次のよくある質問は、Sinnet により運営される AWS 中国 (北京) リージョンおよび NWCD により運営される AWS 中国 (寧夏) リージョンの KMS には適用されません。これら 2 つの中国リージョンに関連するコンテンツについては、こちらのよくある質問を参照してください。 

全般

Q: AWS Key Management Service (KMS) とは何ですか?
AWS KMS は、データ暗号化の手間を軽減する管理型のサービスです。AWS KMS では、可用性の高いキーの保存、管理、監査ソリューションを提供し、ユーザー独自のアプリケーション内でデータの暗号化を行い、AWS のサービス全体に保存されたデータの暗号化の管理を行います。

Q: なぜ AWS KMS を使用するのですか?
アプリケーション内のデータを暗号化する必要がある開発者は、AWS KMS のサポートを利用して AWS Encryption SDK を使用することをお勧めします。これにより、暗号化キーを簡単に使用および保護できます。開発者と増え続けるアプリケーションをサポートするためにスケーラブルなキー管理インフラストラクチャを必要としている IT 管理者は、AWS KMS を使用してライセンスコストと運用の負担を軽減できます。規制またはコンプライアンスに合わせてデータセキュリティを証明する必要があるお客様は、AWS KMS を使用して、データが使用および保存されているアプリケーション全体で一貫して暗号化されていることを確認できます。

Q: AWS KMS の使用を開始するにはどのようにすればよいのですか?
AWS KMS の使用を開始する最も簡単な方法は、各サービスのアカウントで自動的に作成される AWS 管理のマスターキーを使用して、サポートされている AWS サービス内のデータの暗号化を選択することです。アカウント間またはサービス間でキーのアクセスを共有する機能など、キーの管理を完全にコントロールする必要がある場合は、KMS に独自のマスターキーを作成できます。ユーザー独自のアプリケーション内で、直接 KMS に作成したマスターキーを使用することもできます。AWS KMS は、AWS コンソールの AWS Service ホームページの [セキュリティ、アイデンティティ、コンプライアンス] でグループ分けされた KMS コンソールからアクセスできます。KMS API は AWS KMS コマンドラインインターフェースまたはプログラムアクセス用の AWS SDK 経由で直接アクセスすることも可能です。KMS API は AWS Encryption SDK を使用して、ユーザー独自のアプリケーション内のデータを暗号化するのに直接使用できます。詳細は、開始方法のページをご覧ください。

Q: KMS はどのリージョンで利用できますか?
利用可能なリージョンの一覧は、世界中を網羅した製品およびサービス一覧 (リージョン別) ページでご覧いただけます。

AWS KMS ではどんなキー管理機能が利用できますか?
AWS KMS では以下のキー管理機能を実行できます。

  • 単一のエイリアスおよび説明を付けたキーを作成する
  • 独自のキーマテリアルをインポートする
  • どの IAM ユーザーおよびロールがキーを管理できるか定義する
  • どの IAM ユーザーおよびロールがキーを使用してデータを暗号化および復号化できるか定義する
  • AWS KMS が 1 年ごとに自動でキーを更新するように設定する
  • 誰にもキーが使用されないように、一時的に無効にする
  • 無効にしたキーを再度有効にする
  • 使用しなくなったキーを削除する
  • AWS CloudTrail でログを調査してキーの使用を監査する
  • カスタムキーストア*の作成
  • カスタムキーストア*の接続と切断
  • カスタムキーストア*の削除

* カスタムキーストアを使用するには、CloudHSM リソースがアカウントで使用可能である必要があります。

Q: AWS KMS はどのように機能しますか?
AWS KMS を使用すれば、キーの一元管理および安全な保存が可能です。これはカスタマーマスターキー (CMK) として知られています。CMK は KMS または AWS CloudHSM クラスターで生成するか、独自のキー管理インフラストラクチャーからインポートできます。こうしたマスターキーは、ハードウェアセキュリティモジュール (HSM) で保護され、このモジュール内でしか使用されません。データを直接 KMS に送信し、こうしたマスターキーを使用して、暗号化や復号化をすることができます。どのユーザーがキーを使用し、どの条件でデータを暗号化および復号化できるかを定義するキーの使用ポリシーを設定できます。

