キーストア

キーストアは、暗号化キーを保存し使用するための安全な場所です。のデフォルトキーストアは、保存するキーを生成および管理する方法 AWS KMS もサポートしています。デフォルトでは、 で AWS KMS keys 作成する の暗号化キーマテリアル AWS KMS は、FIPS 140-3 暗号化モジュール検証プログラムであるハードウェアセキュリティモジュール (HSMs) で生成され、保護されます。KMS キーのキーマテリアルは、暗号化されずに HSM の外に出ることはありません。

AWS KMS では、 を使用して AWS KMS 暗号化キーを作成および管理するときに、キーマテリアルを保護するために、複数のタイプのキーストアをサポートしています。が提供するすべてのキーストアオプション AWS KMS は、セキュリティレベル 3 の FIPS 140-3 で継続的に検証され、 AWS オペレーターを含むすべてのユーザーがお客様の許可なしにプレーンテキストキーにアクセスしたり使用したりできないように設計されています。

AWS KMS 標準キーストア

デフォルトでは、標準の AWS KMS HSM を使用して KMS キーが作成されます。この HSM タイプは、お客様にとって最も拡張性があり、最も低コストで管理しやすいキーストアを提供する、HSM のマルチテナントフリートと考えることができます。サービスがユーザーに代わってデータを暗号化 AWS のサービス できるように、1 つ以上の 内で使用するために KMS キーを作成する場合は、対称キーを作成します。独自のアプリケーション設計向けに KMS キーを使用する場合は、対称暗号化キー、非対称キー、または HMAC キーのいずれかを選択して作成できます。

標準キーストアオプションでは、 はキー AWS KMS を作成し、サービスが内部で管理するキーで暗号化します。その後、暗号化されたバージョンのキーの複数のコピーが、耐久性を考慮して設計されたシステムに保存されます。標準キーストアタイプでキーマテリアルを生成して保護することで、キーストアの運用上の負担とコストを最小限に抑え AWS KMS ながら、 の AWS スケーラビリティ、可用性、耐久性を最大限に活用できます。

AWS KMS インポートされたキーマテリアルを持つ標準キーストア

特定のキーの唯一のコピーの生成と保存を AWS KMS に依頼する代わりに、キーマテリアルを にインポートすることを選択できます。これにより AWS KMS、独自の 256 ビット対称暗号化キー、RSA または楕円曲線 (ECC) キー、または Hash-Based Message Authentication Code (HMAC) キーを生成し、KMS キー識別子 (keyId) に適用できます。これは、Bring Your Own Key (BYOK) 方式と呼ばれることがあります。ローカルキー管理システムからインポートされたキーマテリアルは、 によって発行されたパブリックキー AWS KMS、サポートされている暗号化ラップアルゴリズム、および によって提供される時間ベースのインポートトークンを使用して保護する必要があります AWS KMS。このプロセスにより、暗号化されてインポートされたキーは、所有ユーザーの環境を離れた後のみ AWS KMS HSM による復号化が可能になります。

インポートされたキーマテリアルは、キーを生成するシステムに関する特定の要件がある場合、または の外部でキーのコピーをバックアップ AWS として必要とする場合に便利です。インポートされたキーマテリアルの全般的な可用性と耐久性については、ユーザー自身の責任となることにご留意ください。 AWS KMS にはインポートされたキーのコピーがあり、必要とされる間は高可用性を維持しますが、インポートされたキーは、削除のための特別な API「DeleteImportedKeyMaterial」を提供します。この API は、 がキーを復元するオプションなしで、 AWS KMS が持つインポートされたキーマテリアルのすべてのコピー AWS を直ちに削除します。また、インポートされたキーの有効期限を設定することができ、有効期限到達後はそのキーは使用できなくなります。キーを で再び便利にするには AWS KMS、キーマテリアルを再インポートし、同じ keyId に割り当てる必要があります。インポートされたキーに対するこの削除アクションは、 がユーザーに代わって AWS KMS 生成して保存する標準キーとは異なります。標準の場合、キー削除プロセスには強制の待機期間があり、削除が予定されているキーはまず使用できないようにブロックされます。このアクションにより、データにアクセスするためにそのキーを必要とする可能性のあるアプリケーションまたは AWS サービスのログでアクセス拒否エラーを確認できます。このようなアクセスリクエストが表示された場合は、スケジュールされた削除をキャンセルしてキーを再度有効にすることができます。設定可能な待機期間 (7～30 日) が経過すると、KMS はキーマテリアル、keyID、およびキーに関連付けられたすべてのメタデータを実際に削除します。可用性と耐久性の詳細については、「 AWS KMS デベロッパーガイド」の「インポートされたキーマテリアルの保護」を参照してください。

