検証済みハードウェアセキュリティモジュール (HSM) の分散フリートを使用します。各 AWS KMS HSM は、AWS KMS のセキュリティおよびスケーラビリティ要件を満たす専用の暗号化機能を提供するように設計された専用のスタンドアロンのハードウェアアプライアンスです。(中国リージョンで、AWS KMS が使用する HSM は、OSCCA によって証明され、関連するすべての中国の規制に準拠していますが、FIPS 140-2 暗号化モジュール検証プログラムでは検証されていません)。

KMS キーのキーマテリアルは、HSM で生成されるときにデフォルトで暗号化されます。キーマテリアルは HSM の揮発性メモリ内でのみ、暗号化オペレーションで使用するのにかかる数ミリ秒の間だけ復号化されます。キーマテリアルがアクティブに使用されていない場合は常に、HSM 内で暗号化され、耐久性の高い (99.999999999%)、低レイテンシーの永続ストレージに転送され、そこで HSM とは別の場所に保管されます。プレーンテキストのキーマテリアルは、HSM セキュリティ境界を離れることはありません。また、ディスクに書き込まれることも、ストレージメディアに保持されることもありません。(唯一の例外は、非対称キーペアのパブリックキーです。これはシークレットではありません)。

AWS は、任意の AWS のサービス の任意のタイプのプレーンテキストの暗号化キーマテリアルとの手動による介入のない基本のセキュリティ原則としてアサートされます。AWS のサービス オペレーターを含め、誰かがプレーンテキストのキーマテリアルを表示、アクセス、またはエクスポートするメカニズムはありません。この原則は、壊滅的な障害やディザスタリカバリ中にも適用されます。AWS KMS のプレーンテキストカスタマーキーマテリアルは、お客様またはその代理人によるサービスへの許可されたリクエストに応じてのみ、AWS KMS FIPS 検証された HSM 内の暗号化オペレーションに使用されます。

カスタマーマネージドキーの場合、キーを作成する AWS アカウント は、そのキーの唯一で譲渡できない所有者です。所有しているアカウントは、キーへのアクセスを制御する権限付与ポリシーを完全かつ排他的に制御できます。AWS マネージドキー の場合、AWS アカウント は AWS のサービス に対するリクエストを承認する IAM ポリシーを完全に制御できます。

AWS KMS の外部で生成されるキーマテリアルの保護

AWS KMS は AWS KMS で生成されるキーマテリアルの代替を提供します。

オプションの AWS KMS 機能であるカスタムキーストアを使用すると、AWS KMS の外部で生成され、使用されるキーマテリアルによってバックアップされる KMS キーを作成できます。AWS CloudHSM キーストアの KMS キーは、ユーザーが制御する AWS CloudHSM ハードウェアセキュリティモジュールのキーによってバックアップされます。これらの HSM は、FIPS 140-2 セキュリティレベル 3で認定されています。外部キーストアの KMS キーは、AWS の外部で制御され、管理される外部キーマネージャーのキーによってバックアップされます (プライベートデータセンターの物理 HSM など)。

もう 1 つのオプション機能により、KMS キーのキーマテリアルをインポートできます。AWS KMS への転送中にインポートされたキーマテリアルを保護するには、AWS KMS HSM で生成される RSA キーペアのパブリックキーを使用してキーマテリアルを暗号化します。インポートされたキーマテリアルは AWS KMS HSM で復号され、HSM の対称キーで再暗号化されます。すべての AWS KMS キーマテリアルと同様に、プレーンテキストでインポートされるキーマテリアルは HSM を未暗号化状態のままにしません。ただし、キーマテリアルを提供したお客様は、AWS KMS の外部におけるキーマテリアルの安全な使用、耐久性、メンテナンスに対して責任を持ちます。

データ暗号化

AWS KMS のデータは、AWS KMS keys と、それらが表す暗号化キーマテリアルで構成されます。このキーマテリアルは、AWS KMS ハードウェアセキュリティモジュール (HSM) 内でのみ、かつ使用中の場合にのみ、プレーンテキストで存在します。それ以外の場合、キー素材は暗号化され、耐久性のある永続ストレージに保存されます。

KMS キー用に AWS KMS が生成するキーマテリアルは、AWS KMS HSM の境界に暗号化されずに残ることはありません。これは、どの AWS KMS API オペレーションでもエクスポートまたは送信されることはありません。マルチリージョンキーの場合は例外で、AWS KMS がクロスリージョンレプリケーションメカニズムを使用して、マルチリージョンキーのキーマテリアルを、1 つの AWS リージョン にある HSM から、別の AWS リージョン にある HSM にコピーします。詳細については、AWS Key Management Service 暗号化の詳細の「マルチリージョンキーのレプリケーションプロセス」を参照してください。