AWS KMS は、AWS のサービスおよびデータを暗号化するエンベロープ暗号化という方法を使用するクライアント側のツールキットと統合されています。この方法では、データの暗号化に使用され、KMS のマスターキーを使用してそれ自身が暗号化されるデータキーを KMS が生成します。KMS によるデータキーの保持や管理はありません。AWS サービスは、データを暗号化し、暗号化されたデータキーのコピーを保護するデータと共に保存します。サービスがデータを復号化する必要がある場合は、マスターキーを使用してデータキーを復号化するように KMS に要求します。AWS サービスからのデータを要求しているユーザーが、マスターキーポリシーで復号化の権限を付与されている場合は、AWS サービスは、データを復号化して平文で返却できる KMS から復号化されたデータを受信します。マスターキーの使用リクエストはすべて AWS CloudTrail に記録されるため、誰が、いつ、どんな状況で、どのキーを使用したかを把握できます。

Q: AWS KMS を使用した場合、データはどこで暗号化されるのですか?
AWS KMS を使用してデータを暗号化する方法には、通常 3 つのシナリオがあります。まず最初に、KMS API を直接使用し、KMS に保存されているマスターキーを使ってデータの暗号化と復号化ができます。2 番目は、KMS に保存されているマスターキーを使用して、AWS サービスにデータを暗号化させることを選択できます。この場合、データは KMS のマスターキーで保護されているデータキーを使用して暗号化されます。3 番目は、AWS KMS と統合されている AWS Encryption SDK を使用して、ユーザー独自のアプリケーションが AWS 内で動作しているかどうかにかかわらず、アプリケーション内で暗号化が実行できます。

Q: どの AWS クラウドサービスが AWS KMS と統合されていますか?
AWS KMS は AWS の他のほとんどのサービスとシームレスに統合されており、それらのサービスでは簡単にデータを暗号化できます。お客様は、チェックボックスをオンにするだけです。データが、デフォルトでは、KMS に保管されているものの、問題になっている AWS サービスによって所有され、管理されているキーを使用して暗号化される場合もあります。多くの場合、マスターキーはユーザーのアカウント内で、ユーザーが所有し、管理します。サービスの中には、ユーザー自身でキーを管理したり、ユーザーのためにサービスがキーを管理するのを許可したりする選択肢を、ユーザーに与えるものもあります。現在 KMS と統合されている AWS のサービスのリストをご覧ください。統合されているサービスで AWS KMS が使用される方法の詳細については、AWS KMS 開発者ガイドを参照してください。

Q: なぜエンベロープ暗号化を使用するのですか? なぜ 単にAWS KMS に直接データを送信して暗号化しないのですか?
AWS KMS は 4 KB 未満のデータを直接暗号化して送信することをサポートしていますが、エンベロープ暗号化にはパフォーマンス面で多大なメリットがあります。AWS KMS で直接データを暗号化する場合、データをネットワーク経由で送信する必要があります。エンベロープ暗号化は、はるかに小さいデータキーの要求と送信がネットワークを行き交うだけなので、ネットワークの負荷が軽減します。データキーは、アプリケーション内または AWS サービスの暗号化の際にローカルに使用されるので、データブロック全体を KMS に送信してネットワークの待ち時間に耐える必要がなくなります。

Q: 自分で作成したマスターキーと他の AWS サービスが自動的に作成したマスターキーにどんな違いがありますか?
AWS のサービスがお客様に代わってデータを暗号化する場合に、お客様は使用する特定のカスタマーマスターキー (CMK) を選択できます。これらはカスタマ―管理の CMK と呼ばれ、お客様が完全に管理します。ユーザーが各キーのアクセス制御と使用ポリシーを定義し、他のアカウントやサービスに使用許可を与えることができます。CMK を指定しなければ、最初にサービス内に暗号化されたリソースを作成しようとしたときに、問題になっているサービスが AWS 管理の CMK を作成します。AWS はユーザーのために、AWS 管理の CMK と関連するポリシーを管理します。ユーザーはアカウント内の AWS 管理のキーを追跡することができ、使用はすべて AWS CloudTrail にログされますが、キー自体を直接管理することはできません。

