すべてのプロダクト
Search

このプロダクト

    Key Management Service:サービス特典

    ドキュメントセンター

    Key Management Service:サービス特典

    最終更新日:Jan 17, 2025

    Key Management Service (KMS) は、従来のキー管理インフラストラクチャ (KMI) と比較して、さまざまなサービスとのシームレスな統合、ユーザーフレンドリーな運用、高い信頼性、コスト効率などの利点を提供します。

    複数のサービスとの統合

    • 認証とアクセス制御

      KMSは、AccessKeyなどの認証メカニズムを使用して、リクエストの信頼性を検証します。 また、Resource Access Management (RAM) と統合して、さまざまな承認シナリオに対応して、IDベースおよびリソースベースの権限の設定を容易にします。 KMSは、検証済みの正当なユーザーからのリクエストのみをRAM経由で処理します。詳細については、「リソースアクセス管理」をご参照ください。

    • キーの使用状況の監査

      KMSは、ActionTrailおよびSimple Log Service (SLS) と統合して、最近の主要なアクティビティに関する洞察を提供します。 KMSアクティビティログをObject Storage Service (OSS) などの他のクラウドサービスにアーカイブして、長期監査要件を満たすこともできます。 詳細については、「ActionTrailを使用したQuery Key Management Service操作」および「Simple Log Serviceの概要」をご参照ください。

    • 統合サービスのデータ暗号化

      KMSは、Elastic Compute Service (ECS)ApsaraDB RDSObject Storage Service (OSS) などのさまざまな製品と完璧に統合されています。 KMSキーを使用して、これらのサービス内のデータを簡単に暗号化および管理でき、暗号化ソリューションの実装の複雑さを回避できます。 この統合アプローチは、クラウド製品全体でネイティブデータを暗号化するという課題に対処します。 詳細については、「KMS との統合」および「KMSと統合できるAlibaba Cloudサービス」をご参照ください。

    使いやすさ

    • 自動キー回転

      KMSは自動キーローテーションを備えているため、キーの手動更新が不要になり、セキュリティが強化され、管理上のオーバーヘッドが削減されます。

    • シンプルな実装

      KMSは、暗号化操作を簡素化する簡単な暗号化APIを提供し、データの暗号化と復号化を容易にします。

    • クロスVPCアクセスのサポート

      KMSにより、同じリージョン内の複数のVPCのバインドが可能になり、VPC間の柔軟な暗号化および復号化アクティビティが可能になります。

    • あなた自身のキーを持って来るためのサポート (BYOK)

      KMSはBYOKに対応しており、クラウド製品や自己管理アプリケーションで使用するために、オンプレミスKMIなどの外部システムからキーをインポートできます。

      説明

      KMSは、安全で準拠したキー交換アルゴリズムを通じて、交換中の平文キーの機密性を確保し、オペレーターやサードパーティには見えません。

    高い信頼性、可用性、およびスケーラビリティ

    • 高い信頼性

      • KMSは、単一障害点を防ぐための冗長性を備えたマルチゾーン展開用に設計されています。

      • KMSは、システム障害が発生した場合の迅速な復旧を容易にするために、キーと関連データを定期的にバックアップします。

    • 高可用性

      • KMSは、マルチゾーン冗長暗号計算能力と負荷分散により高可用性を確保し、クラウド製品と自己管理アプリケーションの低レイテンシ処理を提供します。

      • KMSインスタンスは1秒あたり数千のクエリをサポートし、多数の同時リクエストを処理し、高負荷条件下での安定性を維持します。

    • 拡張性

      ビジネス要件に合わせて、迅速にできます。

    たとえば、デュアルゾーン展開では、ビジネスアプリケーションはVPC_1とVPC_2に展開され、VPC_1のKMSインスタンスはVPC_2にバインドされます。 KMSサービスアーキテクチャを以下に示します。

    image

    セキュリティとコンプライアンス

    KMSは、安全な設計と厳格な検証プロセスを開発中に組み込んだ、鍵に対する堅牢な保護を提供します。

    • KMSは、キーが専用インスタンス内で分離されることを保証し、他のテナントとの共有を防ぎ、データセキュリティを強化します。

    • KMSは、TLSで保護されたチャネルを介した排他的なアクセスを容易にし、データ送信には安全な暗号スイートのみを使用し、Payment Card Industry data Security Standard (PCI DSS) などの標準に準拠しています。

    • KMSは、規制当局によって検証および認定された暗号ソリューションをサポートしています。

      Alibaba Cloud Data Encryption Serviceの暗号化デバイスは、FIPS 140-2レベル3認定を取得しています。 KMSとAlibaba Cloud Data Encryption Serviceを統合すると、HSMクラスターを使用してキーを管理し、暗号化操作を実行できます。 Alibaba Cloud Data Encryption Serviceの詳細については、「クラウドハードウェアセキュリティモジュールとは」をご参照ください。

    コスト効率

    • 購入、運用、修理、および交換のコストを含むハードウェア暗号デバイスへの投資は必要ありません。

    • KMSにより、信頼性の高い利用可能な暗号デバイスクラスターの確立に伴う費用と、自己管理キー管理システムの研究、開発、および保守コストが削減されます。

    • KMSは、他のAlibaba Cloud製品と統合することで、データ暗号化システムの開発の複雑さとコストを削減し、鍵管理を通じて管理可能なクラウドデータ暗号化機能を提供します。