対称キーと非対称キーの使用 - AWS Key Management Service

対称キーと非対称キーの使用

AWS KMS は、データとデータキーの保護に使用する カスタマーマスターキー (CMK) を保護します。シークレットキーは、AWS 従業員を含め、誰もプレーンテキストのキーマテリアルにアクセスできないように設計されたハードウェアセキュリティモジュールでのみ生成され、使用されます。

CMK へのアクセスを制御する キーポリシーIAM ポリシー、および 許可の設定、CMK の有効化および無効化、タグとエイリアスの作成、CMK の削除を含め、AWS アカウントで CMK を作成および管理できます。CMK を使用して、AWS KMS に統合された AWS サービスでリソースを保護できます。また、AWS CloudTrail ログで CMK を使用または管理するすべてのオペレーションを監査できます。

AWS KMS は、対称 CMK と非対称 CMK をサポートします。

  • 対称 CMK: AWS KMS が暗号化されないままにすることがない 1 つの 256 ビットのシークレット暗号化キーを表します。対称 CMK を使用するには、AWS KMS を呼び出す必要があります。

  • 非対称 CMK: 暗号化か復号、または署名か検証には使用できますが、両方は使用できない、数学的に関連するパブリックキーとプライベートキーのペアを表します。プライベートキーが暗号化されないまま AWS KMS から出ていくことはありません。AWS KMS API オペレーションを呼び出すことによって、AWS KMS 内でパブリックキーを使用することも、パブリックキーをダウンロードして AWS KMS の外部で使用することもできます。

注記

非対称 CMK と非対称データキーペアは、中国 (北京) および 中国 (寧夏) を除く、AWS KMS がサポートされるすべての AWS リージョンでサポートされます。

AWS KMS では、AWS KMS 外部のクライアント側の暗号化に使用するように設計されている、対称データキーと非対称データキーペア も提供します。非対称データキーペアの対称データキーとプライベートキーは、AWS KMS の対称 CMK によって保護されます。

  • 対称データキー — AWS KMS 外部でのデータの暗号化に使用できる対称暗号化キー。このキーは、AWS KMS の対称 CMK によって保護されます。

  • 非対称データキーペア — パブリックキーとプライベートキーで構成される RSA キーまたは楕円曲線 (ECC) キーペア。AWS KMS 以外のデータキーペアを使用して、データの暗号化と復号を行う、またはメッセージに署名して署名を検証することができます。プライベートキーは、AWS KMS の対称 CMK によって保護されます。

データキーとデータキーペアを作成および使用する方法については、「データキー」および「データキーペア」を参照してください。アカウントのプリンシパルが生成できるデータキーペアの種類を制限する方法については、km:DataKeyPairSpec 条件キーを使用します。

このトピックでは、対称 CMK と非対称 CMK が動作する仕組み、それらの違い、およびデータを保護するために必要な CMK のタイプを決定する方法について説明します。また、対称データキーと非対称データキーのペアがどのように機能するか、および AWS KMS の外部でそれらを使用する方法についても説明します。

詳細はこちら