KMS の一般的な使い方:

  • CMK を使用してデータを暗号化および復号化します。
  • エンベロープ暗号化を使用して、データをローカルで暗号化および復号化します。
表 1.
意味 意味
CMK 暗号文キー
平文証明書 平文ファイル
暗号文証明書 暗号文ファイル
平文キー

Customer Master Key (CMK) を使用してデータを暗号化および復号化

CMK を使用して少量のデータ (4 KBより小さい) を暗号化および復号化することができます。 ユーザーデータは、セキュリティで保護されたチャネル経由で KMS サーバーに渡され、KMS サーバーはデータの暗号化と復号化を行い、操作結果をセキュリティで保護されたチャネル経由でユーザーに送信します。

図 1. 利用イメージ: サーバーの HTTPS 証明書の暗号化および復号化

手順:

  1. CMK を作成するには、KMS コンソールにログインするか、CreateKeyを呼び出す必要があります。
  2. Encrypt平文証明書を暗号化するために呼び出します。
  3. 暗号化された証明書をサーバーにデプロイします。
  4. Decrypt認証のために暗号化された証明書を復号化するために呼び出します。

エンベロープ暗号化を使用して、データをローカルで暗号化および復号化

KMS を使用して CMK を作成し、CMKを使用してデータキーを生成できます。データキーは、大量のデータをローカルで暗号化および復号化するための暗号化キーとして使用されます。 このようにして、暗号化と復号化のためにネットワーク経由でデータを送信するコストが節約されます。

図 2. 利用イメージ: ローカルファイルの暗号化
手順:
  1. CMK を作成するには、 KMS コンソールにログインするか、CreateKeyを呼び出す必要があります。
  2. GenerateDataKeyデータキーを生成するために呼び出します。 平文データキーと暗号化データキーを返します。
  3. 平文データキーを使用してファイルをローカルで暗号化し、その後平文データキーをメモリから消去します。
  4. ローカルに暗号化されたデータとともに暗号化データキーを格納します。
  5. ローカルにデータを復号化します
    • Decryptを呼び出して、暗号化データキーを平文データキーに復号化します。
    • 平文データキーを使用してデータをローカルで復号化し、その後平文データキーをメモリから消去します。