カスタマーマスターキーでエンベロープ暗号化を使用 - 金融サービス業界レンズ

カスタマーマスターキーでエンベロープ暗号化を使用

FSISEC15: 暗号化キーをどのように管理していますか?

AWS KMS ソリューションは、カスタマーマスターキー (CMK) によるエンベロープ暗号化戦略を使用しています。エンベロープ暗号化は、平文データをデータキーで暗号化し、次にデータキーを別のキーで暗号化する方法です。CMK を使用して、AWS KMS の外部で使用するデータキーを生成、暗号化、復号化して、データを暗号化します。CMKs は AWS KMS で作成され、AWS KMS が暗号化されないままになることはありません。

AWS KMS は、カスタマー管理の CMK、AWS 管理の CMK、AWS 所有の CMK の 3 種類の CMK をサポートします (詳細については、 https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys を参照してください)。多くの金融サービス機関のお客様にとって、カスタマー管理の CMK は、お客様のアプリケーションまたは AWS のサービスのいずれかからキーを使用するためのアクセス許可をコントロールできるため、推奨されるオプションになります。カスタマー管理の CMK は、キーの生成や保管にさらなる柔軟性も提供します。さらに、キーの使用またはポリシーの変更はすべて、監査目的でAWS CloudTrail に記録されます。