すべてのプロダクト
Search

このプロダクト

    Key Management Service:用語

    ドキュメントセンター

    Key Management Service:用語

    最終更新日:Jun 10, 2025

    このトピックでは、Key Management Service (KMS) で使用される用語について説明します。

    キー管理

    キー管理は、安全なキーストレージ、キーのライフサイクル管理、データの暗号化、データの復号、デジタル署名 (署名と検証) などの暗号機能を提供します。詳細については、「キー管理の概要」をご参照ください。

    Secrets Manager

    Secrets Manager を使用すると、シークレットをライフサイクル全体にわたって管理し、アプリケーションが安全かつ効率的にシークレットを使用できるようにすることができます。これにより、ハードコードされたシークレットによって引き起こされる機密データの漏洩を防ぐことができます。詳細については、「概要」をご参照ください。

    Key Management Service インスタンス (KMS インスタンス)

    KMS インスタンスは、ソフトウェアキー管理タイプのインスタンスとハードウェアキー管理タイプのインスタンスの次のカテゴリに分類されます。 KMS インスタンスは、KMS と統合された Alibaba Cloud サービスでのサーバ側暗号化、およびセルフマネージド アプリケーションの暗号化ソリューションに使用できます。

    • ソフトウェアキー管理: このタイプの KMS インスタンスは、キーとシークレットの管理サービスを提供します。 KMS は、お客様専用の KMS インスタンスにキーとシークレットを安全に保管します。これにより、高いスケーラビリティとセキュリティが確保されます。

    • ハードウェアキー管理: このタイプの KMS インスタンスは、Cloud Hardware Security Module 内のハードウェアセキュリティモジュール (HSM) クラスターに接続することでキーサービスを提供し、専用の KMS インスタンスにシークレットを安全に保管できるようにします。これにより、キーとシークレットがセキュリティとコンプライアンスの強化された基準を満たすことが保証されます。ハードウェアキー管理タイプの KMS インスタンスを有効にする前に、Cloud Hardware Security Module で HSM クラスターを購入して構成し、クラスターを KMS に接続する必要があります。

      説明

      Cloud Hardware Security Module によって提供される HSM は、中国国家暗号局または FIPS 140-2 Level 3 によって検証されたデバイスです。

    KMS インスタンスを購入する際は、ビジネス要件に基づいてパフォーマンスクォータを選択できます。詳細については、「パフォーマンスクォータ」をご参照ください。

    hardware security module (HSM)

    HSM は、暗号操作を実行し、キーを安全に生成および保管するハードウェアデバイスです。 HSM は、IT システムの構築で一般的に使用されます。

    KMS を Cloud Hardware Security Module と統合して、HSM クラスターを使用できます。これにより、KMS で管理されるキーのセキュリティが向上し、より高いコンプライアンス要件への適合、および規制当局のテストと認証要件への適合に役立ちます。

    カスタマーマスターキー (CMK)

    CMK は、KMS で自分で作成および管理するプライマリキーです。各 CMK は、キー ID、基本メタデータ、およびキーマテリアルで構成されます。

    デフォルトキー

    デフォルトキーは、KMS と統合された Alibaba Cloud サービスのサーバ側暗号化にのみ使用できます。デフォルトキーは、次のいずれかのタイプのキーです。

    • サービスキー: Alibaba Cloud サービスによってお客様のために作成および管理され、サーバ側暗号化に使用されるキー。

    • CMK: KMS で自分で作成および管理するキー。リージョンごとに 1 つの CMK のみ作成できます。キーマテリアルをインポートするか、KMS によって生成されたキーマテリアルを使用して CMK を作成できます。

    KMS のデフォルトキーは、AES-256 対称暗号アルゴリズムのみをサポートしています。

    サービスキー

    サービスキーは、Alibaba Cloud サービスによって KMS でお客様のために作成および管理されます。デフォルトでは、サービスキーは Alibaba Cloud サービスのサーバ側暗号化に使用されます。

    キーマテリアル

    キーマテリアルは、暗号操作を実行する際の重要なリソースです。キーマテリアルを使用して安全な方法で暗号操作を実行する場合は、キーマテリアルを機密にしておくことをお勧めします。キーマテリアルは、非対称キーの秘密キーのキーマテリアル、または対称キーのキーマテリアルにすることができます。

    • CMK タイプのデフォルトキーを作成する場合、KMS によって自動的に生成されたキーマテリアルを使用するか、キーマテリアルをインポートできます。 KMS によって自動的に生成されたキーマテリアルを使用してキーが作成された場合、キーの Origin 属性は Aliyun_KMS です。インポートされたキーマテリアルを使用してキーが作成された場合、キーの Origin 属性は EXTERNAL です。

    • ソフトウェア保護キーを作成する場合、KMS によって自動的に生成されたキーマテリアルを使用できます。 KMS によって自動的に生成されたキーマテリアルを使用してキーが作成された場合、キーの Origin 属性は Aliyun_KMS です。キーマテリアルをインポートすることもできます。インポートされたキーマテリアルを使用してキーが作成された場合、キーの Origin 属性は EXTERNAL です。

    • ハードウェア保護キーを作成する場合、HSM によって生成されたキーマテリアルを使用するか、キーマテリアルをインポートできます。 HSM によって生成されたキーマテリアルを使用してキーが作成された場合、キーの Origin 属性は Aliyun_KMS です。インポートされたキーマテリアルを使用してキーが作成された場合、キーの Origin 属性は EXTERNAL です。

    シークレット

    シークレットは、アプリケーションの認証に使用される機密情報です。シークレットには、データベースへのアクセスに使用されるユーザー名とパスワード、SSH キー、機密アドレス、および AccessKey ペアが含まれます。

    アプリケーションアクセスポイント (AAP)

    AAP は、KMS のアクセス制御ソリューションです。 KMS は AAP を使用して、アプリケーションが KMS のリソースをリクエストする際のアプリケーションの ID と動作を認証します。詳細については、「AAP の概要」をご参照ください。