保管時の暗号化: Amazon での仕組み QLDB - Amazon Quantum 台帳データベース (Amazon QLDB)
AWS 所有のキーカスタマーマネージドキーが許可QLDBを使用する方法許可の復元考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管時の暗号化: Amazon での仕組み QLDB

QLDB 保管時の暗号化は、256 ビットの Advanced Encryption Standard (AES-256) を使用してデータを暗号化します。この機能は、ストレージへの不正アクセスからデータを保護するのに役立ちます。QLDB 台帳に保存されているすべてのデータは、デフォルトで保管時に暗号化されます。サーバー側の暗号化は透過的です。つまり、アプリケーションに対する変更は必要ありません。

保管時の暗号化は AWS Key Management Service (AWS KMS) と統合され、QLDB台帳の保護に使用される暗号化キーを管理します。新しい台帳を作成するとき、または既存の台帳を更新するときに、次のタイプの AWS KMS キーのいずれかを選択できます。

  • AWS 所有のキー– デフォルトの暗号化タイプ。キーは によって所有されます QLDB (追加料金なし)。

  • カスタマーマネージドキー – キーは AWS アカウント に保存され、ユーザーによって作成、所有、管理されます。キーを完全に制御できます (AWS KMS 料金が適用されます)。

AWS 所有のキー

AWS 所有のキー は に保存されません AWS アカウント。これらは、複数の で使用するために が AWS 所有および管理するKMSキーのコレクションの一部です AWS アカウント。 AWS サービス は AWS 所有のキー を使用してデータを保護します。

AWS 所有のキーを作成または管理する必要はありません。ただし、 を表示または追跡したり AWS 所有のキー、その使用を監査したりすることはできません。の月額料金や使用料は請求されず AWS 所有のキー、アカウントのクォータにも AWS KMS カウントされません。

詳細については、「AWS Key Management Service デベロッパーガイド」の 「AWS 所有のキー」を参照してください。

カスタマーマネージドキー

カスタマーマネージドキーは、ユーザーが作成、所有、管理する のKMSキー AWS アカウント です。これらのKMSキーは完全に制御できます。QLDB は対称暗号化KMSキーのみをサポートします。

カスタマーマネージドキーを使用して次の機能を取得します。

  • キーへのアクセスを制御するためのキーポリシー、IAMポリシー、許可の設定と維持

  • キーの有効化と無効化を行う

  • キーの暗号化マテリアルをローテーションする

  • キーのタグとエイリアスを作成する

  • キーの削除をスケジュールする

  • 独自のキーマテリアルをインポートする、または所有し管理しているカスタムキーストアを使用する

  • AWS CloudTrail と Amazon CloudWatch Logs を使用して、 がユーザーに代わって QLDBに送信するリクエストを追跡 AWS KMS する

詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

カスタマーマネージドキーには通話ごとに料金が発生し、これらのKMSキーには AWS KMS クォータが適用されます。 API詳細については、「AWS KMS resource or request quotas」(KMS リソースクォータまたはリクエストクォータ) を参照してください。

カスタマーマネージドキーを台帳のKMSキーとして指定すると、ジャーナルストレージとインデックス付きストレージの両方のすべての台帳データは、同じカスタマーマネージドキーで保護されます。

アクセスできないカスタマーマネージドキー

カスタマーマネージドキーを無効にしたり、キーの削除をスケジュールしたり、キーに対する許可を取り消したりすると、台帳の暗号化のステータスは KMS_KEY_INACCESSIBLE になります。この状態のとき、台帳には障害が発生し、台帳は読み取りリクエストまたは書き込みリクエストを受け付けないようになります。アクセスできないキーを使用すると、すべてのユーザーとQLDBサービスがデータを暗号化または復号したり、台帳で読み取り/書き込み操作を実行したりできなくなります。QLDB は、台帳に引き続きアクセスできるようにし、データ損失を防ぐために、 KMSキーにアクセスできる必要があります。

重要

障害のある台帳は、キーの許可を復元した後、または無効化されたキーを再度有効にした後に、自動的にアクティブ状態に戻ります。

ただし、カスタマーマネージドキーの削除は元に戻せません。キーを削除すると、そのキーで保護されている台帳にアクセスできなくなり、データが完全に回復不可能になります

台帳の暗号化ステータスを確認するには、 AWS Management Console または DescribeLedgerAPIオペレーションを使用します。

Amazon が で許可QLDBを使用する方法 AWS KMS

QLDB では、カスタマーマネージドキーを使用するには許可が必要です。カスタマーマネージドキーで保護された台帳を作成すると、 は にCreateGrantリクエストを送信して、ユーザーに代わって許可QLDBを作成します AWS KMS。の許可 AWS KMS は、顧客 のKMSキーQLDBへのアクセスを許可するために使用されます AWS アカウント。詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。

QLDB では、次の AWS KMS オペレーションでカスタマーマネージドキーを使用するための許可が必要です。

  • DescribeKey – 指定された対称暗号化KMSキーが有効であることを確認します。

  • GenerateDataKey — 台帳に保管中のデータを暗号化するために がQLDB使用する一意の対称データキーを生成します。

  • Decrypt — カスタマーマネージドキーで暗号化されたデータキーを復号化します。

  • Encrypt — カスタマーマネージドキーを使用して、プレーンテキストを暗号文に暗号化します。

いつでも許可を取り消して、カスタマーマネージドキーに対するサービスからのアクセス権を削除できます。これを行うと、キーにアクセスできなくなり、カスタマーマネージドキーで保護された台帳データにアクセスQLDBできなくなります。この状態のとき、台帳には障害が発生し、キーの許可を復元するまで台帳は読み取りリクエストまたは書き込みリクエストを受け付けないようになります。

AWS KMSでの許可の復元

カスタマーマネージドキーの許可を復元し、 の台帳へのアクセスを回復するにはQLDB、台帳を更新して同じKMSキーを指定します。手順については、「既存の台帳の AWS KMS key を更新する」を参照してください。

保管時の暗号化に関する考慮事項

で保管時の暗号化を使用する場合は、次の点を考慮してくださいQLDB。

  • 保管時のサーバー側の暗号化は、すべてのQLDB台帳データでデフォルトで有効になっており、無効にすることはできません。台帳内のデータのサブセットのみを暗号化することはできません。

  • 保管時の暗号化は、永続的ストレージメディアの静的 (保管時) のデータのみを暗号化します。転送中のデータあるいは使用中のデータでデータの安全性が考慮される場合には、次のように追加の対策を実行する必要がある場合があります。

    • 転送中のデータ : のすべてのデータは転送中にQLDB暗号化されます。デフォルトでは、 との間の通信は HTTPSプロトコルQLDBを使用します。これにより、Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 暗号化を使用してネットワークトラフィックを保護します。

    • 使用中のデータ: クライアント側の暗号化QLDBを使用して、 に送信する前にデータを保護します。

台帳に対してカスタマーマネージドキーを実装する方法については、「Amazon でのカスタマーマネージドキーの使用 QLDB」を参照してください。