Q: なぜ独自のカスタマ―マスターキーを作成するべきなのですか?
AWS KMS で独自の CMK を作成すると、AWS 管理の CMK を使用するよりさらに厳重な管理ができます。カスタマ―管理の CMK を作成すると、使用するキーマテリアルを AWS KMS で生成するか、AWS CloudHSM クラスターで生成するか、独自のキーマテリアルをインポートするか、選択できます。キーのエイリアスと説明を定義でき、キーが AWS KMS によって生成された場合は、1 年ごとに自動で更新されることを選択できます。また、あらゆる権限を設定してキーを使用または管理できるユーザーを制限できます。

Q: AWS KMS にキーをインポートすることはできますか?
はい。独自のキー管理インフラストラクチャから AWS KMS にキーのコピーをインポートして、統合された AWS のサービスで、または独自のアプリケーションでそれを使用できます。

Q: インポートされたキーはどのような場合に使用するのですか?
インポートされたキーを使用して、AWS KMS におけるキーの作成、ライフサイクル管理、および耐久性をより確実にコントロールできます。インポートされたキーは、コンプライアンス要件を満たすように設計されています。これには、インフラストラクチャのキーの安全なコピーを生成または維持する機能、および AWS インフラストラクチャからキーのインポートのコピーを直接削除する機能が含まれます。

Q: どのような種類のキーをインポートできますか?
256 ビットの対称キーをインポートできます。

Q: AWS KMS にインポートされるキーは転送中に保護されていますか?
インポート処理中、キーは、2 つの RSA PKCS#1 スキームのいずれかを使用して、AWS KMS が提供するパブリックキーでラップする必要があります。こうすれば、暗号化キーは AWS KMS 以外では復号できなくなります。

Q: 自身がインポートしたキーと AWS KMS により生成されたキーはどう違うのですか?
大きな違いは次の 2 点です。

  1. KMS にキーをインポートする場合は、随時それを再インポートできるように、キーのコピーをキー管理インフラストラクチャに維持する責任があります。ただし、AWS KMS により生成したキーの場合は、ユーザーがそのキーの削除を予定に入れるまで、AWS によりキーの可用性、セキュリティ、および耐久性が保証されます。
  2. インポートしたキーには有効期限を設定できます。有効期間を過ぎると、AWS KMS は自動的にキーマテリアルを削除します。インポートしたキーマテリアルをオンデマンドで削除することもできます。どちらも場合でも、キーマテリアル自体は削除されますが、キーマテリアルが将来再度インポートできるように、KMS の CMK リファレンスと関連するメタデータは保持されます。AWS KMS によって生成されたキーには有効期限はなく、すぐに削除することはできません。7 日から 30 日の待機期間が必須です。カスタマ―管理の CMK はすべて、キーマテリアルがインポートされたものかどうかに関わらず、手動で無効にすることも、削除予定を設定することも可能です。この場合、内在するキーマテリアルだけでなく、CMK自体が削除されます。

Q: キーをローテーションできますか?
はい。キーが AWS KMS により生成された場合は、AWS KMS が CMK を毎年自動的にローテーションするように設定できます。インポートされたキーや KMS カスタムキーストア機能を使用して AWS CloudHSM で生成されたキーには、自動的なキーのローテーションはサポートされません。AWS KMS にキーをインポートすることを選択したり、カスタムキーストアを使用したりする場合は、新しい CMK を作成して、キーのエイリアスを古いキーから新しいキーにマッピングして、必要になった場合は、手動でローテーションできます。

Q: AWS KMS のキーがローテーションされたあと、再度暗号化する必要がありますか?
AWS KMS がキーを自動的にローテーションすることを選択した場合は、データを再暗号化する必要はありません。AWS KMS は過去のバージョンのキーを自動的に保管して、そのキーで暗号化されたデータを復号化できるようにします。AWS KMS のキーに対する新しい暗号化リクエストは、すべて最新バージョンのキーで実行されます。

インポートされたキーまたはカスタムキーストアのキーを手動でローテーションする場合は、古いバージョンのキーを利用可能にするかどうかによって、データの再暗号化の必要がある場合があります。

