AWS Key Management Service は、データを保護するための暗号化キーの一元管理を可能にします。データを暗号化するための暗号化キーは、お客様が作成、更新、無効化、削除でき、使用ポリシーの定義、使用状況の監査も実行できます。AWS Key Management Service は、AWS の他のほとんどのサービスと統合されており、お客様は、ご自身が管理している暗号化キーを使用して、これらのサービスに保存したデータを簡単に暗号化できます。また AWS KMS は AWS CloudTrail と統合されており、誰がどのキーを、どのリソースで、いつ使用したかを監査できます。AWS KMS により、開発者は AWS マネジメントコンソールから 1 クリックで暗号化することも、AWS SDK を使用してアプリケーションコードに暗号化を簡単に追加することもできます。

AWS Key Management Service をお試しください

AWS の使用を開始する
またはコンソールにサインイン

アマゾン ウェブ サービスの無料アカウントを作成して、無料の製品とサービスを 12 か月間使用できます

AWS 無料利用枠の詳細はこちら »

AWS Key Management Service は暗号化キーを一元管理します。AWS マネジメントコンソールから、または AWS SDK か CLI を使用して、キーを簡単に作成、インポート、ローテーションすること、並びに使用ポリシーを定義し、使用を監査することができます。ユーザーが自身でインポートしたか、KMS により作成されたかに関わらず、KMS のマスターキーは必要なときに取得できるように、暗号化された形式で高い耐久性のあるストレージに格納されます。1 年ごとに KMS が自動的にマスターキーを更新するように設定できます。この場合は、マスターキーで既に暗号化されているデータを再度暗号化する必要はありません。KMS が以前のバージョンのマスターキーを有効にして過去に暗号化したデータを復号するため、お客様が以前のバージョンを管理する必要はありません。新しいマスターキーを作成し、そのキーにアクセスできるユーザー、利用できるサービスをいつでも制限できます。また、独自のキー管理インフラストラクチャからキーをインポートして、KMS で使用できます。

AWS Key Management Service は、AWS の他のほとんどのサービスとシームレスに統合されています。この統合により、AWS KMS マスターキーを使用して、これらのサービスに保存したデータを簡単に暗号化できます。自動的に作成され、統合されたサービス内でのみ使用可能なデフォルトのマスターキーを使用することも、KMS で作成した、または独自のキー管理インフラストラクチャからインポートしたカスタムのマスターキーを選択することもできます。

KMS と統合されている AWS のサービス
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9* AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail* AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service (SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator (DAX)* Amazon Simple Queue Service (SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service (RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager  
Amazon Connect
Amazon Connect
Amazon Connect
Amazon Connect
Amazon S3、 、AWS Import/Export Snowball、AWS Storage Gateway、 
Amazon S3、 、AWS Import/Export Snowball、AWS Storage Gateway、 
Amazon S3、 、AWS Import/Export Snowball、AWS Storage Gateway、 
Amazon S3、 、AWS Import/Export Snowball、AWS Storage Gateway、 
Amazon RDS、Amazon Redshift、 、 Amazon DynamoDB*
Amazon RDS、Amazon Redshift、 、 Amazon DynamoDB*
Amazon RDS、Amazon Redshift、 、 Amazon DynamoDB*
Amazon Kinesis Video Streams
Amazon Kinesis Video Streams
AWS CloudTrail
AWS CloudTrail
AWS Systems Manager
Amazon Relational Database Service
Amazon Relational Database Service
AWS X-Ray
AWS X-Ray
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS CodePipeline
AWS CodePipeline
AWS CodeDeploy
AWS CodeDeploy
AWS CodeCommit
AWS CodeBuild
AWS Cloud9*
AWS Auto Scaling
AWS Auto Scaling
Amazon WorkSpaces
AWS Certificate Manager*
AWS Certificate Manager*
AWS CloudTrail
AWS CloudTrail
AWS CloudTrail
AWS Database Migration Service
AWS Database Migration Service
AWS Systems Manager
AWS Systems Manager
AWS Storage Gateway
Amazon Simple Email Service (SES)
Amazon Simple Email Service (SES)
Amazon WorkMail
AWS CloudTrail
AWS CloudTrail
AWS CodeBuild
AWS CodeBuild
AWS CodeCommit*
AWS CodeCommit*
AWS CodePipeline
AWS Snowball
AWS Snowmobile
AWS Storage Gateway

