AWS Key Management Service

AWS Key Management Serviceは、データの暗号化に使用する暗号化キーを簡単に作成および制御できるマネージドサービスで、ハードウェアセキュリティモジュール (HSM) を使用してキーのセキュリティを保護します。AWS KMS は他のいくつかの AWS のサービスと統合されており、これらのサービスで保存するデータを保護するのに役立ちます。AWS KMS は AWS CloudTrail とも統合されており、規制やコンプライアンスのニーズに合わせて、キーの使用状況をすべて記録したログを提供します。

AWS Management Console から、または AWS SDK や AWS CLI を使用して、使用ポリシーを定義し、使用を監査するだけでなく、キーの作成やインポート、ローテーションを簡単に行うことができます。

AWS KMS の CMK は、お客様自身でインポートしたか、KMS により作成されたかに関わらず、必要なときに使用できるように、高い耐久性を持つストレージに暗号化された形式で保存されます。KMS で作成された CMK は、KMS によって 1 年ごとに自動的にローテーションするように設定できます。マスターキーで暗号化済みのデータを再度暗号化する必要はありません。KMS によって過去の暗号化データを自動的に復号化できるため、CMK の旧バージョンを追跡する必要はありません。

AWS KMS のどの CMK でも、キーポリシーまたは IAM ポリシー内の許可やキーポリシー条件など、さまざまなアクセス制御を介して、キーにアクセスできるユーザーやそのキーを使用できるサービスを制御できます。また、独自のキー管理インフラストラクチャからキーをインポートして、KMS で使用できます。

例えば、次のポリシーでは、特定のユーザー (ExampleUser) に代わって特定のリージョン (us-west-2) の Amazon EC2 または Amazon RDS からリクエストが送信された場合にのみ、指定されたアクションに対してカスタマー管理の CMK の使用を許可する kms:ViaService 条件を使っています。

        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Effect”: “Allow”,
                “Principal”: {
                    “AWS”: “arn:aws:iam::111122223333:user/ExampleUser”
                 }
                “Action”: [
                     “kms:Encrypt*”,
                     “kms:Decrypt”,
                     ”kms:ReEncrypt*”,
                     “kms:GenerateDataKey*”,
                     “kms:CreateGrant”,
                     “kms:ListGrants”,
                     “kms:DescribeKey”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “ForAnyValue:StringEquals”: {
                        “kms:ViaService”: [
                              “ec2.us-west-2.amazonaws.com”,
                              “rds.us-west-2.amazonaws.com”
                        ]
                     } 
               }      
}