Q: AWS KMS のキーを削除できますか?
はい。AWS KMS で作成したお客様のマスターキーと関連するメタデータは削除を予定できます。削除までの待機期間は 7 ~ 30 日の間に設定できます。この待機期間中に、キーを削除することによって、そのキーを使用しているアプリケーションとユーザーが受ける影響を確認できます。デフォルトの待機期間は 30 日です。待機期間中にキーの削除をキャンセルすることもできます。削除を予定したキーを使用することはできません。ただし、待機期間中に削除をキャンセルした場合はその限りではありません。キーは、削除をキャンセルしない限り、待機期間 (設定可能) の最後に削除されます。削除されたキーは使用できなくなります。削除されたマスターキーで保護されているデータはすべてアクセスできなくなります。

お客様のマスターキーがインポートされたキーマテリアルの場合は、2 つの方法でお客様のマスターキー ID とメタデータを削除せずにキーマテリアルを削除できます。1 つは、待機期間なしで、オンデマンドでインポートされたキーマテリアルを削除する方法です。2 つ目は、お客様のマスターキーにキーマテリアルをインポートする際に、AWS でインポートされたキーマテリアルを使用できる有効期限を定義する方法です。再度使用する必要が発生した場合は、キーマテリアルをお客様のマスターキーに再インポートできます。

Q: インポートされたキーマテリアルの有効期限が切れた場合、または誤って削除した場合はどうすればよいですか?
元のお客様のマスターキーを使って、有効な有効期限が付いたキーマテリアルのコピーを AWS KMS に再インポートできます。そうすれば、再び使用できるようになります。

Q: キーを再インポートする必要性が発生した場合は、アラートが発せられますか?
はい。キーを一旦お客様のマスターキーにインポートすると、インポートされたキーの有効期限までの時間を知らせる Amazon CloudWatch メトリクスが数分ごとに届きます。また、お客様のマスターキーにインポートされたキーの有効期限が切れると、Amazon CloudWatch イベントが送信されます。可用性のリスクを回避するために、こうしたメトリクスとイベントに基づいて動作し、新しい有効期間で自動的にキーを再インポートするロジックを構築できます。

Q: AWS KMS を使用して、AWS クラウドサービス以外のデータ暗号化を管理できますか?
はい。AWS KMS は AWS SDK、AWS Encryption SDK、Amazon DynamoDB Client-side Encryption、および Amazon S3 Encryption Client でサポートされており、実行されている場所を問わずユーザー独自のアプリケーションのデータ暗号化を可能にします。詳しくは、AWS Crypto Tools および Developing on AWS のウェブサイトをご覧ください。

Q: AWS KMS で作成できるキーの数に上限はありますか?
各リージョンのアカウントごとに最大 1,000 個のお客様のマスターキーを作成していただけます。有効および無効にされているお客様のマスターキーの合計数が上限に近づいたら、無効にされ使用しなくなったキーを削除することをお勧めします。AWS サービスで使用するためにお客様に代わって作成される AWS 管理のマスターキーはこの数に含まれません。マスターキーで作成され、アプリケーションまたは AWS サービスでお客様に代わってデータを暗号化するデータキーの数に上限はありません。AWS サポートセンターで、お客様マスターキーの上限を引き上げるリクエストができます。

Q: AWS KMS はサービスレベルアグリーメント (SLA) を提供しますか?
はい。AWS KMS SLA では、ある請求期間中において、月間稼働率がサービスコミットメントを下回った場合にサービスクレジットを提供するよう定められています。

カスタムキーストア

Q: カスタムキーストアとは何ですか?
AWS KMS カスタムキーストア機能は AWS CloudHSM によって提供された制御機能を AWS KMS の一元化や使いやすさと結び付けます。独自の CloudHSM クラスターを設定し、デフォルトの KMS キーストアというよりは、お使いのキーの専用のキーストアとして使用することを KMS に許可します。KMS にキーを作成すると、CloudHSM クラスターでキーマテリアルを生成することを選択できます。カスタムキーストアで生成したマスターキーは、CloudHSM クラスターの HSM を平文のままにして置くことは絶対になく、こうしたキーを使用する KMS 操作はお使いの HSM だけで実行されます。他のあらゆる点において、カスタムキーストアに保管されたマスターキーは、他の KMS CMK と一致します。

