AWS Key Management Service(AWS KMS)
Overview
AWS KMSはデータの保護に使用される暗号化キーの作成や制御を容易にしてくれるマネージドサービス。
KMSによって暗号化キーの生成や管理をより簡単に実施できる。
カスタマーキー�とAWSキー
AWS KMSにはカスタマーキーとAWSキーがある。
カスタマーマネージドキー
カスタマーマネージドキーは、アカウント所有者または利用者が作成するキー。
AWSアカウント内のKMSキーで、さまざまなポリシーやローテーションの設定、エイリアスの作成、削除などキー管理を完全に制御できます。
AWSマネージドキー
AWS KMSと統合されているAWSのサービスが作成、管理、使用するキー。
AWS CloudTrailログで監査できますが、キーの管理やローテーション、キーポリシーの変更はできない。
キーの管理やローテーション、キーポリシーの変更はできない。
また、暗号化オペレーションで直接使用できず、毎年自動的にローテーションされます
AWS所有のキー
AWSのサービスを使用するためにAWSによって所有および管理されているキー。
これを作成または管理する必要はなく、表示、使用、追跡、監査もできません。
また課金やクォータに対するカウントもされません。
キーの作成
作成できるキーは、暗号化の際に使用するデータの違いによりキータイプが異なる。
なお、暗号化設定は作成時のみ設定でき、作成後の変更はできません。
AWS KMSは複数のキータイプをサポートしている。
- 対称暗号化KMSキー
- 非対称KMSキー
- HMAC KMSキー
キーの削除
AWS KMSではマネジメントコンソールから、キーの有効化と無効化、キーの削除のスケジュール、タグの追加などが行える。
キーを削除してしまうと、その操作は本質的に元に戻せないため、そのキーを使って暗号化したデータは永久に復元できなくなり、データが回復不能になります。
そのため、誤ってキーを削除しないようにAWS KMSでは最低7日間から30日間の待機期間を設けている。
待機期間中、そのキーを使った暗号化または復号化はできません。
このような削除保留中のキーの使用が試みられたことを検知できるように、AWS CloudTrail、CloudWatch Logs、Amazon Simple Notification Service (Amazon SNS) の機能を組み合わせて通知できます。これにより、必要に応じてキーの削除を再検討できます。
セキュリティ
AWS KMSで作成したキーは、どの利用者からもAWS KMSサービスからキーを盗み出すことができないように設計されている。
AWS KMSで採用しているハードウェアセキュリティモジュール(HSM)はFIPS 140-2に準拠した機器を使用し、キーの機密性と完全性を保護している。
FIPS(Federal Information Processing Standard: 米国連邦情報の処理規格)140-2は、機密情報を保護する暗号化モジュールのセキュリティ要件を規定する米国およびカナダ政府の規格
監査
AWS KMSはCloudTrailと統合されており、キーの使用状況を監査するには、AWSアカウントでCloudTrailのログを有効にする必要がある。
これにより、KMS APIコールが自動的にファイルに記録され、指定したS3バケットに送信される。
CloudTrailによって収集された情報を使用すると、リクエスト・リクエストが行われたソースIPアドレス・実行者・実行日時などを確認できる。
これらの監査記録はセキュリティ事故が起きた際の分析などリスク管理や、コンプライアンス検証に役立てることができます。