AWS Key Management Service 内のインフラストラクチャセキュリティ - AWS Key Management Service
物理ホストの分離

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Key Management Service 内のインフラストラクチャセキュリティ

マネージドサービスである AWS Key Management Service (AWS KMS) は、Amazon Web Services: セキュリティプロセスの概要で説明されている AWS グローバルネットワークのセキュリティ手順によって保護されます。

ネットワークを介して AWS KMS にアクセスするには、「AWS Key Management Service API リファレンス」で説明されている AWS KMS API オペレーションを呼び出すことができます。AWS KMS には TLS 1.2 が、すべてのリージョンで TLS 1.3 が推奨されます。AWS KMS は、中国リージョンを除くすべてのリージョンの AWS KMS サービスエンドポイントのハイブリッドポスト量子 TLS もサポートします。AWS KMS は、AWS GovCloud (US) の FIPS エンドポイントのハイブリッドポスト量子 TLS をサポートしていません。標準の AWS KMS エンドポイントまたは AWS KMSFIPS エンドポイントを使用するには、クライアントが TLS 1.2 以降をサポートする必要があります。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストには、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

これらの API オペレーションは、任意のネットワークロケーションから呼び出すことができますが、AWS KMS では、ソース IP アドレス、VPC、VPC エンドポイントに基づいて KMS キーへのアクセスを制御するグローバルポリシー条件をサポートします。これらの条件キーは、キーポリシーと IAM ポリシーで使用できます。ただし、これらの条件により、AWS がユーザーの代わりに KMS キーを使用できなくなる可能性があります。詳細については、「AWS グローバル条件キー」を参照してください。

例えば、次のキーポリシーステートメントでは、ソース IP アドレスがポリシーで指定された IP アドレスの 1 つでない限り、KMSTestRole ロールを引き受けることができるユーザーが、指定された暗号化オペレーションでこの AWS KMS key を使用できます。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS":
    "arn:aws:iam::111122223333:role/KMSTestRole"},
    "Action": [
      "kms:Encrypt",
      "kms:Decrypt",
      "kms:ReEncrypt*",
      "kms:GenerateDataKey*",
      "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
      "NotIpAddress": {
        "aws:SourceIp": [
          "192.0.2.0/24",
          "203.0.113.0/24"
        ]
      }
    }
  }
}

物理ホストの分離

AWS KMS が使用する物理的インフラストラクチャのセキュリティは、Amazon Web Services: セキュリティプロセスの概要物理的および環境的セキュリティのセクションで説明されている制御に支配されます。詳細については、前のセクションにリストされたコンプライアンスレポートとサードパーティーの監査結果を参照してください。

AWS KMS は、物理的な攻撃に抵抗するための特定のコントロールを使用して設計された、専用の強化ハードウェアセキュリティモジュール (HSM) によってサポートされています。HSM は、ハイパーバイザーなどの仮想化レイヤー を持たない 物理デバイスで、物理デバイスを複数の論理テナント間で共有します。AWS KMS keys のキーマテリアルは、KMS キーの使用中にのみ、HSM の揮発性メモリにのみ保存されます。このメモリは、HSM が意図したシャットダウンやリセットなど、動作状態から移行すると消去されます。AWS KMS HSM のオペレーションの詳細については、AWS Key Management Service の暗号化の詳細を参照してください。