カスタムキーストアを使用するのが適切であるかどうか判断するためのもう 1 つのガイダンスが、このブログに記載されています。

Q: なぜカスカムキーストアを使用する必要があるのですか?
AWS CloudHSM クラスターを管理しているので、KMS とは無関係に AWS KMS マスターキーのライフサイクルを管理するオプションがあります。カスタムキーストアが便利だと分かる理由が 4 つあります。まず、明らかにシングルテナントの HSM か直接管理する HSM で保護することが必要なキーがある場合があります。第 2 に、FIPS 140-2 レベル 3 全体が検証された HSM に保管することが必要なキーがある場合があります(標準の KMS キーストアに使用される HSM はレベル 2 認証されていて、複数のカテゴリではレベル 3 です)。第 3 に、キーマテリアルを KMS からすぐに削除し、自律的な方法でそれを証明できることが必要な場合があります。最後に、KMS または AWS CloudTrail とは無関係に、使用しているすべてのキーを監査できるという要件がある場合があります。

Q: カスタムキーストアは、キーの管理方法に影響しますか?
カスタムキーストアのキーの管理を、デフォルト AWS KMS キーストアと比較すると、2 つの相違点があります。キーマテリアルをカスタムキーストアにインポートすることはできないので、KMS に自動でキーをローテンションさせることはできません。生成可能なキーの種類、キーがエイリアスを使用する方法、ポリシーの定義方法など、他のあらゆる点において、カスタムキーストアに保管されたキーは、他の KMS カスタマ―管理の CMK と同じ方法で管理されます。

Q: カスタムキーストアを使用して AWS 管理のカスタマーマスターキーを保管できますか?
いいえ、AWS KMS のカスタムキーストアに保管し、管理することができるのは、カスタマー管理の CMK だけです。他の AWS サービスがユーザーのために作成してデータを暗号化する AWS 管理の CMK は、常に KMS のデフォルトのキーストアで生成され、保存されます。

Q: カスタムキーストアは、キーの使用方法に影響しますか?
いいえ、AWS KMS に CMK を使用してデータの暗号化と復号化をするように要求する API は、同じように処理されます。認証と許可の処理は、キーが保管されている場所とは無関係に作動します。カスタムキーストアでキーを使用するアクティビティはすべて、同じように AWS CloudTrail にもログされます。ただし、実際の暗号化動作は、カスタムキーストアまたはデフォルトの KMS キーストアのいずれか一方だけで起きます。

Q: どうすれば。カスタムキーストアでのキーの使用を監査できますか?
AWS KMS が AWS CloudTrail にログするアクティビティに加えて、カスタムキーストアの使用には、3 種類以上の監査メカニズムがあります。まず最初に、AWS CloudHSM もすべての API アクティビティを CloudTrail にログします。たとえば、クラスターの作成、HSM の追加、HSM 削除などです。第 2 に、各クラスターもまた、ユーザーとキー管理アクティビティを記録するために、独自のローカルログを残します。第 3 に、CloudHSM インスタンスは、ローカルユーザーとキー管理アクティビティを AWS CloudWatch にコピーします。

Q: カスタムキーストアを使用すると、キーの利用可能性にどのような影響がありますか?
AWS KMS カスタムキーストアを使用すると、ユーザーはキーが KMS の使用に利用できるかどうか確認する責任があります。CloudHSM の設定でエラーになったり、AWS CloudHSM クラスター内のキーマテリアルを削除したりすると、可用性に影響が出る可能性があります。使用する HSM の数とアベイラビリティーゾーン (AZ) の選択も、クラスターの復旧に影響します。どんなキー管理システムの場合でも、キーの利用可能性がどのように、暗号化されたデータのリカバリーに影響する可能性があるかを把握するのは重要です。

