概要

AWS Key Management Service (KMS) を利用すると、データ保護に使用される暗号化キーを一元管理できます。 AWS の他のサービスと統合されているため、これらのサービスに格納されているデータの暗号化と、こうした暗号を復号するキーへのアクセス制御が容易になります。AWS KMS は AWS CloudTrail とも統合されており、誰がどのキーを、どのリソースで、いつ使用したかを監査できます。開発者は AWS KMS を使用すると、暗号化機能やデジタル署名機能をアプリケーションコードに直接または AWS SDK を使用して簡単に追加できます。AWS Encryption SDK は、アプリケーション内でローカルにデータを暗号化または復号化する必要がある開発者向けのマスターキープロバイダーとして AWS KMS をサポートします。

一元キー管理

AWS KMS では、キーのライフサイクルと権限の一元管理ができます。必要なときにいつでも新しいキーを作成でき、キーの管理者と使用者をコントロールできます。AWS KMS によって生成されたキーを使用する代わりに、独自のキー管理インフラストラクチャのキーをインポートしたり、AWS CloudHSM クラスターに格納されたキーを使用したりできます。AWS KMS で生成されたマスターキーを 1 年に 1 度自動ローテーションするように選択すると、一度暗号化したデータを再び暗号化する必要がなくなります。こうしたデータの復号に利用できるように、古いマスターキーは自動的に保存されます。マスターキーの管理とその使用状況の監査は、AWS マネジメントコンソールから、 AWS SDK か AWS コマンドラインインターフェイス (CLI) を使用して行います。

* 非対称キーの場合、インポートするオプションは利用できません。

AWS のサービスの統合

AWS KMS は、ほとんどの AWS のサービスとシームレスに統合されています。統合ではエンベロープ暗号が使用されます。この方法では、データを暗号化するためにAWS サービスが使用するデータ暗号鍵はAWS KMS に格納されるカスタマーマスターキー (CMK) で保護されます。CMK には 2 種類あります。(i) AWS マネージド CMK。AWS のサービスで暗号化リソースを最初に作成したときに自動的に作成されます。ユーザーは AWS マネージド CMK の使用状況を追跡できますが、キーのライフサイクルと権限の管理は AWS が代行します。(ii) カスタマーマネージド CMK。ユーザーのみがこの CMK を作成し、キーのライフサイクルと権限 (使用できるユーザーと条件を決定) を全面的に管理できます。

AWS KMS と統合されている AWS のサービス
Alexa for Business* Amazon Elasticsearch Amazon Redshift AWS CodeBuild
Amazon AppFlow Amazon EMR Amazon Relational Database Service (RDS) AWS CodeCommit*
Amazon Athena Amazon Forecast Amazon S3 AWS CodeDeploy
Amazon Aurora Amazon Fraud Detector Amazon SageMaker AWS CodePipeline
Amazon CloudWatch Logs Amazon FSx for Windows File Server Amazon Simple Email Service (SES) AWS Database Migration Service
Amazon Comprehend Amazon GuardDuty Amazon Simple Notification Service (SNS) AWS Glue
Amazon Connect Amazon Kendra Amazon Simple Queue Service (SQS) AWS Lambda
Amazon DocumentDB Amazon Kinesis Data Streams Amazon Timestream AWS Secrets Manager
Amazon DynamoDB Accelerator (DAX)* Amazon Kinesis Firehose Amazon Transcribe AWS Snowball
Amazon DynamoDB Amazon Kinesis Video Streams Amazon Translate AWS Snowball Edge
Amazon EBS Amazon Lex Amazon WorkMail AWS Snowcone
Amazon EC2 Image Builder Amazon Lightsail* Amazon WorkSpaces AWS Snowmobile
Amazon EFS Amazon Macie AWS Backup AWS Storage Gateway
Amazon Elastic Container Registry (ECR) Amazon Managed Streaming for Kafka (MSK) AWS Certificate Manager* AWS Systems Manager
Amazon Elastic Kubernetes Service (EKS) Amazon MQ AWS Cloud9* AWS X-Ray
Amazon Elastic Transcoder Amazon Neptune AWS CloudTrail  
Amazon ElastiCache Amazon Personalize AWS CodeArtifact  