*AWS マネージド KMS キーのみをサポートします。

また AWS KMS は KMS SDK、AWS コマンドラインインターフェイス (CLI) とも統合されており、RESTful API を利用できます。これらのインターフェイスを使用してデータを暗号化または解読する場合、暗号化または解読操作は自動的に実行されます。お客様は使用する KMS のマスターキーを選択するだけです。さらに、KMS は AWS CloudFormation と統合されているため、KMS 用の CloudFormation テンプレートを使用して、キーをすばやく KMS に作成できます。

AWS アカウントで AWS CloudTrail を有効にしている場合、KMS に保存したキーの使用はすべてログファイルに記録され、AWS CloudTrail を有効にした際に指定した Amazon S3 バケットに送信されます。記録される情報はユーザーの詳細、時間、日付、使用されたキーなどです。

AWS Key Management Service は管理型サービスです。AWS KMS 暗号化キーの使用量が増えても、キー管理インフラストラクチャを追加購入する必要はありません。AWS KMS は暗号化キーのニーズに合わせて自動でスケールします。

AWS KMS により作成されたマスターキーまたはインポートされたマスターキーは、サービスからエクスポートすることはできません。AWS KMS はキーの複数の暗号化バージョンを 99.999999999% の耐久性で設計されたシステムに保存しており、常にキーにアクセスして利用できます。KMS にキーをインポートする場合は、随時それを再インポートできるように、キーのコピーを安全に維持する必要があります。

AWS KMS は AWS リージョンの複数のアベイラビリティーゾーンにデプロイされており、暗号化キーに高可用性を提供しています。

AWS KMS は、誰も、AWS の従業員でさえサービスからプレーンテキストのキーを取得できないように設計されています。このサービスは FIPS 140-2 で検証されたハードウェアセキュリティモジュール (HSM) を使用して、ユーザーの代わりに KMS が作成するようリクエストしたキーでも、ユーザーがサービスにインポートしたキーでも、その機密性と整合性を保護します。ユーザーのプレーンテキストキーがディスクに書き込まれることはなく、ユーザーがリクエストする暗号化操作の実行に必要な時間に HSM の揮発性メモリでのみ使用されます。KMS のキーは、作成された AWS リージョンから移動されることはありません。KMS HSM ファームウェアの更新は、Amazon の独立したグループによって監査とレビューが行われるマルチパーティアクセス制御によって制御されます。

AWS KMS の機能について詳しくは、AWS Key Management Service whitepaperをご覧ください。

AWS KMS のセキュリティコントロールと品質管理は、以下のコンプライアンススキームによって検証および認定されています。

  • AWS Service Organization Controls (SOC 1、SOC 2、および SOC 3) レポート。これらのレポートのコピーは AWS Artifactからダウンロードできます。
  • PCI DSS レベル 1。AWS の PCI DSS 準拠サービスの詳細については、PCI DSS のよくある質問を参照してください。
  • ISO 27001.AWS の ISO 27001 準拠サービスの詳細については、ISO-27001 のよくある質問を参照してください。
  • ISO 27017。AWS の ISO 27017 準拠サービスの詳細については、ISO-27017 のよくある質問を参照してください。
  • ISO 27018。AWS の ISO 27018 準拠サービスの詳細については、ISO-27018 のよくある質問を参照してください。
  • ISO 9001。AWS の ISO 9001 準拠サービスの詳細については、ISO-9001 のよくある質問を参照してください。
  • ファームウェアバージョン 1.4.3 を実行している暗号モジュールでは、FIPS 140-2 レベル 2 全体と、物理セキュリティを含む複数のその他のカテゴリのレベル 3 で認定を取得しています。詳細については、AWS KMS HSM に対する FIPS 140-2 の証明書と関連するセキュリティポリシーを参照してください。
  • FedRAMP。AWS FedRAMP コンプライアンスの詳細については、FedRAMP コンプライアンスを参照してください。 
  • HIPAA 対応。詳細については、HIPAA への準拠ページを参照してください。