Q: カスタムキーストアに関係がある性能の制限はなんでしょう?
AWS KMS API コール経由で使用できる AWS KMS カスタムキーストアにキーが保存された比率は、デフォルトの AWS KMS キーストアにキーが保存された比率より低いのです。現在の 性能の制限 については、AWS Key Management Service 開発者ガイドを参照してください。

Q: カスタムキーストアの使用に関係するコストは何ですか?
AWS KMS の価格 にはカスタムキーストアの使用による影響はありません。ただし、各カスタムキーストアを使用するには、AWS CloudHSM クラスターに少なくとも 2 つの HSM が必要となります。こうした HSM は、標準の AWS CloudHSM 価格の代金を請求されます。カスタムキーストアの使用に追加料金はかかりません。

Q: カスタムキーストアの設定をするのに、どんなスキルとリソースが追加で必要となりますか?
カスタムキーストアの使用を希望する AWS KMS ユーザーは、AWS CloudHSM クラスターを設定し、HSMを追加しHSM ユーザーを管理する必要がありバックアップから HSM のリストアを行う場合もあります。これらはセキュリティ性の高い作業なので、必ず適切なリソースと組織管理がすべて整っている必要があります。

Q: カスタムキーストアにキーをインポートすることはできますか?
いいえ、独自のキーマテリアルを AWS KMS カスタムキーストアにインポートする機能はサポートされていません。カスタムキーストアに保存されたキーは、お使いの AWS CloudHSM クラスターを形成する HSM で生成できるだけです。

Q: デフォルトの KMS キーストアとカスタムキーストアの間でキーを移動できますか?
いいえ、種類の違う AWS KMS キーストアの間でキーを移動する機能は、現在サポートされていません。独自のキーマテリアルをデフォルトの KMS キーストアにインポートする場合を除いて、キーはすべて使用するキーストアで作成する必要があります。

Q: カスタムキーストアに保管されたキーをローテンションできますか?
AWS KMS カスタムキーストアのキーマテリアルを自動的にローテーションする機能はサポートされていません。キーローテーションは、新しいキーを作成し、将来の暗号化操作にその新しいキーを使用するために、アプリケーションコードで使用される KMS キーエイリアスをマッピングすることで、手動で実施する必要があります。

Q: AWS CloudHSM クラスターを他のアプリケーションに使用できますか?
はい、AWS KMS だけで AWS CloudHSM cluster を独占的に利用する必要はありません。すでにクラスターを所有している場合は、カスタムキーストアとして使用しながら、他のアプリケーションでもそれを使用し続けることができます。ただし、お使いのクラスターが KMS 以外に負荷の高い作業をサポートしている場合は、カスタムキーストアで KMS マスターキーを使用する操作で、スループットの低下を経験する場合があります。同様に、カスタムキーストアへの KMS 要求の比率が高いと、他のアプリケーションに影響が出る可能性があります。

Q: AWS CloudHSM の詳細を知るにはどのようにすれば良いですか?
サービスの概要については、AWS CloudHSM ウェブサイトをアクセスしてください。サービスの設定と使用の詳細については、AWS CloudHSM ユーザーガイドを参照してください。 

請求

Q: AWS KMS の利用料金の計算と請求はどのように行われるのですか?
AWS KMS については、お客様が使用した分に対してのみ料金が発生します。最低料金はありません。サービスの利用を開始するためのセットアップ料金や契約はありません。月末に、その月の使用料金が自動的にお客様のクレジットカードに請求されます。

作成したカスタマ―マスターキー (CMK) すべて、および毎月のサービスに対して行われた API リクエストで無料利用枠を超過した分を請求できます。

価格情報については、AWS KMS の料金ページをご覧ください。

Q: 無料利用枠はありますか?
はい。AWS の無料利用枠を利用すれば、すべてのリージョンで AWS KMS の使用を無料で開始できます。AWS サービスによってお客様のために作成された AWS 管理のマスターキーは、無料でお客様のアカウントに保存できます。使用に対しても無料利用枠があり、毎月無料で決められた数のリクエストを AWS KMS に発信できます。無料利用枠も含め、現在の料金情報は、AWS KMS の料金ページをご覧ください。

