AWS KMSとは、AWS内のサービスで利用可能な暗号化キーを作成・管理・保管するマネージドサービス。

(基本的な用語)

カスタマーマスターキー(CMK)：暗号鍵の一番上

データキー：暗号化に利用。漏れたらまずいので使い捨て。

エンクリプトデーターキー：CMKで暗号化されたデータキー。復号する際に利用。何度も利用。

キーマテリアル：暗号化アリゴリズムで使用されるビット単位のシークレット文字列。CMKのメタデータ（作成日など）を除いた部分。

HSM：暗号以下処理を行う場所。

サーバ側暗号化：ディスク保存時に暗号化し、ダウンロード時に復号化する。

クライアント側暗号化：クライアント側で暗号化し、AWS側にアップロードする。

(カスタマーマスターキーの種類)

カスタマー管理(カスタマーマネージドキー)：キーローテが1年ごと。

AWS管理(AWSマネージドキー)：AWSが作成、管理。キーの名称が「aws」で始まる。キーローテは3年ごと。

AWS所有キー：AWSが所有する。キーローテをユーザで管理することはできない。

ーーーAWS CloudHSMは専用のハードウェア上で暗号化処理を行うーーー