概要

AWS Key Management Service (KMS) は、データを保護するための暗号化キーの一元管理を可能にします。AWS KMS は AWS サービスと統合されており、これらのサービスに格納されているデータの暗号化と、それを復号するキーへのアクセスを制御します。AWS KMS は AWS CloudTrail とも統合されており、誰がどのキーを、どのリソースで、いつ使用したかを監査できます。開発者はまた、AWS KMS を使用すると、サービス API の暗号化と復号化を直接実行しても、AWS Encryption SDK と統合しても、どちらでもアプリケーションコードに簡単に暗号化機能を追加できます。

一元キー管理

AWS Key Management Service は暗号化キーを一元管理します。カスタマーマスターキー (CMK) は、データを暗号化および復号化するデータ暗号化キーへのアクセスを制御するために使用されます。必要に応じて新しいマスターキーを作成し、誰がアクセスできるのか、どのサービスを使用できるのかを簡単に管理できます。また、独自のキー管理インフラストラクチャのキーを AWS KMS にインポートしたり、AWS CloudHSM クラスターに格納されたキーを使用して AWS KMS から管理できます。AWS マネジメントコンソールから、または AWS SDK か AWS コマンドラインインターフェイス (CLI) を使用して、マスターキーを管理し、使用状況を監査できます。

AWS KMS のキーは、KMS 内で作成されたか、CloudHSM クラスターで作成されたか、ユーザーがインポートしたものかに関わらず、必要に応じて使用できるように、暗号化された形式で高い耐久性のストレージに格納されます。AWS KMS は、すでにマスターキーで暗号化されたデータを再暗号化する必要なく、年に 1 回 KMS 内で作成されたマスターキーを自動的にローテーションさせることができます。KMS が以前のバージョンのマスターキーを有効にして過去に暗号化したデータを復号するため、お客様が以前のバージョンを管理する必要はありません。

AWS のサービスの統合

AWS KMS は、ほとんどの AWS のサービスとシームレスに統合されています。これにより、KMS のマスターキーを使用して、これらのサービスに格納するデータの暗号化を簡単に制御できます。サービス内のデータを暗号化する際は、そのサービスによって KMS で自動的に作成された AWS 管理マスターキーを使用することを選択できます。キーの使用状況を追跡できますが、その場合もサービスが代わりに管理してくれます。

マスターキーのライフサイクルを直接制御する必要がある場合や、他のアカウントでマスターキーを使用可能にする場合は、AWS サービスがユーザーの代わりに使用できる独自のマスターキーを作成して管理します。これらのカスタマーマネージドマスターキーは、キーを使用できるユーザーと条件を決定するアクセス許可を完全に制御します。

KMS と統合されている AWS のサービス
Alexa for Business* Amazon EMR Amazon S3
Amazon Athena Amazon FSx for Windows File Server Amazon SageMaker
Amazon Aurora Amazon Glacier Amazon Simple Email Service (SES)
Amazon CloudWatch Logs Amazon Kinesis Data Streams Amazon Relational Database Service (RDS)
Amazon Comprehend* Amazon Kinesis Firehose Amazon Simple Notification Service (SNS)
Amazon Connect Amazon Kinesis Video Streams Amazon Simple Queue Service (SQS)
Amazon DocumentDB Amazon Lex Amazon Translate
Amazon DynamoDB* Amazon Lightsail* Amazon WorkMail
Amazon DynamoDB Accelerator (DAX)* Amazon Managed Streaming for Kafka (MSK) Amazon WorkSpaces
Amazon EBS Amazon MQ AWS Backup
Amazon EFS Amazon Neptune AWS Certificate Manager*
Amazon Elastic Transcoder Amazon Personalize AWS Cloud9*
Amazon Elasticsearch Service Amazon Redshift AWS CloudTrail
AWS CodeCommit* AWS Glue AWS Snowball Edge
AWS CodeDeploy AWS Lambda AWS Snowmobile
AWS CodePipeline AWS Secrets Manager AWS Storage Gateway
AWS CodeBuild AWS Systems Manager AWS X-Ray
AWS Database Migration Service AWS Snowball  

*AWS 管理の KMS キーのみをサポートします。

** Sinnet により運営される AWS 中国 (北京) リージョンおよび NWCD により運営される AWS 中国 (寧夏) リージョンでの KMS と統合されたサービスの一覧については、中国での AWS KMS サービスの統合をご覧ください。 

上記リストにない AWS のサービスでは、各サービスが所有および管理するキーを使用して顧客データを自動的に暗号化します。

監査機能

AWS アカウントで AWS CloudTrail を有効にしている場合、AWS KMS に対する各リクエストは、AWS CloudTrail を有効にしたときに指定した Amazon S3 バケットに送信されるログファイルに記録されます。記録される情報には、ユーザーの詳細、時間、日付、API アクション、関連する場合には使用されるキーが含まれます。

スケーラビリティ、耐久性、高可用性

AWS KMS は、完全マネージド型サービスです。暗号化の使用が増加すると、KMS はそのニーズに合わせ自動的に拡張されます。AWS KMS なら、アカウント内の数千規模のマスターキーを管理し、いつでも使用できます。AWS KMS では、キーの数と要求レートのデフォルト制限を定義していますが、必要に応じて制限を増やすようにリクエストできます。

