すべてのプロダクト
Search

このプロダクト

    Key Management Service:概要

    ドキュメントセンター

    Key Management Service:概要

    最終更新日:Jan 20, 2025

    マネージドHSMは、Alibaba Cloudが提供する認定ハードウェアセキュリティモジュール (HSM) に簡単にアクセスできるようにするためのKey Management Service (KMS) の重要な機能です。

    HSMは、暗号操作を実行し、キーを生成および格納する高度に安全なハードウェアデバイスである。 Alibaba Cloudで管理されているHSMで、最も機密性の高いAlibaba Cloudワークロードとアセットのキーを管理できます。

    説明

    HSMがコンプライアンス要件を満たしているかどうかのみを確認する必要があります。

    サポートされるリージョン

    次のリージョンで Managed HSM を使用できます。

    リージョン

    認証タイプ

    リージョン ID

    中国 (北京)

    国家暗号管理 (SCA) 認定

    cn-beijing

    中国 (張家口)

    SCA 認証

    cn-zhangjiakou

    中国 (杭州)

    SCA 認証

    cn-hangzhou

    中国 (上海)

    SCA 認証

    cn-shanghai

    中国 (深セン)

    SCA 認証

    cn-shenzhen

    中国 (香港)

    連邦情報処理基準 (FIPS) 140-2レベル3

    cn-hongkong

    シンガポール

    FIPS 140-2 Level 3

    ap-southeast-1

    マレーシア (クアラルンプール)

    FIPS 140-2 Level 3

    ap-southeast-3

    インドネシア (ジャカルタ)

    FIPS 140-2 Level 3

    ap-southeast-5

    米国 (バージニア)

    FIPS 140-2 Level 3

    us-east-1

    コンプライアンス

    Managed HSMは、コンプライアンス要件を満たすのに役立ちます。 Alibaba Cloudは、ローカル市場ごとの異なる規制要件に基づいて、さまざまなサードパーティ組織によって認定されたHSMを提供しており、ローカライズ要件と国際化要件の両方を満たしています。

    中国本土の地域の場合:

    • SCA認証: Alibaba Cloudが管理するHSMは、SCAが指定する機関の認証に合格しました。

    • SCA準拠: Alibaba Cloudが管理するHSMは、SCAの関連する技術要件と仕様に準拠し、Alibaba Cloudユーザーに国内標準と産業標準の両方に準拠した商用暗号アルゴリズムを提供します。

    中国本土以外の地域の場合:

    • ハードウェアのFIPS検証: Alibaba Cloudが管理するHSM (ハードウェアとファームウェアを含む) は、FIPS 140-2レベル3検証に合格しました。

    • FIPS 140-2レベル3コンプライアンス: Alibaba Cloudが管理するHSMは、FIPS承認レベル3の運用モードで実行されます。

    • PCI DSS: Alibaba Cloudが管理するHSMは、Payment Card Industry Data Security Standard (PCI DSS) の要件に準拠しています。

    高度なセキュリティ保証

    • ハードウェア保護

      マネージドHSMは、安全なハードウェアメカニズムを使用して、KMSのキーを保護します。 鍵の平文鍵材料は、暗号化操作のためにHSM内でのみ処理される。 マテリアルは、HSMのハードウェアセキュリティ境界内に保持されます。

    • 安全なキー生成

      ランダム性は、キーの暗号化強度にとって重要です。 マネージドHSMは、乱数生成アルゴリズムを使用して鍵材料を生成する。 アルゴリズムは安全でライセンスされており、高いシステムエントロピシードを持っています。 これにより、攻撃者によるキーの復元や予測からキーを保護します。

    運用のしやすさ

    HSMハードウェアはAlibaba Cloudによって完全に管理されます。 これにより、次のハードウェア管理操作で発生するコストを削減できます。

    • ハードウェアのライフサイクル管理

    • HSM クラスター管理

    • 高可用性と拡張性の管理

    • システムパッチ

    • ほとんどディザスタリカバリ操作

    統合のしやすさ

    ネイティブキー管理機能により、次の機能を使用できます。

    • キーバージョン管理

    • 自動キーローテーション

    • リソースタグ管理

    • 制御可能な許可

    これらの機能により、アプリケーションとマネージドHSMの迅速な統合、およびECSやApsaraDB RDSなどの他のサービスとマネージドHSMの統合が可能になります。このようにして、R&D投資なしで静的クラウドデータ暗号化を実装できます。

    キー制御

    マネージドHSMを使用すると、クラウド上の暗号化キーをより適切に制御し、最も機密性の高いコンピューティングタスクとアセットをクラウドに移動できます。

    マネージドHSMとBring Your Own Key (BYOK) 機能の両方を使用する場合、次の項目を完全に制御できます。

    • キーマテリアルの生成モード。

    • キーマテリアルの処理: マネージドHSMにインポートしたキーマテリアルは破棄できますが、エクスポートできません。

    • キーのライフサイクル。

    • キーの永続性。

    コスト効率

    クラウドコンピューティングの従量課金のメリットを享受できます。 オンプレミスHSMを使用してユーザーが作成した主要なインフラストラクチャと比較して、Managed HSMはハードウェア調達コスト、およびその後のR&DおよびO&Mコストを削減します。