使用できないKMSキーがデータキーに与える影響

KMS キーが使用不能になると、効果はほぼ即時になります (最終的な一貫性が条件）。KMS キーのキー状態は新しい条件を反映するように変更され、暗号化オペレーションでKMSキーを使用するすべてのリクエストは失敗します。

ただし、KMSキーによって暗号化されたデータキーとデータキーによって暗号化されたデータへの影響は、データキーの復号化など、KMSキーが再び使用されるまで遅延します。

KMS キーは、次のようなさまざまな理由で使用できなくなる可能性があります。

• KMSキーの無効化

• 削除のためのKMSキーのスケジュール

• インポートされたキーマテリアルを持つキーからキーマテリアルを削除するか、インポートされたキーマテリアルの有効期限を切れるようにします。 KMS

• AWS CloudHSM キーをホストするキーストアを切断するか、キーのキーマテリアルとして機能する AWS CloudHSM クラスターからキーを削除します。 KMS KMS

• KMS キーをホストする外部キーストアを切断する、または外部キーストアプロキシへの暗号化と復号リクエストを妨げるその他のアクション。これには、外部キーマネージャーから外部キーを削除することが含まれます。

この効果は、サービスが管理するリソースを保護するためにデータキーを使用する多くの AWS のサービス 人にとって特に重要です。次の例では、Amazon Elastic Block Store (Amazon EBS) と Amazon Elastic Compute Cloud (Amazon ) を使用していますEC2。異なる方法でデータキー AWS のサービス を使用します。詳細については、 AWS のサービスの「セキュリティ」の章の「データ保護」セクションを参照してください。

例えば、次のシナリオが考えられます。

1. 暗号化されたEBSボリュームを作成し、保護するKMSキーを指定します。Amazon は AWS KMS 、 KMSキーを使用してボリュームの暗号化されたデータキーを生成するように にEBS要求します。Amazon は、暗号化されたデータキーをボリュームのメタデータとともにEBS保存します。

2. EBS ボリュームをEC2インスタンスにアタッチすると、Amazon EC2はKMSキーを使用してEBSボリュームの暗号化されたデータキーを復号します。Amazon は Nitro ハードウェアのデータキーEC2を使用します。このキーは、すべてのディスク I/O をEBSボリュームに暗号化する役割を果たします。データキーは、EBSボリュームがEC2インスタンスにアタッチされている間、Nitro ハードウェアに保持されます。

3. KMS キーを使用できないようにするアクションを実行します。これは、EC2インスタンスまたはEBSボリュームにすぐには影響しません。Amazon EC2 は、 キーではなくデータKMSキーを使用して、ボリュームがインスタンスにアタッチされている間、すべてのディスク I/O を暗号化します。

4. ただし、暗号化されたEBSボリュームがEC2インスタンスからデタッチされると、Amazon は Nitro ハードウェアからデータキーEBSを削除します。次回、暗号化されたEBSボリュームがEC2インスタンスにアタッチされると、Amazon はキーを使用してボリュームの暗号化されたデータKMSキーを復号EBSできないため、アタッチメントは失敗します。EBS ボリュームを再度使用するには、KMSキーを再度使用できるようにする必要があります。