AWS Key Management Service は、データを保護するための暗号化キーの一元管理を可能にします。データを暗号化するための暗号化キーは、お客様が作成、更新、無効化、削除でき、使用ポリシーの定義、使用状況の監査も実行できます。AWS Key Management Service は、AWS の他の多くのサービスと統合されており、お客様は、ご自身が管理している暗号化キーを使用して、これらのサービスに保存したデータを簡単に暗号化できます。また AWS KMS は AWS CloudTrail と統合されており、誰がどのキーを、どのリソースで、いつ使用したかを監査できます。AWS KMS により、開発者は AWS マネジメントコンソールから 1 クリックで暗号化することも、AWS SDK を使用してアプリケーションコードに暗号化を簡単に追加することもできます。

AWS Key Management Service をお試しください

AWS の使用を開始する
またはコンソールにサインイン

アマゾン ウェブ サービスの無料アカウントを作成して、無料の製品とサービスを 12 か月間使用できます

AWS 無料利用枠の詳細はこちら »

AWS Key Management Service は暗号化キーを一元管理します。AWS マネジメントコンソールから、または AWS SDK か CLI を使用して、キーを簡単に作成、インポート、ローテーションすること、並びに使用ポリシーを定義し、使用を監査することができます。ユーザーが自身でインポートしたか、KMS により作成されたかに関わらず、KMS のマスターキーは必要なときに取得できるように、暗号化された形式で高い耐久性のあるストレージに格納されます。1 年ごとに KMS が自動的にマスターキーを更新するように設定できます。この場合は、マスターキーで既に暗号化されているデータを再度暗号化する必要はありません。KMS が以前のバージョンのマスターキーを有効にして過去に暗号化したデータを復号するため、お客様が以前のバージョンを管理する必要はありません。新しいマスターキーを作成し、そのキーにアクセスできるユーザー、利用できるサービスをいつでも制限できます。また、独自のキー管理インフラストラクチャからキーをインポートして、KMS で使用できます。

AWS Key Management Service は、AWS の他の多くのサービスとシームレスに統合されています。この統合により、AWS KMS マスターキーを使用して、これらのサービスに保存したデータを簡単に暗号化できます。自動的に作成され、統合されたサービス内でのみ使用可能なデフォルトのマスターキーを使用することも、KMS で作成した、または独自のキー管理インフラストラクチャからインポートしたカスタムのマスターキーを選択することもできます。

AWS 製品カテゴリ KMS と統合されている AWS のサービス
コンピューティング Amazon Lightsail*、Amazon EC2 SSM、AWS Lambda

ストレージとコンテンツ配信

Amazon S3、Amazon EBS、AWS Import/Export Snowball、AWS Storage Gateway、Amazon EFS
データベース Amazon RDS、Amazon Redshift、AWS Database Migration Service
開発者用ツール AWS CodeCommit*、AWS CodeBuild**、AWS CodeDeploy**、AWS CodePipeline**
管理ツール AWS CloudTrail、Amazon CloudWatch Logs**
分析 Amazon EMR、Amazon Kinesis Firehose、Amazon Kinesis Streams、Amazon Athena
アプリケーションサービス Amazon Elastic Transcoder、Amazon SES、Amazon SQS
エンタープライズアプリケーション Amazon WorkSpaces、Amazon WorkMail
セキュリティ、アイデンティティ、コンプライアンス AWS Certificate Manager*
コンタクトセンター Amazon Connect

*現時点では AWS で管理された KMS キーのみがサポートされます。
**現時点ではお客様が管理する KMS キーのみがサポートされます。

また AWS KMS は KMS SDK や AWS コマンドラインインターフェイス (CLI) とも統合されており、RESTful API を利用できます。これらのインターフェイスを使用してデータを暗号化または解読する場合、暗号化または解読操作は自動的に実行されます。必要な操作は使用する KMS のマスターキーを選択することのみです。さらに、KMS は AWS CloudFormation と統合されているため、KMS 用の CloudFormation テンプレートを使用して、キーをすばやく KMS に作成できます。

AWS アカウントで AWS CloudTrail を有効にしている場合、KMS に保存したキーの使用はすべてログファイルに記録され、AWS CloudTrail を有効にした際に指定した Amazon S3 バケットに送信されます。記録される情報はユーザーの詳細、時間、日付、使用されたキーなどです。

AWS Key Management Service は管理型サービスです。AWS KMS 暗号化キーの使用量が増えても、キー管理インフラストラクチャを追加購入する必要はありません。AWS KMS は暗号化キーのニーズに合わせて自動でスケールします。

AWS KMS により作成されたマスターキーまたはインポートされたマスターキーは、サービスからエクスポートすることはできません。AWS KMS はキーの複数の暗号化バージョンを 99.999999999% の耐久性で設計されたシステムに保存しており、常にキーにアクセスして利用できます。KMS にキーをインポートする場合は、随時それを再インポートできるように、キーのコピーを安全に維持する必要があります。

AWS KMS は AWS リージョンの複数のアベイラビリティーゾーンにデプロイされており、暗号化キーに高可用性を提供しています。

AWS KMS では誰もマスターキーにアクセスできないように設計されています。このサービスは、プレーンテキストのマスターキーをディスクに保存しない、メモリに保存しない、デバイスに接続できるシステムを制限するなど、幅広い堅牢化技術を使用してマスターキーを保護するように設計されたシステムを土台としています。サービス内でソフトウェアをアップデートしようとするアクセスは複数段階の承認プロセスによって管理され、このプロセスは Amazon の独立したグループによって監査およびレビューされます。

AWS KMS の機能について詳しくは、AWS Key Management Service whitepaperをご覧ください。

AWS KMS のセキュリティコントロールと品質管理は、以下のコンプライアンススキームによって検証および認定されています。