Q: 料金は税込み価格ですか?
別途記載がない限り、表示される料金に VAT、売上税を含む税金等および関税は一切含まれません。日本の居住者であるお客様が AWS サービスをご利用になった場合には、料金とあわせて別途消費税をご請求させていただきます。詳細については、こちらを参照してください。

セキュリティ

Q: AWS KMS では誰がキーを使用および管理できますか?
AWS KMS はお客様が定義した使用および管理ポリシーを実行します。お客様のアカウントまたは別のアカウントの AWS Identity and Access Management (IAM) のユーザーおよびロールに対してキーの使用および管理を許可できます。

Q: AWS は AWS KMS 内で作成したマスターキーのセキュリティをどのように確保するのですか?
AWS KMS は、誰も、AWS の従業員でさえサービスからプレーンテキストのマスターキーを取得できないように設計されています。このサービスは FIPS 140-2 で検証されたハードウェアセキュリティモジュール (HSM) を使用して、ユーザーがキーを作成またはユーザー自身のサービスにインポートするために、AWS KMS または AWS CloudHSM のいずれを使用したかにかかわらず、そのキーの機密性と整合性を保護します。HSM に残っているユーザーのプレーンテキストキーがディスクに書き込まれることはなく、ユーザーがリクエストする暗号化操作の実行に必要な時間に HSM の揮発性メモリでのみ使用されます。AWS KMS のキーは、作成された AWS リージョンから移動されることはありません。サービスホストのソフトウェアと AWS KMS HSM ファームウェアへのアップデートは、アマゾン内の独立したグループおよび FIPS 140-2 を順守した NIST 認証のラボによる監査と確認がなされたマルチパーティーアクセスコントロールでコントロールされています。

セキュリティ管理に関する詳細は、AWS KMS Cryptographic Details whitepaperをご覧ください。AWS KMS HSM に対する FIPS 140-2 証明書は、関連するセキュリティポリシーと共に確認して、AWS KMS HSM がどのようにして FIPS 140-2 のセキュリティ要件を満たしているかの詳細を確認できます。さらに、AWS アーティファクトから Service Organization Controls (SOC) レポートのコピーをダウンロードすることで、AWS KMS がマスターキーの保護に使用しているセキュリティ管理方法について詳しくご確認いただけます。

Q: 既存の AWS KMS マスターキーは FIPS 140-2 の検証した HSM で使うように移行するにはどうすればよいですか?
AWS KMS 内のマスターキーはすべて、作成日や作成元に関わらず、自動的に FIPS 140-2 で検証された HSM で保護されています。FIPS 140-2 で検証された HSM を使うためにユーザーが行うことはありません。

Q: どの AWS リージョンに FIPS 140-2 で検証された HSM がありますか?
FIPS 140-2 で検証された HSM は、AWS KMS が提供されているすべての AWS リージョンでご利用いただけます。

Q: FIPS 140-2 で検証されたエンドポイントと、AWS KMS 内の FIPS 140-2 で検証された HSMとの違いは何ですか?
AWS KMS は 2 階層のサービスです。API エンドポイントは、完全な前方秘匿性をサポートする TLS 暗号スイートのみを用いた HTTPS 接続上でのクライアントリクエストを受け取ります。これらの API エンドポイントは、AWS KMS HSM または KMS カスタムキーストア機能を使用している場合は AWS CloudHSM クラスターに、リクエストを暗号化操作のために送る前に、これを認証、承認します。

Q: AWS KMS への API リクエストを、FIPS 140-2 で検証されたエンドポイントを用いて行うにはどうすればいいですか?
お使いのアプリケーションを、リージョンのユニークな FIPS 140-2 で検証された HTTPS エンドポイントに接続するように設定します。AWS KMS FIPS 140-2 で検証された HTTPS エンドポイントは OpenSSL FIPS オブジェクトモジュールを用いています。OpenSSL モジュールのセキュリティポリシーは次で確認できます: https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf。FIPS 140-2 で検証された API エンドポイントは、AWS KMS の提供されているすべての商用リージョンでご利用いただけます。

