対称キーと非対称キーの使用 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

対称キーと非対称キーの使用

AWS KMS は、データとデータキーの保護に使用する カスタマーマスターキー (CMK) を保護します。シークレットキーは、AWS 従業員を含め、誰もプレーンテキストのキーマテリアルにアクセスできないように設計されたハードウェアセキュリティモジュールでのみ生成され、使用されます。

CMK の作成と管理は、 AWS アカウント を設定することを含め、キーポリシー,IAM ポリシー, および助成金CMK へのアクセスを制御します。有効化と無効化CMKタグの作成およびエイリアス, およびCMK の削除。CMK を使用して、リソースを保護できます。AWS と統合されたAWS KMS。また、AWS CloudTrail ログで CMK を使用または管理するすべてのオペレーションを監査できます。

AWS KMS は、対称 CMK と非対称 CMK をサポートします。

  • 対称 CMK: 1 つの 256 ビットの秘密暗号化キーを表します。AWS KMS暗号化されていない。対称 CMK を使用するには、AWS KMS を呼び出す必要があります。

  • 非対称 CMK: 暗号化か復号、または署名か検証には使用できますが、両方は使用できない、数学的に関連するパブリックキーとプライベートキーのペアを表します。プライベートキーが暗号化されないまま AWS KMS から出ていくことはありません。AWS KMS API オペレーションを呼び出すことによって、AWS KMS 内でパブリックキーを使用することも、パブリックキーをダウンロードして AWS KMS の外部で使用することもできます。

AWS KMSは対称もサポートしています。データキー非対称データキーペアの外部でクライアント側の署名および暗号化で使用するために設計されたAWS KMS。非対称データキーペアの対称データキーとプライベートキーは、AWS KMS の対称 CMK によって保護されます。

  • 対称データキー — 外部でのデータの暗号化に使用できる対称暗号化キー。AWS KMS。このキーは、AWS KMS の対称 CMK によって保護されます。

  • 非対称データキーペア — 公開キーと秘密キーで構成される RSA キーまたは楕円曲線 (ECC) キーペア。プライベートキーは、AWS KMS の対称 CMK によって保護されます。AWS KMS 以外のデータキーペアを使用して、データの暗号化と復号を行う、またはメッセージに署名して署名を検証することができます。

    AWS KMSでは、署名に ECC キーペアを使用し、暗号化または署名に RSA キーペアを使用することを推奨していますが、両方は使用しないでください。ただし、AWS KMSの外部でデータキーペアの使用に制限を強制することはできません。AWS KMS。

このトピックでは、対称 CMK と非対称 CMK が動作する仕組み、それらの違い、およびデータを保護するために必要な CMK のタイプを決定する方法について説明します。また、対称データキーと非対称データキーのペアがどのように機能するか、および AWS KMS の外部でそれらを使用する方法についても説明します。

リージョン

非対称 CMK と非対称データキーペアは、すべてのAWSリージョンそのAWS KMSがサポートされています。

詳細はこちら