すべてのプロダクト
Search
ドキュメントセンター

Key Management Service:概要

最終更新日:Jan 03, 2025

キーサービスは、キー管理サービス (KMS) のコアコンポーネントです。 キーサービスは、完全管理キーとキー保護機能を提供します。 キーサービスは、クラウドネイティブAPI操作に基づく単純なデータ暗号化とデジタル署名管理をサポートします。

重要なホスティングと保護

特徴

説明

関連トピック

キーのホストと管理

KMSによって管理される暗号化キーは、顧客マスターキー (CMK) と呼ばれます。 CMKのライフサイクルを管理できます。

キーを回転できます。

キーのエイリアスを設定して、キーを簡単に使用できます。 API操作を呼び出してキーを管理することもできます。

キーを保護し、コンプライアンス要件を満たす

キーを使用する場合は、セキュリティとコンプライアンスの要件を満たす必要があります。 専用ハードウェアを使用してCMKを保護するには、CMKの保護レベルをハードウェアセキュリティモジュール (HSM) に設定することを推奨します。 これにより、キーはGM/TまたはFIPS 140-2レベル3のコンプライアンス要件を満たすこともできます。 CMKの保護レベルがHSMに設定された後、キーマテリアルの平文はHSM内にのみ格納される。キーマテリアルの平文には誰もアクセスできません。 キーマテリアルのプレーンテキストはHSMからエクスポートできません。

独自のキーを使用する (BYOK)

特定のセキュリティ要件を満たすために、BYOK機能を使用して独自のキーをKMSにインポートできます。 独自のキーには、オフラインで管理されるキー、他のクラウドでホストされるキー、Alibaba Cloud Data Encryption Serviceで使用されるキーが含まれます。

データ暗号化

KMSは、従来の暗号化モジュールや暗号化ソフトウェアライブラリよりも簡単なクラウドネイティブの暗号化API操作を提供します。 さらに、KMSは開発を加速するために複数のSDKを提供します。 SDKを使用してコードを開発する方法の詳細については、「開発ツールの概要」をご参照ください。

特徴

説明

関連トピック

数回クリックするだけでAlibaba Cloudサービスのデータを暗号化

KMSはさまざまなAlibaba Cloudサービスと統合されており、クラウドネイティブの暗号化機能を提供します。 KMSが他のAlibaba Cloudサービスのデータを自動的に暗号化できるようにするには、簡単な設定を実行するだけです。

コードを使用してAlibaba Cloudサービスのデータを暗号化する

KMS SDK

KMS SDKはKMS API操作をカプセル化します。 サンプルコードを参照して、コードでKMSの暗号化操作を呼び出してデータを暗号化する方法を確認できます。

Sample code for data encryption

暗号化SDK

暗号化SDKは、KMS API操作に基づくクライアント側の暗号化ライブラリです。 Encryption SDKのクイックスタートを表示して、コードでEncryption SDKを呼び出してエンベロープ暗号化機能を使用する方法を確認できます。

KMSでサポートされている暗号化アルゴリズムの説明

次の表に、KMSでサポートされている暗号化アルゴリズムを示します。

アルゴリズムクラス

アルゴリズムサブクラス

暗号化と復号化

署名の生成と検証

対称キーアルゴリズム

AES

対応

非対応

対称キーアルゴリズム

SM4ノート

対応

非対応

非対称キーアルゴリズム

RSA

対応

対応

非対称キーアルゴリズム

ECC

非対応

対応

非対称キーアルゴリズム

SM2ノート

対応

対応

説明

中国本土のマネージドHSMのみがSM4およびSM2アルゴリズムをサポートしています。 詳細については、「サポートされているリージョン」をご参照ください。

対称キーは、データの暗号化または復号に使用されます。 キーの作成中にKeySpecパラメーターを指定しない場合、KMSは対称キーを作成します。 詳細については、「対称暗号化の概要」をご参照ください。

非対称鍵は、データの暗号化、データの復号化、署名の生成、または署名の検証に使用できます。 KMSの非対称CMKは、公開鍵と秘密鍵で構成され、これらは暗号的に相互に関連しています。 公開鍵は誰にでも送信できますが、秘密鍵は安全に保つ必要があります。 KMSは、非対称キーペアの秘密キーをエクスポートするためのAPI操作を提供していません。 秘密鍵を使用して署名を生成するか、データを復号化する場合にのみ、API操作を呼び出すことができます。 詳細については、「非対称キーの概要」をご参照ください。