AWS Key Management Service
AWS Management Console から、または AWS SDK や AWS CLI を使用して、使用ポリシーを定義し、使用を監査するだけでなく、キーの作成やインポート、ローテーションを簡単に行うことができます。
AWS KMS の CMK は、お客様自身でインポートしたか、KMS により作成されたかに関わらず、必要なときに使用できるように、高い耐久性を持つストレージに暗号化された形式で保存されます。KMS で作成された CMK は、KMS によって 1 年ごとに自動的にローテーションするように設定できます。マスターキーで暗号化済みのデータを再度暗号化する必要はありません。KMS によって過去の暗号化データを自動的に復号化できるため、CMK の旧バージョンを追跡する必要はありません。
AWS KMS のどの CMK でも、キーポリシーまたは IAM ポリシー内の許可やキーポリシー条件など、さまざまなアクセス制御を介して、キーにアクセスできるユーザーやそのキーを使用できるサービスを制御できます。また、独自のキー管理インフラストラクチャからキーをインポートして、KMS で使用できます。
例えば、次のポリシーでは、特定のユーザー (ExampleUser) に代わって特定のリージョン (us-west-2) の Amazon EC2 または Amazon RDS からリクエストが送信された場合にのみ、指定されたアクションに対してカスタマー管理の CMK の使用を許可する kms:ViaService 条件を使っています。
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Principal”: {
“AWS”: “arn:aws:iam::111122223333:user/ExampleUser”
}
“Action”: [
“kms:Encrypt*”,
“kms:Decrypt”,
”kms:ReEncrypt*”,
“kms:GenerateDataKey*”,
“kms:CreateGrant”,
“kms:ListGrants”,
“kms:DescribeKey”
],
“Resource”: “*”,
“Condition”: {
“ForAnyValue:StringEquals”: {
“kms:ViaService”: [
“ec2.us-west-2.amazonaws.com”,
“rds.us-west-2.amazonaws.com”
]
}
}
} 