Key Management Service (KMS) インスタンスは、キーとシークレットの管理を提供することにより、データセキュリティを強化します。キーは機密データを暗号化および復号化し、シークレットはハードコードされたシークレットに関連するセキュリティリスクの排除に役立ちます。このトピックでは、KMS インスタンスを購入して有効にする方法について詳しく説明します。
ステップ 1:KMS インスタンスの購入
KMS コンソール にログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
インスタンス管理 ページで、インスタンスの作成 をクリックします。[インスタンスの作成] ダイアログボックスで、課金方法を選択します。購入ページで、パラメーターを構成します。
サブスクリプションインスタンスの購入
パラメーター
説明
サイト
KMS インスタンスのサイト。有効な値:
中国本土以外のリージョン。
中国本土のリージョン。
インスタンスタイプ
ターゲットのインスタンスタイプを選択します。
ソフトウェアキー管理:カスタムキーリポジトリ、キーライフサイクル管理、およびデータの暗号化と復号化を提供します。キーは専用のデータベースに保存されます。
ハードウェアキー管理:キーの生成、保存、暗号化、および復号化に専用の HSM を使用します。これらの HSM は、国家暗号管理局および FIPS 140-2 Level 3 標準に準拠しています。HSM の購入が必要です。詳細については、「ハードウェアキー管理インスタンスの HSM クラスタを構成する」をご参照ください。
外部キー管理:外部 HSM またはキー管理ソフトウェアの暗号鍵を使用して Alibaba Cloud ワークロードを保護します。
リージョン
KMS インスタンスのリージョン。最適なパフォーマンスを得るには、アプリケーションと同じリージョンを選択してください。
デプロイメントモード
KMS インスタンスは、デュアルゾーン構成とマルチゾーン構成をサポートしており、高可用性、ディザスタリカバリ、および負荷分散を提供します。
説明マルチゾーンデプロイメントは最大 3 つのゾーンをサポートします。
フィリピン (マニラ) とタイ (バンコク) リージョンの KMS インスタンスは、シングルゾーンデプロイメントのみをサポートします。
各リージョンのゾーン数については、「リージョンとエンドポイント」をご参照ください。
コンピューティングパフォーマンス
KMS インスタンスの コンピューティングパフォーマンス (QPS)。たとえば、2,000 を選択すると、対称アルゴリズムでは最大 2,000 QPS、非対称アルゴリズムでは 300 QPS が提供されます。
10,000 または 20,000 QPS のソフトウェアキー管理インスタンスが必要な場合は、お問い合わせください。
キーの数
KMS インスタンスごとに許可されるキーのクォータ。デフォルト値:1,000。クォータはキーバージョンごとに消費されます。たとえば、5 つのバージョンを持つキーは 5 つのクォータを消費します。
シークレットの数
KMS インスタンスごとに許可されるシークレットのクォータ。デフォルト値:0。クォータはシークレットごとです。1 つのシークレットは、含まれるシークレットバージョンの数に関係なく、1 つのクォータのみを消費します。
説明シークレットはオプションです。必要に応じて、インスタンス仕様のアップグレードを通じて後でそれらを購入してください。
アクセス管理数量
このクォータは、KMS インスタンスにアクセスできる Alibaba Cloud アカウントと仮想プライベートクラウド (VPC) の数を制限します。たとえば、KMS インスタンスを 3 つの VPC に関連付けて 2 つの Alibaba Cloud アカウントと共有する必要がある場合は、少なくとも 5 つのアクセス管理クォータが必要です。デフォルトは 1 で、単一の VPC からのアクセスが許可されます。
ログ分析
ログ分析 を有効にするかどうかを指定します。有効にすると元に戻せないことに注意してください。
ログストレージ容量
ログのストレージ容量。最小割り当ては 1,000 GB です。容量は 1,000 GB 単位で増加します。ストレージ容量の評価方法の詳細については、「KMS 用 Simple Log Service の概要」をご参照ください。
購入数量
購入する KMS インスタンスの数。
期間
KMS インスタンスのサブスクリプション期間。
[自動更新] を選択すると、KMS インスタンスの有効期限が切れたときに自動的に更新されます。
従量課金インスタンスの購入
パラメーター
説明
課金方法
従量課金 3.0 に固定されています。
インスタンスタイプ
ターゲットのインスタンスタイプを選択します。
ソフトウェアキー管理:カスタムキーリポジトリ、キーライフサイクル管理、およびデータの暗号化と復号化を提供します。キーは専用のデータベースに保存されます。
ハードウェアキー管理:キーの生成、保存、暗号化、および復号化に専用の HSM を使用します。これらの HSM は、国家暗号管理局および FIPS 140-2 Level 3 標準に準拠しています。HSM の購入が必要です。詳細については、「ハードウェアキー管理インスタンスの HSM クラスタを構成する」をご参照ください。
