翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のインフラストラクチャセキュリティ AWS Key Management Service
マネージドサービスである AWS Key Management Service (AWS KMS) は、「Amazon Web Services: セキュリティプロセスの概要
ネットワーク AWS KMS 経由で にアクセスするには、 AWS KMS 「 API AWS Key Management Service リファレンス」で説明されている API オペレーションを呼び出すことができます。 AWS KMS は、すべてのリージョンで TLS 1.2 を必要とし、TLS 1.3 を推奨します。 AWS KMS は、中国リージョンを除くすべてのリージョン AWS KMS のサービスエンドポイントのハイブリッドポスト量子 TLS もサポートしています。 AWS KMS は、 の FIPS エンドポイントのハイブリッドポスト量子 TLS をサポートしていません AWS GovCloud (US)。標準の AWS KMS エンドポイントまたは AWS KMS FIPS エンドポイントを使用するには、クライアントが TLS 1.2 以降をサポートする必要があります。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。またはAWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、 は、ソース IP アドレス、VPC、VPC エンドポイントに基づいて KMS キーへのアクセスを制御できるグローバルポリシー条件 AWS KMS をサポートしています。これらの条件キーは、キーポリシーと IAM ポリシーで使用できます。ただし、これらの条件により、 がユーザーに代わって KMS キーを使用すること AWS を防ぐことができます。詳細については、「AWS グローバル条件キー」を参照してください。
たとえば、次のキーポリシーステートメントでは、ソース IP アドレスがポリシーで指定された IP アドレスの 1 つでない限り、KMSTestRole指定された暗号化オペレーション AWS KMS key でロールを引き受けることができるユーザーにこれの使用を許可します。
物理ホストの分離
が AWS KMS 使用する物理インフラストラクチャのセキュリティは、「Amazon Web Services: セキュリティプロセスの概要」の「物理および環境セキュリティ」セクションで説明されているコントロールの対象となります。 https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf
AWS KMS は、物理攻撃に耐えるための特定のコントロールで設計された専用の強化ハードウェアセキュリティモジュール (HSMs) でサポートされています。HSM は、ハイパーバイザーなどの仮想化レイヤー を持たない 物理デバイスで、物理デバイスを複数の論理テナント間で共有します。 AWS KMS keys のキーマテリアルは、KMS キーの使用中にのみ、HSM の揮発性メモリにのみ保存されます。このメモリは、HSM が意図したシャットダウンやリセットなど、動作状態から移行すると消去されます。 AWS KMS HSMsAWS Key Management Service 「暗号化の詳細」を参照してください。
