このトピックでは、最も一般的なデータ暗号化方式である対称暗号化について説明します。 KMSは、クラウド上のデータを暗号化および復号化できる使いやすいAPI操作を提供します。
キーの作成中にKeySpecパラメーターを指定しない場合、KMSは対称キーを作成します。 KMSは、一般的な対称キーアルゴリズムをサポートし、強力な暗号化を使用して高度なデータセキュリティを提供します。
対称キーのタイプ
| アルゴリズム | キーの長さ | キータイプ | データ暗号化モード | 保護レベル |
| AES | 256ビット | Aliyun_AES_256 | GCM |
|
| SM4ノート | 128ビット | Aliyun_SM4 | GCM | HSM |
暗号化および復号化機能
Encrypt、ReEncrypt、GenerateDataKey、またはGenerateDataKeyWithoutPlaintext操作を呼び出してデータまたはデータキーを暗号化する場合、CMK IDまたはエイリアスのみを指定する必要があります。 KMSは、暗号化に指定されたCMKを使用し、暗号文を返します。 Decrypt操作を呼び出すときは、復号する暗号文のみを指定する必要があります。 CMK を指定する必要はありません。
AAD
KMSの対称キーは、ブロック暗号にGCMを使用します。 追加の認証データ (AAD) を使用して、暗号化されたデータの整合性を補足的に保護できます。 KMSはAADをカプセル化して、認証データをカスタマイズできます。 詳細については、「EncryptionContext」をご参照ください。
Envelope encryption
KMSでGenerateDataKeyおよびGenerateDataKeyWithoutPlaintext操作を呼び出して、2レベルのキー階層を生成し、エンベロープ暗号化を高速化できます。 詳細については、「エンベロープ暗号化を使用したローカルデータの暗号化と復号化」をご参照ください。
対称キーの回転
KMSで生成される各対称CMKは、複数のキーバージョンをサポートします。 KMSは、新しいキーバージョンを生成することでCMKを自動的にローテーションします。 キーローテーションポリシーはカスタマイズ可能です。
CMKに複数のバージョンがある場合、CMKの最新バージョンは、encrypt操作、GenerateDataKey操作、およびGenerateDataKeyWithoutPlaintext操作でデータまたはデータキーを暗号化するために使用されます。 Decrypt操作を呼び出すときに、CMK IDまたはキーバージョンIDを指定する必要はありません。 KMSは、対応するデータまたはデータキーが暗号化されているCMKとそのキーバージョンを自動的に識別します。 次に、KMSは、識別された鍵バージョンの鍵材料を使用して暗号文を復号化する。
KMSは、CMKの新しいバージョンを生成することによってCMKをローテーションします。 ローテーションが完了すると、KMSは新しいキーバージョンを自動的に使用してデータまたはデータキーを暗号化します。 ただし、以前のキーバージョンは、ローテーション前に生成された暗号文を復号するために引き続き使用できます。 詳細については、「自動キーローテーション」をご参照ください。
BYOK
KMSでは、Bring your Own Key (BYOK) 機能を使用して、クラウド上のデータを暗号化できます。 この機能を利用することで、厳格なセキュリティおよびコンプライアンス要件への準拠を実現します。 マネージドHSMを使用してキーを保護することを推奨します。 保護レベルがHSMのCMKにキーマテリアルをインポートできます。マネージHSMのキーは破棄することしかできず、そのプレーンテキストをエクスポートすることはできません。 詳細については、「キーマテリアルのインポート」をご参照ください。