インポートされたキーマテリアルについては、留意すべき追加の制限事項があります。 AWS KMS は新しいキーマテリアルを生成できないため、インポートされたキーの自動ローテーションを設定する方法はありません。有効なローテーションを実現するためには、新しい keyId を使用して新しい KMS キーを作成し、そのうえで新しいキーマテリアルをインポートする必要があります。また、インポートされた対称キー AWS KMS で に作成された暗号文は、 の外部にあるキーのローカルコピーを使用して簡単に復号することはできません AWS。これは、 によって使用される認証された暗号化形式 AWS KMS が暗号文にメタデータを追加して、復号オペレーション中に、以前の暗号化オペレーションで想定される KMS キーによって暗号文が作成されたことを保証するためです。ほとんどの外部暗号化システムは、こうしたメタデータを解析して未加工の暗号文にアクセスし、対称キーのコピーを使用可能にする方法を理解していません。インポートされた非対称キー (RSA や ECC など) で作成された暗号文は、 によって AWS KMS 暗号文に追加されるメタデータがないため、キーの一致する部分 (パブリックまたはプライベート) AWS KMS で の外部で使用できます。

AWS KMS カスタムキーストア

ただし、HSM の管理をさらに強化する必要がある場合は、カスタムキーストアを作成します。

カスタムキーストアは、 内のキーストア AWS KMS で、 の外部のキーマネージャーによってバックアップされ AWS KMS、ユーザーが所有および管理します。カスタムキーストアは、 の便利で包括的なキー管理インターフェイス AWS KMS と、キーマテリアルと暗号化オペレーションを所有および制御する機能を組み合わせたものです。カスタムキーストアで KMS キーを使用する場合、暗号化のオペレーションは、ユーザーのキーマネージャーが、ユーザーの暗号化キーを使用して実行します。それにより、暗号化キーの可用性と耐久性、および HSM のオペレーションに対するユーザーの責任が増えます。

ユーザーによる HSM の所有は、標準 KMS キーストアなどのマルチテナントウェブサービスによる暗号化キーの保持を認めていない一部の法規制要件を満たすのに役立ちます。カスタムキーストアは AWS、マネージド HSMs を使用する KMS キーストアよりも安全ではありませんが、管理とコストへの影響は異なります (それ以上）。その結果、暗号化キーの可用性と耐久性、および HSM のオペレーションに対するユーザーの責任が増えます。 AWS KMS HSMs で標準キーストアを使用するか、カスタムキーストアを使用するかにかかわらず、このサービスは、 AWS 従業員を含め、誰もアクセス許可なしでプレーンテキストキーを取得したり、使用したりできないように設計されています。 は、2 種類のカスタムキーストア、 AWS CloudHSM キーストア、外部キーストア AWS KMS をサポートしています。

サポートされていない機能

AWS KMS は、カスタムキーストアで以下の機能をサポートしていません。

• 非対称 KMS キー

• HMAC KMS キー

• インポートされたキーマテリアルを持つ KMS キー

• 自動キーローテーション

• マルチリージョンキー

AWS CloudHSM キーストア

AWS CloudHSM キーストアに KMS キーを作成できます。ここでは、ルートユーザーキーが生成、保存、およびユーザーが所有する AWS CloudHSM クラスターで使用されます。一部の暗号化オペレーションにキーを使用する AWS KMS ように にリクエストすると、オペレーションを実行するために AWS CloudHSM クラスターに転送されます。 AWS CloudHSM クラスターが によってホストされている間は AWS、ユーザーが直接管理および運用するシングルテナントソリューションです。 AWS CloudHSM クラスター内の KMS キーの可用性とパフォーマンスの大部分を所有している。 AWS CloudHSM カスタムキーストアが要件に適しているかどうかを確認するには、 AWS セキュリティブログの「カスタムキーストアは適切ですか？」を参照してください AWS KMS。

外部キーストア

外部キーストア (XKS) を使用する AWS KMS ように を設定できます。ここでは、ルートユーザーキーが の外部のキー管理システムで生成、保存、使用されます AWS クラウド。一部の暗号化オペレーションでキーを使用するための AWS KMS へのリクエストは、ユーザーの外部ホストシステムに転送されてそのオペレーションの実行に使用されます。具体的には、リクエストはまずネットワーク内の XKS プロキシに転送され、さらに XKS プロキシから使用する暗号化システムへと転送されます。XKS プロキシは、誰でも統合できるオープンソース仕様です。多くの商用キー管理ベンダーは XKS プロキシ仕様をサポートしています。外部キーストアはお客様または第三者によってホストされるため、システム内のキーの可用性、耐久性、およびパフォーマンスはすべてユーザーの責任となります。外部キーストアが要件に適しているかどうかを確認するには、AWS ニュースブログのAWS KMS 「外部キーストア (XKS) の発表」を参照してください。