AWS Key Management Service(KMS)の整理
AWS KMSとは、AWS内のサービスで利用可能な暗号化キーを作成・管理・保管するマネージドサービス。
(基本的な用語)
カスタマーマスターキー(CMK):暗号鍵の一番上
データキー:暗号化に利用。漏れたらまずいので使い捨て。
エンクリプトデーターキー:CMKで暗号化されたデータキー。復号する際に利用。何度も利用。
キーマテリアル:暗号化アリゴリズムで使用されるビット単位のシークレット文字列。CMKのメタデータ(作成日など)を除いた部分。
HSM:暗号以下処理を行う場所。
サーバ側暗号化:ディスク保存時に暗号化し、ダウンロード時に復号化する。
クライアント側暗号化:クライアント側で暗号化し、AWS側にアップロードする。
(カスタマーマスターキーの種類)
カスタマー管理(カスタマーマネージドキー):キーローテが1年ごと。
AWS管理(AWSマネージドキー):AWSが作成、管理。キーの名称が「aws」で始まる。キーローテは3年ごと。
AWS所有キー:AWSが所有する。キーローテをユーザで管理することはできない。
ーーーAWS CloudHSMは専用のハードウェア上で暗号化処理を行うーーー