リージョン
KMS インスタンスのリージョン。最適なパフォーマンスを得るには、アプリケーションと同じリージョンを選択してください。
[今すぐ購入] をクリックし、構成を確認して、[サービス規約] を確認します。次に、画面の指示に従って支払いを完了します。
KMS インスタンスの作成には 1 ~ 5 分かかります。作成されたインスタンスは、インスタンス管理 ページで表示できます。
ステップ 2:KMS インスタンスの有効化
KMS インスタンスを購入した後、VPC と vSwitch に関連付けることでインスタンスを有効にします。このネットワーク構成により、インスタンス内の暗号リソース (キーとシークレットの管理、暗号化、復号化など) を管理するための安全なアクセスが提供されます。
サポートされている KMS インスタンスタイプは、ソフトウェア、ハードウェア、および外部キー管理インスタンスです。
ソフトウェアキー管理インスタンス
前提条件
KMS インスタンスのリージョンで VPC と vSwitch が利用可能です。
必要に応じて、「VPC と vSwitch を作成する」または「vSwitch を作成する」をご参照ください。
以下の条件で KMS インスタンスを購入する場合、プライベート DNS (Alibaba Cloud DNS PrivateZone の新しい形式) をアクティブ化する必要があります。
中国本土内で国際サイト (alibabacloud.com) アカウントを使用する。
中国本土外で中国サイト (aliyun.com) アカウントを使用する。
プライベート DNS は、他の購入条件では追加構成なしで自動的にアクティブ化されます。
KMS はドメイン名解決料金を負担します。プライベート DNS で支払う必要はありません。
手順
コンソール
KMS コンソール にログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
ソフトウェアキー管理 タブで、有効にする KMS インスタンスを見つけ、有効化 列の 操作 をクリックします。
Enable KMS Instance パネルで、パラメーターを構成し、[今すぐ有効にする] をクリックします。
重要KMS インスタンスを有効にする場合は、正しい VPC ID を指定してください。インスタンスが有効になった後は変更できません。
約 30 分待ってからページを更新します。KMS インスタンスのステータスが Enabled に変わると、KMS インスタンスは有効になります。
API
ConnectKmsInstance 操作を呼び出します。
Terraform
詳細については、「Terraform を使用してソフトウェアキー管理インスタンスを購入および有効化する」をご参照ください。
ハードウェア鍵管理インスタンス
前提条件
接続された Cloud Hardware Security Module(HSM)クラスタが KMS インスタンスで使用可能です。HSM クラスタを構成する。
クラスタとハードウェア鍵管理インスタンスのリージョンは同じである必要があります。
警告後続の操作で HSM クラスタ内の HSM の数を増やすには、Alibaba Cloud テクニカルサポートに連絡して、クラスタ同期方式を自動同期に変更してください。これにより、クラスタの同期エラーを防ぎます。
以下の条件で KMS インスタンスを購入する場合、プライベート DNS(Alibaba Cloud DNS PrivateZone の新しい形式)をアクティブ化する必要があります。
中国本土内で国際サイト (alibabacloud.com) アカウントを使用している場合。
中国本土外で中国サイト (aliyun.com) アカウントを使用している場合。
その他の購入条件では、プライベート DNS は追加構成なしで自動的にアクティブ化されます。
KMS はドメイン名解決料金を負担します。プライベート DNS で料金を支払う必要はありません。
手順
ハードウェア鍵管理インスタンスは、コンソールからのみ有効化できます。
KMS コンソールにログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
ハードウェアキー管理 タブで、有効にする KMS インスタンスを見つけ、有効化 列の 操作 をクリックします。
Connect to HSM パネルで、HSM クラスタを指定し、Connect to HSM をクリックします。
HSM クラスタを指定するには、次のパラメータを構成する必要があります。
パラメータ
説明
インスタンス名
KMS インスタンスの名前を指定します。文字、数字、および次の特殊文字がサポートされています:
_/+=.@-。Configure HSM Cluster
作成した HSM クラスタを選択します。
説明ハードウェア鍵管理インスタンスは、1 つの HSM クラスタにのみ接続できます。
Configure HSM Access Secret.
