実装 - AWS 規範ガイダンス
コスト、利便性、制御パフォーマンスと暗号化のタイプキーストレージの場所アクセスコントロール監査とログ記録

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

実装

この戦略では、アーキテクチャとは、暗号化標準の技術的な実装を指します。このセクションでは AWS のサービス、 AWS Key Management Service (AWS KMS) や などの がAWS CloudHSM、ポリシーと標準に従ってdata-at-rest暗号化戦略を実装するのに役立つ方法について説明します。

AWS KMS は、データの保護に使用される暗号化キーの作成と制御に役立つマネージドサービスです。KMS キーがサービスを暗号化されないままにすることはありません。KMS キーを使用または管理するには、 を操作し AWS KMSます。多くの AWS のサービス は と統合されています AWS KMS。

AWS CloudHSM は、 AWS 環境でハードウェアセキュリティモジュール (HSMs) を作成および維持するための暗号化サービスです。HSMsは、暗号化オペレーションを処理し、暗号化キーの安全なストレージを提供するコンピューティングデバイスです。標準で FIPS 140-2 Level 3 検証済みハードウェアの使用が必要な場合、または標準で PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) などの業界標準 APIs の使用が規定されている場合は、 の使用を検討してください AWS CloudHSM。

をカスタムキーストア AWS CloudHSM として設定できます AWS KMS。このソリューションでは、 の利便性とサービスの統合 AWS KMS と、 で AWS CloudHSM クラスターを使用することによるコントロールとコンプライアンスの利点を追加しています AWS アカウント。詳細については、「カスタムキーストア (AWS KMS ドキュメント)」を参照してください。

このドキュメントでは、 AWS KMS の機能の概要と、 AWS KMS がポリシーと標準にどのように対処できるかについて説明します。

コスト、利便性、制御

AWS KMS にはさまざまなタイプのキーが用意されています。一部は が所有または管理し AWS、その他はお客様が作成および管理します。これらのオプションは、キーとコストに関する考慮事項に対するコントロールのレベルに基づいて選択できます。

  • AWS 所有キー – これらのキー AWS は所有および管理され、複数の で使用されます AWS アカウント。一部の AWS のサービス は AWS 所有キーをサポートしています。これらのキーは無料で使用できます。このキータイプにより、キーのライフサイクルとアクセスを管理するコストと管理オーバーヘッドから解放されます。このタイプのキーの詳細については、「 AWS 所有キー (AWS KMS ドキュメント)」を参照してください。

  • AWS マネージドキー – AWS のサービス が と統合されている場合 AWS KMS、そのサービスのリソースを保護するために、ユーザーに代わってこのタイプのキーを作成、管理、使用できます。これらのキーは で作成され AWS アカウント、 AWS のサービス のみが使用できます。 AWS マネージドキーには月額料金はかかりません。無料利用枠を超えると使用料が発生する場合がありますが、一部の ではこれらのコスト AWS のサービス がカバーされます。ID ポリシーを使用して、これらのキーの表示および監査アクセスを制御できますが、 はキーのライフサイクル AWS を管理します。このタイプのキーの詳細については、「 AWS マネージドキー (AWS KMS ドキュメント)」を参照してください。と統合される の AWS のサービス 包括的なリストについては AWS KMS、「 AWS のサービス 統合 (AWS マーケティング)」を参照してください。

  • カスタマーマネージドキー – このタイプのキーを作成、所有、管理し、キーのライフサイクルを完全に制御できます。職務の分離では、アイデンティティポリシーとリソースベースのポリシーの両方を使用して、キーへのアクセスを制御できます。自動キーローテーションを設定することもできます。カスタマーマネージドキーには月額料金が発生し、無料利用枠を超えた場合は使用料も発生します。このタイプのキーの詳細については、「カスタマーマネージドキー (AWS KMS ドキュメント)」を参照してください。

キーのストレージと使用状況の詳細については、「 のAWS Key Management Service 料金 (AWS マーケティング)」を参照してください。

パフォーマンスと暗号化のタイプ

標準で選択した暗号化タイプに基づいて、2 種類の KMS キーを使用できます。

  • 対称 – すべての AWS KMS key タイプで対称暗号化がサポートされています。カスタマーマネージドキーを暗号化する場合、AES-256-GCM による暗号化と復号に単一強度キーを使用できます。

