Key Management Service:概要

シナリオ

• 自己管理型アプリケーションの統合

  仮想プライベートクラウド (VPC) を介して、セルフマネージドアプリケーションをStandardエディションの専用KMSインスタンスに接続できます。 その後、インスタンスが提供する機能を使用して、アプリケーション層でデータを暗号化および復号化できます。

• サードパーティのISVアプリケーション統合

  サードパーティの独立系ソフトウェアベンダー (ISV) が提供するアプリケーションは、Standardエディションの専用KMSインスタンスの暗号化操作を呼び出すことができます。

• 秘密の管理

  秘密を管理および暗号化して、ハードコードされた秘密によって情報や貴重な資産が漏洩するのを防ぐことができます。 これにより、アプリケーションデータのセキュリティが向上します。

• クラウドサービスの統合

  クラウドサービスからStandardエディションの専用KMSにサーバー側の暗号化リクエストを転送する権限をKMSに付与できます。

メリット

• Standard editionの専用KMSを使用すると、テナントのVPCにテナント固有のインスタンスをデプロイできます。 これにより、専用KMSはVPC経由でアクセスできます。

• Standard editionの専用KMSは、テナント固有の暗号化リソースプールを使用して、リソースの分離と暗号化の分離を実装します。 これにより、セキュリティの向上に役立ちます。 リソースプールは、HSMクラスタとも呼ばれる。

• Standardエディションの専用KMSは、安定した使いやすい上位層のキー管理機能と暗号化操作を提供し、HSMの管理を簡素化します。

• Standard editionの専用KMSを使用すると、HSMをAlibaba Cloudサービスにシームレスに統合できます。 これにより、Alibaba Cloudサービスのデータ暗号化がより安全で管理しやすくなります。 詳細については、「KMSと統合可能なAlibaba Cloudサービス」をご参照ください。

アーキテクチャ

Standardエディションの専用KMSは独立してデプロイされ、インスタンスとして提供されます。 StandardエディションのDedicated KMSのアーキテクチャを次の図に示します。

専用KMSには次のコンポーネントが含まれます。

• 暗号化リソースプール

  暗号化リソースプールとは、Data Encryption Serviceで管理できるテナント固有のHSMクラスターを指します。 HSMクラスターは、キーの保存と暗号化操作に使用されるセキュリティデバイスのグループです。

  データ暗号化サービスの詳細については、「データ暗号化サービス」をご参照ください。

• キー管理システム

  キー管理システムを使用すると、カスタム専用HSMクラスターのキーのライフサイクルを管理できます。

• 暗号操作サービス

  Standardエディションの専用KMSは、暗号化操作をスケジュールできる使いやすいAPIを提供します。 暗号化操作中に使用されるキーは、HSMクラスターに格納する必要があります。

• Secrets Manager (購入のために任意)

  Standard editionの専用KMSは、Secrets Managerを提供し、ライフサイクル中にシークレットを管理できるようにし、安全で効率的な方法でアクセスするためのアプリケーションを構成します。 これにより、ハードコードされたシークレットによる情報の漏洩を防ぐことができます。

制限事項

サポートされているリージョン

Standard editionの専用KMSは、中国 (杭州) 、中国 (上海) 、中国 (北京) 、中国 (深セン) 、中国 (香港) 、マレーシア (クアラルンプール) 、シンガポール (シンガポール) の各リージョンでご利用いただけます。

課金

Standardエディションの専用KMSは、サブスクリプション課金方法を使用します。 詳細については、「専用KMSの課金」をご参照ください。