*AWS が管理する AWS KMS キーのみをサポートします。

** Sinnet により運営される AWS 中国 (北京) リージョンおよび NWCD により運営される AWS 中国 (寧夏) リージョンでの AWS KMS と統合されたサービスの一覧については、中国での AWS KMS サービスの統合をご覧ください。

上記リストにない AWS のサービスでは、各サービスが所有および管理するキーを使用して顧客データを自動的に暗号化します。

監査機能

AWS アカウントで AWS CloudTrail を有効にしている場合、AWS KMS に対する各リクエストは、AWS CloudTrail を有効にしたときに指定した Amazon S3 バケットに送信されるログファイルに記録されます。記録される情報には、ユーザーの詳細、時間、日付、API アクション、関連する場合には使用されるキーが含まれます。

スケーラビリティ、耐久性、高可用性

AWS KMS は、完全マネージド型サービスです。暗号化の使用が増加すると、ニーズに合わせてサービスが自動的に拡張されます。AWS KMS なら、アカウント内の数千規模のCMKを管理し、いつでも使用できます。AWS KMSでは、キーの数と要求レートのデフォルト制限が定義されていますが、必要に応じて制限を増やすようにリクエストできます。

ユーザー本人が作成したか、他の AWS サービスが作成を代行した CMK はサービスからエクスポートできないため、AWS KMS がその耐久性に責任を負います。キーおよびデータの可用性を高めるために、KMS は 99.999999999% の耐久性を持つように設計されたシステムに、キーの暗号化バージョンのコピーを複数格納します。

KMS にキーをインポートしておくことにより、CMK の安全なコピーが保存されるため、必要なときに使用できない場合は再インポートできます。カスタムキーストア機能を使用して AWS CloudHSM クラスターに CMK を作成すると、キーの暗号化されたコピーが自動的にバックアップされ、回復プロセスを完全に制御できます。

AWS KMS は、リージョンの API エンドポイントで高可用性サービスとして設計されています。AWS KMS は、ほとんどの AWS サービスの暗号化と復号化を一手に担っているため、残りの AWS をサポートし、AWS KMS サービスレベルアグリーメントで保証されるレベルの可用性を提供するように設計されています。

セキュア

AWS KMS では、AWS の従業員を含めて誰もこのサービスからプレーンテキストのキーを取得できないように設計されています。FIPS 140-2 に基づき検証済みまたは検証段階にあるハードウェアセキュリティモジュール (HSM) を使用して、キーの機密性と完全性を保護しています。この仕組みは、AWS KMS にキーの作成代行をリクエストする場合、 AWS CloudHSM クラスターでキーを作成する場合、AWS KMS にキーをインポートする場合のすべてに一律に適用されます。ユーザーのプレーンテキストキーがディスクに書き込まれることはなく、ユーザーがリクエストする暗号化処理の実行に必要な時間に HSM の揮発性メモリでのみ使用されます。AWS KMS が作成したキーは、作成された AWS リージョンの外部には決して送信されず、作成されたリージョン内でのみ使用できます。AWS KMS HSM ファームウェアの更新は、マルチパーティのアクセスコントロールによって制御されます。このアクセスコントロールは、FIPS 140-2 に準拠した NIST 認定ラボだけでなく、Amazon 内の独立したグループによって監査およびレビューされます。

AWS KMS がどのように構築されるか、およびキーを保護するために使用される暗号化の詳細については、ホワイトペーパー AWS Key Management Service の暗号化の詳細を参照してください。

* Sinnet により運営される AWS 中国 (北京) リージョンおよび NWCD により運営される AWS 中国 (寧夏) リージョンでは、HSM は中国政府承認済み (FIPS 140-2 検証なし) であり、上記の Cryptographic Details ホワイトペーパーは適用されません。 