  • 非対称 – カスタマーマネージドキーは非対称暗号化をサポートします。意図した用途に基づいて、さまざまな主要な長所とアルゴリズムから選択できます。非対称キーは RSA で暗号化および復号化でき、RSA または ECC でオペレーションに署名および検証できます。非対称キーアルゴリズムは本質的にロールを分離し、キー管理を簡素化します。で非対称暗号化を使用する場合 AWS KMS、キーのローテーションや外部キーマテリアルのインポートなど、一部のオペレーションはサポートされていません。

対称キーと非対称キーがサポートする AWS KMS オペレーションの詳細については、「キータイプリファレンス」(AWS KMS ドキュメント) を参照してください。

エンベロープ暗号化

エンベロープ暗号化が組み込まれています AWS KMS。では AWS KMS、プレーンテキスト形式または暗号化形式でデータキーを生成します。暗号化されたデータキーは KMS キーで暗号化されます。KMS キーは、 AWS CloudHSM クラスターのカスタムキーストアに保存できます。エンベロープ暗号化の利点の詳細については、「」を参照してくださいエンベロープ暗号化について

キーストレージの場所

ポリシーを使用して、 AWS KMS リソースへのアクセスを管理します。ポリシーは、どのユーザーがどのリソースにアクセスできるかを説明します。 AWS Identity and Access Management (IAM) プリンシパルにアタッチされたポリシーは、アイデンティティベースのポリシーまたは IAM ポリシーと呼ばれます。他の種類のリソースにアタッチされたポリシーはリソースポリシーと呼ばれます。 の AWS KMS リソースポリシー AWS KMS keys はキーポリシーと呼ばれます。すべての KMS キーにはキーポリシーがあります。

キーポリシーは、暗号化キーを一元的な場所に保存したり、データの近くに分散して保存したりする柔軟性を提供します。に KMS キーを保存する場所を決定するときは、次の AWS KMS 機能を考慮してください AWS アカウント。

  • 単一リージョンインフラストラクチャのサポート – デフォルトでは、KMS キーはリージョン固有であり、暗号化 AWS KMS されていないままになることはありません。特定の地理的場所でキーを制御するための厳格な要件が標準にある場合は、単一リージョンキーの使用を検討してください。

  • マルチリージョンインフラストラクチャのサポート -、マルチリージョンキーと呼ばれる専用キータイプもサポートしています。 AWS KMS データを複数の に保存することは、ディザスタリカバリの一般的な設定 AWS リージョン です。マルチリージョンキーを使用すると、再暗号化せずにリージョン間でデータを転送でき、各リージョンで同じキーを持っているかのようにデータを管理できます。この機能は、暗号化インフラストラクチャがアクティブ/アクティブ設定で複数のリージョンにまたがることを標準で要求する場合に非常に役立ちます。詳細については、「マルチリージョンキー (AWS KMS ドキュメント)」を参照してください。

  • 一元管理 – 標準でキーを一元的な場所に保存する必要がある場合は、 AWS KMS を使用してすべての暗号化キーを 1 つの に保存できます AWS アカウント。キーポリシーを使用して、同じリージョン内の異なるアカウントにある他のアプリケーションへのアクセスを許可します。一元化されたキー管理により、キーライフサイクルとキーアクセスコントロールの管理オーバーヘッドを削減できます。

  • 外部キーマテリアル – 外部で生成されたキーマテリアルを にインポートできます AWS KMS。この機能は、単一リージョンおよびマルチリージョンの対称キーでサポートされています。対称キーのマテリアルは外部で生成されるため、生成されたキーマテリアルを保護する責任があります。詳細については、「インポートされたキーマテリアル (AWS KMS ドキュメント)」を参照してください。

アクセスコントロール

では AWS KMS、キーポリシー、IAM ポリシー許可のポリシーメカニズムを使用して、きめ細かなアクセスコントロールを実装できます。 https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.htmlこれらのコントロールを使用すると、管理者、データを暗号化できるキーユーザー、データを復号できるキーユーザー、データの暗号化と復号の両方が可能なキーユーザーなどのロールに基づいて職務の分離を設定できます。詳細については、「認証とアクセスコントロール (AWS KMS ドキュメント)」を参照してください。

監査とログ記録

AWS KMS は、ログ AWS CloudTrail 記録とモニタリングの目的で および Amazon EventBridge と統合されています。すべての AWS KMS API オペレーションは CloudTrail ログに記録され、監査可能です。Amazon CloudWatch、EventBridge、および を使用して AWS Lambda 、通知と自動修復を設定するカスタムモニタリングソリューションを設定できます。詳細については、「ログ記録とモニタリング (AWS KMS ドキュメント)」を参照してください。