ここでは、KMS が提供する Customer Master Key (CMK) タイプの概要を説明します。
暗号化アルゴリズム
KMS は、対称および非対称暗号化アルゴリズムをサポートしています。 これらのアルゴリズムは、用途に基づいてさらに分類できます。
| アルゴリズムのクラス | アルゴリズムのサブクラス | キーの用途 |
|---|---|---|
| 対称アルゴリズム | AES | データの暗号化および復号化 |
| 対称アルゴリズム | SM4 注 | データの暗号化および復号化 |
| 非対称アルゴリズム | RSA | データの暗号化および復号化。デジタル署名および検証 |
| 非対称アルゴリズム | ECC | デジタル署名および検証 |
対称キーは、主にデータの暗号化および保護に使用されます。 KeySpec パラメーターを指定しない場合、KMS はデフォルトで対称キーを作成します。 Encrypt および Decrypt 操作を呼び出すことにより、キーの平文を取得することなくデータを暗号化および復号化できます。 詳細については、「対称暗号化の概要」をご参照ください。
データの暗号化およびデジタル署名に非対称キーを使用できます。 KMS の非対称 CMK は、暗号化・復号化に用いる公開キーおよび秘密キーで構成されます。 公開キーは誰でも使用できますが、秘密キーは安全に保つ必要があります。 秘密キーを安全に保つために、KMS は非対称キーペアの秘密キーをエクスポートする API を提供しません。 秘密キー API 操作を利用して、データの復号化またはデジタル署名に秘密キーを使用できます。 公開キーを持っている人は誰でも、それを使用してデータを暗号化したり、署名を検証したりできます。 詳細については、「非対称キーの概要」をご参照ください。
保護レベル
KMS はマネージド HSM を提供します。 キーがマネージド HSM でホストされるように、CMK の保護レベルを HSM に設定する必要があります。 マネージド HSM は、特殊用途のハードウェアの助けを借りて、キーに高レベルのセキュリティを提供します。 保護レベルが HSM の CMK の場合、その平文は HSM 内にのみ存在します。 KMS は、HSM API を呼び出して暗号化操作を実行します。 KMS および Alibaba Cloud 運用保守担当者は、暗号化操作に使用されている CMK の平文にアクセスできません。 CMK の平文は、HSM からエクスポートできません。 詳細については、「概要」と「マネージド HSM の使用」をご参照ください。
保護レベルを SOFTWARE に設定した場合、KMS は、信頼の基点 (Root of Trust) となる Trusted Platform Module (TPM) を備えたソフトウェアを使用して、キーを保護します。
キーマネージャー
一般に、Alibaba Cloud アカウント所持者は、KMS における CMK のマネージャーであり、CMK の Creator 属性にアカウント識別子が設定されます。
Alibaba Cloud サービスは、KMS API 操作を統合することでサーバー側暗号化を実装します。 このシナリオでは、KMSを使用することにより、クラウドサービスが専用の暗号化キーを自動的に作成および管理して、関連するサービスのデータを暗号化および保護することができます。
これにより、エントリレベルのデータ暗号化機能の利用方法が簡略化され、キーのライフサイクル管理と権限管理のオーバーヘッドが削減されます。 サービスにより管理されるこれらのキーは、サービスキーと呼ばれます。
サービスキーを簡単に識別できるように、KMS はサービスキーの Creator 属性を Alibaba Cloud サービスのコードに設定し、サービスキーを acs/<Alibaba
Cloud サービスコード> 形式の一意のエイリアスに関連付けます。 たとえば、Alibaba Cloud Object Storage Service (OSS)
によって管理されるサービスキーの Creator 属性は OSS に設定され、サービスキーはエイリアス acs/oss に関連付けられています。 詳細については、「KMS との統合」をご参照ください。