投稿日: Nov 26, 2018
AWS Key Management Service (KMS) が AWS CloudHSM と統合され、独自の KMS カスタムキーストアを作成できるオプションが提供されるようになりました。各カスタムキーストアは AWS CloudHSM クラスターに基づいており、KMS キーを生成、保存し、ご利用のハードウェアセキュリティモジュール (HSM) で使用することができます。 KMS カスタムキーストアは、オンプレミスの HSM の使用が求められるコンプライアンス義務を満たすのに役立ち、AWS のサービスおよび KMS に統合された 暗号化ツールキットをサポートします。
この新機能を使えば、AWS KMS のカスタマーマスターキー (CMK) を生成し、それらをデフォルトの KMS キーストアではなくカスタムキーストアに保存することが可能です。各 KMS カスタムキーストアは、ユーザーが所有する AWS CloudHSM クラスター内の HSM インスタンスを使用して作成され、KMS とは別々に管理できます。KMS CMK をカスタムキーストアで使用する場合、そのキーの下の暗号化操作は CloudHSM クラスターでのみ実行されます。カスタムキーストアに保存されたマスターキーは、KMS の他のマスターキーと同じ方法で管理され、データを暗号化する AWS サービス、および KMS の顧客が管理する CMK をサポートする AWS サービスで使用できます。
カスタムキーストアを使用しても、CMK の使用と保存にかかる料金は変わりません。ただし、カスタムキーストアには、少なくとも 2 つの HSM で CloudHSM クラスターを維持するための追加コストが必要です。AWS CloudHSM の料金を参照してください。
詳細については、KMS カスタムキーストアの FAQ を参照してください。また、カスタムキーストアがご利用の要件に適しているかどうかについては、ブログを参照してください。