Q: AWS KMSを使用して Payment Card Industry Data Security Standard (PCI DSS 3.1) に定められた暗号化とキー管理の要件に準拠することは可能ですか?
はい。AWS KMS は、暗号化とキー管理要件 (主に PCI DSS 3.1 のセクション 3.5 と 3.6 で言及されている) を満たすのに役立つ機能とセキュリティ管理を有していると検証されています。

AWS の PCI DSS 準拠サービスの詳細については、PCI DSS のよくある質問を参照してください。

Q: AWS KMS は、エクスポートしてアプリケーションで使用するデータキーをどのように保護するのですか?
AWS KMS がデータキーを生成し、お客様独自のアプリケーションで使用するために返却するようにリクエストできます。データキーはお客様が AWS KMS で定義したマスターキーによって暗号化されます。そのため、暗号化されたデータキーは暗号化されたデータと合わせて安全に保存できます。暗号化されたデータキー (およびソースデータ) は、暗号化されたデータキーの復号化に使用されたオリジナルのマスターキーの使用許可を与えられたユーザーのみが復号化できます。

Q: AWS KMS が生成するキーの長さはどのくらいですか?
AWS KMS のマスターキーの長さは 256 ビットです。データキーは 128 ビットまたは 256 ビットの長さで、お客様が定義したマスターキーで暗号化されます。また AWS KMS を使用すれば、暗号化に適したランダムデータをお客様が定義した長さで生成できます。

Q: AWS KMS からマスターキーをエクスポートして独自のアプリケーションで使用できますか?
いいえ。マスターキーは AWS KMS でのみ作成および使用することにより、セキュリティを固め、ポリシーを一貫して適用し、一元化した使用状況のログを作成できます。

Q: どの地理的リージョンにキーが保存されますか?
AWS KMS によって生成されたキーは、作成されたリージョンでのみ保存および使用されます。他のリージョンに移動することはできません。たとえば、欧州中央 (フランクフルト) リージョンで作成されたキーは欧州中央 (フランクフルト) でのみ保存および使用できます。

Q: AWS KMS でキーを使用または設定変更したユーザーをどのように確認できますか?
AWS CloudTrail のログは、管理リクエスト (作成、更新、無効化、ポリシーの編集など) および暗号化リクエスト (暗号化または解読) など、すべての KMS API リクエストを表示します。アカウントで AWS CloudTrail を有効にすればこのログを確認できます。

Q: AWS KMS と AWS CloudHSM にはどのような違いがありますか?
AWS CloudHSM では、Amazon Virtual Private Cloud (VPC) でのキーの保存と使用のために、FIPS 140-2 レベル 3 全体が検証済みシングルテナント HSM クラスターを利用できます。ユーザーは、AWS とは独立した認証メカニズムで、ユーザーのキーがどのように使われるかについて自分だけのコントロールができます。ユーザーは、Amazon EC2 で実行するアプリケーションを操作するのと同様のやり方で、ユーザーの AWS CloudHSM クラスター内のキーを操作します。AWS CloudHSM を使用して様々なユースケースをサポートでき、これには Digital Rights Management (DRM)、パブリックキーインフラストラクチャー (PKI)、ドキュメントへの署名、また PKCS#11、Java JCE、またはMicrosoft CNG インターフェイスを用いた暗号化機能などを含みます。

AWS KMS では、アプリケーションおよびサポートされている AWS サービスが世界中の複数のリージョンで使用する暗号化キーを単一のコンソールから作成、制御できます。これらのサービスは FIPS 140-2 で検証された HSM を用いて、キーのセキュリティを保護します。AWS KMS ですべてのキーを一元管理することにより、キーを使用できるユーザーとその条件、更新する時期、管理できるユーザーを設定できます。AWS KMS は AWS CloudTrail との統合により、キーの使用状況の監視を可能にし、規制およびコンプライアンスを満たすために役立ちます。アプリケーションからの AWS KMS の操作は、直接サービス API を呼び出す場合は AWS SDK を用いて行い、クライアント側の暗号化をする場合は、KMS と統合された他の AWS サービス経由か AWS 暗号化 SDK を用いて行います。

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金に関する詳細

料金の例を参照し、コストを計算してください。

詳細はこちら 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
AWS コンソールで構築を開始する

AWS コンソールで AWS Key Management Service の構築を開始する

サインイン