コントロールの目的 5: キーは、不正な使用を防止または検出する方法で使用されます。

要件 17: このサービスは、キー共有関係の追跡を可能にするキーのタグやエイリアスなどのメカニズムを提供します。さらに、キーが共有されるときに既知のキー値またはデフォルトのキー値が使用されないことを示すために、キーチェック値を個別に保持する必要があります。

要件 18: このサービスは、GetKey および ListKeys を介したキー整合性チェックと、 を介したキー管理イベントを提供します。これは、不正な置換を検出したり AWS CloudTrail、当事者間のキーの同期を監視したりするために使用できます。このサービスは、キーをキーブロックにのみ保存します。Payment Cryptography AWS へのインポート前とエクスポート後にキーストレージと を使用する責任があります。

PIN ベースのトランザクションまたは予期しないキー管理イベントの処理中に不一致が発生した場合は、即時調査の手順を設定する必要があります。

要件 19: サービスはキーブロックでのみキーを使用し、すべてのオペレーションに KeyUsage、KeyModeOfUse、およびその他のキー属性を適用します。これには、プライベートキーオペレーションの制限が含まれます。パブリックキーは、暗号化やデジタル署名の検証などの単一目的に使用する必要がありますが、両方に使用することはできません。本番システムとテスト/開発システムには、別々のアカウントを使用する必要があります。

要件 20: この要件については、お客様が責任を負います。