Username:暗号ユーザーのユーザー名。値は
kmsuserに固定されています。Password:暗号ユーザーのパスワード。暗号ユーザーの作成時に指定したパスワードを入力します。
Security Domain Certificate: PEM 形式のルート認証局 (CA) 証明書。証明書を取得するには、次の操作を実行します。クラウドハードウェアセキュリティモジュール コンソールにログオンします。クラスター内の 1 つの HSM ID をクリックします。[詳細] ページで、ClusterOwnerCertificate を見つけます。これは Security Domain Certificate です。Security Domain Certificate の内容をコピーするか、PEM 形式で保存してからアップロードします。
VPC ID
デフォルトでは、HSM に関連付けられている VPC の ID が使用されます。このデフォルト ID は変更できません。
ゾーンと vSwitch の構成
インスタンスのゾーンと関連付けられた vSwitch を設定します。デプロイメントモードは、デュアルゾーンとマルチゾーンです。マルチゾーンを選択した場合は、最大 3 つのゾーンを構成できます。ゾーン内の各 vSwitch に少なくとも 4 つの使用可能な IP アドレスが予約されていることを確認してください。
デュアルゾーンまたはマルチゾーンデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を提供します。ゾーンの選択に関係なく、レイテンシとパフォーマンスの差はごくわずかです。自由に選択できます。
KMS インスタンスの有効化時間は、購入時に [シークレットの数] パラメーターを構成したかどうかによって異なります。ページを更新してステータスを監視します。KMS インスタンスは、ステータスに [有効] と表示されたときに有効になります。
[シークレットの数]: 約 30 分です。
[シークレットの数] を使用しない場合: 約 10 分。
ハードウェアキー管理インスタンス
前提条件
クラウド外のハードウェアセキュリティモジュールを購入し、外部キーインスタンス (XKI) プロキシ を構成します。手順については、HSM プロバイダーにお問い合わせください。
VPC エンドポイントサービスを使用して KMS に接続する場合、最初に VPC エンドポイントサービスを作成する必要があります。次の点に注意してください。
エンドポイントサービスゾーンは KMS インスタンスゾーンと一致します。
現在の Alibaba Cloud アカウントをエンドポイントサービスホワイトリストに追加する必要があります。
[エンドポイント接続を自動的に承認] が [はい] に設定されています。
または、VPC エンドポイントサービスを使用しない場合は、KMS はパブリックエンドポイントを使用した XKI プロキシへの接続をサポートしています。
次の条件で KMS インスタンスを購入する場合は、プライベート DNS (Alibaba Cloud DNS PrivateZone の新しい形式) をアクティブ化する必要があります。
中国本土内で国際サイト ( alibabacloud.com ) アカウントを使用する。
中国本土外で中国サイト ( aliyun.com ) アカウントを使用する。
その他の購入条件では、プライベート DNS は追加の構成なしで自動的にアクティブ化されます。
KMS はドメイン名解決料金をカバーしています。プライベート DNS でそれらを支払う必要はありません。
手順
外部キー管理インスタンスは、コンソールからのみ有効にできます。
KMS コンソール にログオンします。トップナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。
External Key Management タブをクリックし、有効にするインスタンスを見つけ、操作 列の 有効化 をクリックします。
Connect to HSM パネルで、パラメーターを構成し、Connect to HSM をクリックします。
パラメーター
説明
インスタンス名
KMS インスタンスの名前を指定します。文字、数字、および次の特殊文字がサポートされています:
_/+=.@-。VPC ID
KMS インスタンスに関連付けられている VPC ID を指定します。この ID は、インスタンスを有効にした後には変更できません。
ゾーン構成
インスタンスのゾーンと関連付けられた vSwitch を設定します。デプロイモードは、デュアルゾーンとマルチゾーンです。マルチゾーンを選択した場合は、最大 3 つのゾーンを構成できます。
ゾーンと vSwitch の構成:ゾーンと vSwitch を構成します。 vSwitch に少なくとも 1 つの使用可能な IP アドレスがあることを確認してください。 KMS は、ネットワークにアクセスするためにこの IP を必要とします。
その他のゾーン: [ランダムに割り当てる] または [手動で指定する] を選択します。
デュアルゾーンまたはマルチゾーンデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を提供します。ゾーンの選択に関係なく、レイテンシとパフォーマンスの差はごくわずかです。自由に選択できます。
External Proxy Connectivity
Public Endpoint Connectivity:KMS インスタンスは、インターネット経由のパブリックエンドポイントを使用して XKI プロキシに接続します。
VPC Endpoint Service Connectivity :KMS インスタンスは、VPC エンドポイントサービスを使用して XKI プロキシに接続します。
Domain Name of External Proxy
External Proxy Connectivity を Public Endpoint Connectivity に設定した場合は、XKI プロキシのドメイン名を入力します。
Endpoint Service
External Proxy Connectivity を VPC Endpoint Service Connectivity に設定した場合は、エンドポイントサービスを選択します。
エンドポイントサービスの 2 つのゾーンは、KMS インスタンスを有効にしたときに選択したゾーンと同じである必要があります。
External Proxy Configuration
Manual Configuration:External Proxy Path、Certificate Fingerprint、AccessKey ID、および AccessKey シークレットを構成する必要があります。 XKI プロキシの AccessKey ID と AccessKey シークレットを入力します。
Configuration File Upload:構成ファイルをアップロードできます。
KMS インスタンスの有効化時間は、購入時に [シークレットの数] パラメーターを構成したかどうかによって異なります。ページを更新してステータスを監視します。ステータスに [有効] と表示されたら、KMS インスタンスは有効になっています。
[シークレットの数] を指定した場合:約 30 分。
[シークレットの数] を指定しない場合:約 10 分。