AWS KMS で作成したマスターキーや、ユーザーの代わりに他の AWS サービスが作成したマスターキーは、サービス内からエクスポートできません。したがって、KMS は耐久性に責任を負います。キーおよびデータの可用性を高めるために、KMS は 99.999999999% の耐久性を持つように設計されたシステムに、キーの暗号化されたバージョンの複数のコピーを格納します。

KMS にキーをインポートすれば、マスターキーの安全なコピーを保存するため、必要なときに使用できない場合は再インポートできます。KMS でカスタムキーストア機能を使用して AWS CloudHSM クラスターにマスターキーを作成すると、キーの暗号化されたコピーが自動的にバックアップされ、回復プロセスを完全に制御できます。

AWS KMS は、リージョンの API エンドポイントで高可用性サービスとして設計されています。ほとんどの AWS サービスは 暗号化および複合化サービスに関してAWS KMS に依存しているため、残りの AWS をサポートするレベルの可用性を提供するように設計されており、AWS KMS サービスレベルアグリーメントで保証されています。

セキュア

AWS KMS は、誰も、AWS の従業員でさえもサービスからプレーンテキストのキーを取得できないように設計されています。このサービスは FIPS 140-2 で検証された、または検証中のハードウェアセキュリティモジュール (HSM) を使用して、KMS が代わりに作成するようリクエストしたキーか、AWS CloudHSM クラスターに作成したものか、サービスにインポートしたキーかに関わらず、その機密性と整合性を保護します。ユーザーのプレーンテキストキーがディスクに書き込まれることはなく、ユーザーがリクエストする暗号化操作の実行に必要な時間に HSM の揮発性メモリでのみ使用されます。KMS が作成したキーは、作成された AWS リージョンの外部には決して送信されず、作成されたリージョン内でのみ使用できます。KMS HSM ファームウェアの更新は、マルチパーティのアクセスコントロールによって制御されます。このアクセスコントロールは、FIPS 140-2 に準拠した NIST 認定ラボだけでなく、Amazon 内の独立したグループによって監査およびレビューされます。

AWS KMS がどのように構築されるか、およびキーを保護するために使用される暗号化の詳細については、ホワイトペーパー AWS Key Management Service の暗号化の詳細を参照してください。

* Sinnet により運営される AWS 中国 (北京) リージョンおよび NWCD により運営される AWS 中国 (寧夏) リージョンでは、HSM は中国政府承認済み (FIPS 140-2 検証なし) であり、上記の Cryptographic Details ホワイトペーパーは適用されません。 

カスタムキーストア

AWS KMS は、管理する HSM を使用して独自のキーストアを作成するオプションを提供します。各カスタムキーストアは、AWS CloudHSM クラスターによってバックアップされています。カスタムキーストアで KMS カスタマーマスターキー (CMK) を作成すると、KMS はユーザーが所有、管理している AWS CloudHSM クラスターに、CMK 用の抽出不可能なキーマテリアルを生成して格納します。カスタムキーストアで CMK を使用する場合、そのキーに基づく暗号化操作は CloudHSM クラスターで実行されます。

既定の KMS キーストアではなくカスタムキーストアに格納されているマスターキーは、KMS の他のマスターキーと同じ方法で管理され、カスタマーマネージド CMK をサポートするすべての AWS サービスで使用できます。

カスタムキーストアの使用には CloudHSM クラスターの追加コストが伴い、当該クラスター内のキーマテリアルの可用性についてはユーザーが責任を負うことになります。カスタムキーストアが要件に適しているかどうかについては、こちらのブログを参照してください。

* カスタムキーストアの機能は Sinnet 運営の AWS 中国 (北京) リージョン、NWCD 運営の AWS 中国 (寧夏) リージョンでは利用できません。

コンプライアンス

AWS KMS のセキュリティコントロールと品質管理は、以下のコンプライアンススキームによって検証および認定されています。

  • AWS Service Organization Controls (SOC 1、SOC 2、および SOC 3) レポート。これらのレポートのコピーは AWS Artifactからダウンロードできます。
  • PCI DSS レベル 1。AWS の PCI DSS 準拠サービスの詳細については、PCI DSS のよくある質問を参照してください。
  • ISO 27001.AWS の ISO 27001 準拠サービスの詳細については、ISO-27001 のよくある質問を参照してください。
  • ISO 27017。AWS の ISO 27017 準拠サービスの詳細については、ISO-27017 のよくある質問を参照してください。
  • ISO 27018。AWS の ISO 27018 準拠サービスの詳細については、ISO-27018 のよくある質問を参照してください。
  • ISO 9001。AWS の ISO 9001 準拠サービスの詳細については、ISO-9001 のよくある質問を参照してください。
  • FIPS 140-2.ファームウェアバージョン 1.4.4 を実行している暗号モジュールでは、FIPS 140-2 レベル 2 全体と、物理セキュリティを含む複数のその他のカテゴリのレベル 3 で認定を取得しています。詳細については、AWS KMS HSM に対する FIPS 140-2 の証明書と関連するセキュリティポリシーを参照してください。
  • FedRAMPAWS FedRAMP コンプライアンスの詳細については、FedRAMP コンプライアンスを参照してください。
  • HIPAA.詳細については、HIPAA への準拠ページを参照してください。
 
* FIPS 140-2 は、中国リージョンの KMS には適用されません。代わりに、中国リージョンのハードウェアセキュリティモジュールは、中国政府によって使用が承認されています。
Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細

料金の例を参照し、コストを計算してください。

詳細はこちら 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
AWS コンソールで構築を開始する

AWS コンソールで AWS Key Management Service の構築を開始する

サインイン