AWS KMS の非対称キー

AWS KMS は、数学的に関連する RSA、楕円曲線 (ECC)、SM2 (中国リージョンのみ) のパブリックキーとプライベートキーのペアを表す非対称 KMS キーをサポートします。これらのキーペアは、中国 (北京) および中国 (寧夏) リージョンを除き、FIPS 140-2 暗号化モジュール検証プログラムで認定された AWS KMS ハードウェアセキュリティモジュールで生成されます。プライベートキーにより、AWS KMS HSM が暗号化されないままになることはありません。ディストリビューション用にパブリックキーをダウンロードして AWS の外部で使用できます。暗号化および復号用、または署名および検証用に非対称 KMS キーを作成できますが、両方には作成できません。

AWS アカウント で、非対称 KMS キーの作成と管理が可能です。キーポリシー、IAM ポリシー、およびキーへのアクセスを制御するグラントの設定、KMS キーの有効化と無効化、タグとエイリアスの作成、KMS キーの削除などが含まれます。AWS CloudTrail ログで AWS 内の非対称 KMS キーを使用または管理する、すべてのオペレーションを監査できます。

AWS KMS は、AWS KMS 外部のクライアント側で暗号化に使用するように設計された非対称データキーペアも提供しています。非対称データキーペアのプライベートキーは、AWS KMS の対称暗号化 KMS キーによって保護されます。

このトピックでは、非対称 KMS キーの仕組み、他の KMS キーとの違い、およびデータを保護するために必要な KMS キーのタイプを判断する方法について説明します。また、非対称データキーペアの仕組み、および AWS KMS の外部でそれらを使用する方法についても説明します。

リージョン

非対称 KMS キーと非対称データキーペアは、AWS KMS がサポートするすべての AWS リージョン でサポートされます。

詳細はこちら

• 非対称 KMS キーを作成するには、「非対称 KMS キーを作成する」を参照してください。対称暗号化 KMS キーを作成するには、「キーの作成」を参照してください。

• マルチリージョンの非対称 KMS キーを作成するには、「マルチリージョンキーを作成する」を参照してください。

• KMS キーが対称か非対称かを調べるには、「非対称 KMS キーの識別」を参照してください。

• 各タイプの KMS キーに適用される AWS KMS API オペレーションを比較する表については、「キータイプリファレンス」を参照してください。

• アカウントのプリンシパルが KMS キーおよびデータキーに使用できるキー仕様、キーの用途、暗号化アルゴリズム、署名アルゴリズムへのアクセスを制御するには、「AWS KMS 条件キー」を参照してください。

• 各種タイプの KMS キーに適用されるリクエストクォータについては、クォータのリクエスト を参照してください。

• 非対称 KMS キーを使用してメッセージに署名し、署名を検証する方法については、AWS セキュリティブログの Digital signing with the new asymmetric keys feature of AWS KMS を参照してください。

トピック

• 非対称 KMS キー
• 非対称 KMS キーを作成する
• パブリックキーのダウンロード
• 非対称 KMS キーの識別
• 非対称キーの仕様

非対称 KMS キー

AWS KMS で非対称 KMS キーを作成できます。非対称 KMS キーは、数学的に関連する公開キーとプライベートキーペアを表します。パブリックキーは、たとえ信頼されていなくても、誰にでも渡すことができますが、シークレットキーは秘密にしておく必要があります。

非対称 KMS キーでは、プライベートキーが AWS KMS で作成され、AWS KMS を暗号化されないままにしません。プライベートキーを使用するには、AWS KMS を呼び出す必要があります。AWS KMS API オペレーションを呼び出すことによって、AWS KMS 内でパブリックキーを使用できます。または、パブリックキーをダウンロードし、AWS KMS の外部で使用することもできます。

AWS KMS を呼び出しできないユーザーが AWS 外部で暗号化を必要とするユースケースの場合は、非対称 KMS キーが適しています。ただし、AWS のサービスで保存または管理するデータを暗号化するための KMS キーを作成している場合は、対称暗号化 KMS キーを使用してください。AWS KMS と統合された AWS のサービスは、データの暗号化に対称暗号化 KMS キーのみを使用します。これらのサービスは、非対称 KMS キーを使用する暗号化をサポートしません。

AWS KMS では、3 種類の非対称 KMS キーがサポートされます。

• RSA KMS キー: 暗号化と復号、または署名と検証用 (両方ではない) の RSA キーペアを持つ KMS キー。AWS KMS は、さまざまなセキュリティ要件に対応し、複数のキーの長さをサポートします。

• 楕円曲線 (ECC) KMS キー: 署名と検証のための楕円曲線キーペアを持つ KMS キー。AWS KMS は、一般的に使用される複数の曲線をサポートします。

• SM2 KMS キー (中国リージョンのみ): 暗号化と復号、または署名と検証用 (両方ではない) の SM2 キーペアを持つ KMS キー。

非対称キーの設定を選択する方法については、「KMS キータイプの選択」を参照してください。AWS KMS がサポートする RSA KMS キーの暗号化および署名アルゴリズムの技術的な詳細については、「RSA キー仕様」を参照してください。AWS KMS がサポートする ECC KMS キーの署名アルゴリズムの技術的な詳細については、「楕円曲線のキー仕様」を参照してください。AWS KMS がサポートする SM2 KMS キー (中国リージョンのみ) の暗号化および署名アルゴリズムの技術的な詳細については、「SM2 キー仕様」を参照してください。

対称および非対称 KMS キーで実行できるオペレーションを比較した表については、「対称および非対称 KMS キーの比較」を参照してください。KMS キーが対称か非対称かを判断する方法については、非対称 KMS キーの識別 を参照してください。

リージョン

非対称 KMS キーと非対称データキーペアは、AWS KMS がサポートするすべての AWS リージョン でサポートされます。