カスタムキーストア

AWS KMS は、管理する HSM を使用して独自のキーストアを作成するオプションを提供します。各カスタムキーストアは、AWS CloudHSM クラスターによってバックアップされています。カスタムキーストアで CMK を作成すると、KMS はユーザーが所有、管理している AWS CloudHSM クラスターに、CMK 用のキーマテリアルを生成して格納します。カスタムキーストアで CMK を使用する場合、そのキーに基づく暗号化処理は AWS CloudHSM クラスターで実行されます。

カスタムキーストアに格納される CMK は、他の CMK と同様にユーザーによって管理され、AWS KMS と統合されるすべての AWS のサービスと併用できます。

カスタムキーストアの使用には AWS CloudHSM クラスターの追加コストが伴い、当該クラスター内のキーマテリアルの可用性についてはユーザーが責任を負うことになります。カスタムキーストアが要件に適しているかどうかについては、こちらのブログを参照してください。

* カスタムキーストアの機能は Sinnet 運営の AWS 中国 (北京) リージョン、NWCD 運営の AWS 中国 (寧夏) リージョンでは利用できません。

** カスタムキーストアオプションは、非対称タイプの CMK では利用できません。

非対称キー

AWS KMS を利用すると、非対称タイプの CMK とデータキーペアを作成・使用できます。また、署名用キーペアまたは暗号化用キーペアとして CMK を指定できます。指定した CMK を使用したキーペアの生成と非対称の暗号化処理は HSM 内で行われます。非対称 CMK の公開部分の使用はローカルアプリケーションでリクエストできますが、非公開部分は必ず AWS KMS でリクエストする必要があります。

AWS KMS に非対称データキーペアの生成をリクエストすることもできます。リクエストすると、パブリックキーとプライベートキーに加え、ユーザーが指定する対称タイプの CMK で暗号化されたプライベートキーのコピーのプレーンテキストコピーが返されます。このプレーンテキストのパブリックまたはプライベートキーはローカルアプリケーションで使用できます。また、将来使用するためにプライベートキーの暗号化コピーを保存することもできます。

* Sinnet 運営の AWS 中国 (北京) リージョン、NWCD 運営の AWS 中国 (寧夏) リージョンでは非対称キーは使用できません。

** 非対称キーではカスタムキーストアオプションを選択できません。

コンプライアンス

AWS KMS のセキュリティコントロールと品質管理は、以下のコンプライアンス制度によって検証および認定されています。

  • AWS Service Organization Controls (SOC 1、SOC 2、および SOC 3) レポート。これらのレポートのコピーは AWS Artifactからダウンロードできます。
  • PCI DSS レベル 1。AWS の PCI DSS 準拠サービスの詳細については、PCI DSS のよくある質問を参照してください。
  • FIPS 140-2。AWS KMS 暗号化モジュールは、すべが FIPS 140-2 レベル 2 で、検証済みまたは検証過程にあり、物理セキュリティを含む複数の他のカテゴリではレベル 3 で検証済みまたは検証過程にあります。詳細については、AWS KMS HSM に対する FIPS 140-2 の証明書と関連するセキュリティポリシーを参照してください。
  • FedRAMP。AWS FedRAMP コンプライアンスの詳細については、FedRAMP コンプライアンスを参照してください。
  • HIPAA.詳細については、HIPAA への準拠ページを参照してください。
 
AWS KMS の検証・認定に使用されている他のコンプライアンス制度のリストは、 こちらを参照してください。
 
* FIPS 140-2 は、中国リージョンの AWS KMS には適用されません。代わりに、中国リージョンのハードウェアセキュリティモジュールは、中国政府によって使用が承認されています。
Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細

料金の例を参照し、コストを計算してください。

詳細はこちら 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS コンソールで AWS Key Management Service の構築を開始する

サインイン