保管中の暗号化

AWS KMS は、FIPS 140-2 セキュリティレベル 3 準拠のハードウェアセキュリティモジュール (HSM) で AWS KMS keys のキーマテリアルを生成します。唯一の例外は中国リージョンで、AWS KMS が KMS キーを生成するために使用する HSM は、関連するすべての中国の規制に準拠していますが、FIPS 140-2 暗号化モジュール検証プログラムでは検証されていません。使用されていない場合、キーマテリアルは HSM キーによって暗号化され、耐久性のある永続的なストレージに書き込まれます。KMS キーのキーマテリアルおよびキーマテリアルを保護する暗号化キーは、HSM をプレーンテキスト形式のままにしません。

KMS キーのキーマテリアルの暗号化と管理は、AWS KMS によって完全に処理されます。

詳細については、AWS Key Management Service の暗号化の詳細の Working with AWS KMS keys を参照してください。

転送中の暗号化

KMS キー用に AWS KMS が生成するキーマテリアルは、AWS KMS API オペレーションでエクスポートまたは送信されることはありません。AWS KMS は、API オペレーションの KMS キーを表すためにキー識別子を使用します。同様に、AWS KMS カスタムキーストアの KMS キーのキーマテリアルはエクスポート不可能であり、AWS KMS または AWS CloudHSM API オペレーションでは送信されません。

ただし、一部の AWS KMS API オペレーションはデータキーを返します。お客様は API オペレーションを使用して、選択した KMS キーのキーマテリアルをインポートすることもできます。

すべての AWS KMS API 呼び出しは、Transport Layer Security (TLS) を使用して署名および送信する必要があります。 AWS KMS には TLS 1.2 が、すべてのリージョンで TLS 1.3 が推奨されます。 AWS KMS は、中国リージョンを除くすべてのリージョンの AWS KMS サービスエンドポイントのハイブリッドポスト量子 TLS もサポートしています。AWS KMS は、AWS GovCloud (US) の FIPS エンドポイントのハイブリッドポスト量子 TLS をサポートしていません。AWS KMS の呼び出しには、PFS (Perfect Forward Secrecy) をサポートする最新の暗号スイートも必要です。つまり、プライベートキーなどのシークレットが漏洩した場合でも、セッションキーは漏洩しません。

コマンドラインインターフェイスまたは API により AWS にアクセスするときに FIPS 140−2 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。標準の AWS KMS エンドポイントまたは AWS KMS FIPS エンドポイントを使用するには、クライアントが TLS 1.2 以降をサポートする必要があります。利用可能な FIPS エンドポイントの詳細については、[連邦情報処理規格 (FIPS) 140-2 ] をご参照ください。AWS KMS FIPS エンドポイントのリストについては、「AWS 全般のリファレンス」の「AWS Key Management Service エンドポイントとクォータ」を参照してください。

AWS KMS サービスホストと HSM 間の通信は、楕円曲線暗号 (ECC) と高度暗号化規格 (AES) を使用して認証された暗号化方式で保護されます。詳細については、AWS Key Management Service の暗号化の詳細の「内部通信セキュリティ」を参照してください。

インターネットトラフィックのプライバシー

AWS KMS は AWS Management Console および API オペレーションのセットをサポートします。これにより、AWS KMS keys を作成および管理し、暗号化オペレーションで使用することができます。

AWS KMS はプライベートネットワークから AWS への、2 つのネットワーク接続オプションをサポートします。

  • インターネット経由の IPsec VPN 接続

  • AWS Direct Connect は、お客様の内部ネットワークを AWS Direct Connect ロケーションに、標準のイーサネット光ファイバケーブルを介して接続するサービスです。

AWS KMS API コールはすべて、署名し、Transport Layer Security (TLS) を使用して送信する必要があります。コールには、 完全な転送秘密をサポートする最新の暗号スイートも必要です。KMS キーのキーマテリアルを保存するハードウェアセキュリティモジュール (HSM) へのトラフィックは、AWS の内部ネットワーク経由で既知の AWS KMS API ホストからのみ許可されます。

トラフィックをパブリックインターネット経由で送信せずに、Virtual Private Cloud (VPC) から AWS KMS に直接接続するには、AWS PrivateLink によって提供される VPC エンドポイントを使用します。詳細については、「VPC エンドポイントを介した AWS KMS への接続」を参照してください。

AWS KMS は、Transport Layer Security (TLS) ネットワーク暗号化プロトコル用のハイブリッドポスト量子キー交換オプションもサポートするようになりました。このオプションは、AWS KMS API エンドポイントへの接続時に TLS で使用できます。