翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
について AWS KMS keys
AWS Key Management Service (AWS KMS) では、サービスに渡すデータで使用できる暗号化キーを作成できます。プライマリリソースタイプは KMS キーで、そのうちの 3 つのタイプがあります。
-
Advanced Encryption Standard (AES) 対称キー – AES の Galois Counter Mode (GCM) モードで使用される 256 ビットキーです。これらのキーは、サイズが 4 KB 未満のデータの認証された暗号化と復号を提供します。これは最も一般的なタイプのキーです。これは、アプリケーションで使用されるデータキーや、ユーザーに代わってデータを暗号化 AWS のサービス する によって使用されるデータキーなど、他のデータキーを保護するために使用されます。
-
RSA または楕円曲線非対称キー – これらのキーはさまざまなサイズで利用可能で、多くのアルゴリズムをサポートしています。アルゴリズムに応じて、暗号化と復号、および署名と検証オペレーションに使用できます。
-
ハッシュベースのメッセージ認証コード (HMAC) オペレーションを実行するための対称キー – これらのキーは、署名および検証オペレーションに使用される 256 ビットキーです。
KMS キーは、サービスからプレーンテキストでエクスポートすることはできません。これらはサービスに使用されるハードウェアセキュリティモジュール (HSM) により生成され、そのモジュール内でのみ使用できます。これは、キーの侵害 AWS KMS を防ぐための の基本的なセキュリティプロパティです。中国 (北京) および中国 (寧夏) リージョンでは、これらの HSMsは OSCCA
KMS キーを使用して暗号化、復号、署名、または検証オペレーションを実行するために、さまざまな暗号化 APIs AWS KMS を使用してデータを に送信できます。また、KMS キーをキー暗号化キーのように動作させて、データキーと呼ばれるキータイプを保護することもできます。データキーは、ローカルアプリケーション内で使用する AWS KMS ため、またはユーザーに代わってデータを保護する AWS のサービス からエクスポートできます。データキーの使用は、すべてのキー管理システムで一般的であり、多くの場合、エンベロープ暗号化と呼ばれます。エンベロープ暗号化を使用すると、KMS キーで直接暗号化 AWS KMS するために機密データを に送信しなくても、機密データを処理するリモートシステムでデータキーを使用できます。
詳細については、 AWS KMS ドキュメントのAWS KMS keys「」およびAWS KMS 「暗号化の必須事項」を参照してください。
