すべてのプロダクト
Search

このプロダクト

    Key Management Service:キーを使用したデータの暗号化と復号化

    ドキュメントセンター

    Key Management Service:キーを使用したデータの暗号化と復号化

    最終更新日:Jan 09, 2025

    パブリックIPアドレスが割り当てられ、Alibaba Cloudまたは他のクラウドにデプロイされているアセット内の少量の機密データを暗号化する必要がある場合は、key Management Service (KMS) のキーを使用して機密データを暗号化および復号化できます。 このトピックでは、キーを使用してデータを暗号化および復号化する方法について説明します。

    シナリオ

    このトピックで説明するプロセスは、対称暗号化または復号化のデータサイズが1操作あたり6 KBを超えない、または非対称暗号化または復号化のデータサイズが1操作あたり1 KBを超えないシナリオに適しています。

    説明

    単一の暗号化動作のための大きなデータサイズは、ネットワーク送信失敗の確率を増加させ、送信時間を延長する。 KMSインスタンスがデータの暗号化と復号化を実行するために必要な時間も増加します。

    次のリストは、典型的なシナリオを示しています。

    • シナリオ1: Alibaba Cloudにデプロイされたアプリケーションには、データの暗号化と復号化が必要です

      Alibaba Cloudにデプロイされたアプリケーションは、機密データを平文で生成または受信します。 機密データは暗号化してからデータベースに保存する必要があります。 このシナリオでは、対称暗号化を使用することを推奨します。

    • シナリオ2: Alibaba Cloud内外にデプロイされたアプリケーションには、データの暗号化と復号化が必要です

      非対称暗号化の使用を推奨します。 Alibaba Cloudの外部にデプロイされたアプリケーションまたはクライアントプログラムは、公開鍵を使用してデータを暗号化し、暗号化されたデータ (暗号文) をAlibaba Cloudにデプロイされたアプリケーションに送信します。 次に、後者のアプリケーションはKMS Instance SDKを呼び出して、公開鍵に対応する秘密鍵を使用して暗号文を復号します。

    シナリオ1: Alibaba Cloudにデプロイされたアプリケーションでは、データの暗号化と復号化が必要です

    関連する API 操作

    API 操作

    説明

    AdvanceEncrypt (推奨)

    プライマリバージョンのキーを使用して、平文を暗号文に暗号化します。

    説明

    この操作は、ソフトウェアキー管理タイプのKMSインスタンスで対称キーを使用する場合にのみ呼び出すことができます。

    AdvanceDecrypt (推奨)

    暗号文を平文に復号化します。

    説明

    この操作は、ソフトウェアキー管理タイプのKMSインスタンスで対称キーを使用する場合にのみ呼び出すことができます。

    暗号化

    初期バージョンのキーを使用して、平文を暗号文に暗号化します。

    解読

    暗号文を平文に復号化します。

    手順

    1. ハードウェアキー管理タイプまたはソフトウェアキー管理タイプのKMSインスタンスを購入して有効にします。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。

    2. KMSインスタンスに対称キーを作成して、データの暗号化と復号化を行います。 詳細については、「キーの作成」をご参照ください。

    3. アプリケーションアクセスポイント (AAP) を作成し、AAPのクライアントキーを作成します。 詳細については、「AAPを使用したKMSインスタンスへのアクセス」をご参照ください。

      説明

      Alibaba Cloudにデプロイされたアプリケーションは、AAPを使用してKMSインスタンスにアクセスします。 複数のアプリケーションがある場合は、アプリケーションごとにAAPを作成します。

    4. KMSインスタンスSDKを使用してデータを暗号化および復号化します。 詳細については、「KMSインスタンスSDK」をご参照ください。

      説明

      KMSはさまざまなSDKを提供します。 KMSインスタンスSDKのみが暗号化操作をサポートしています。 詳細については、「SDKユーザーガイド」をご参照ください。

    シナリオ2: Alibaba Cloud内外にデプロイされたアプリケーションでは、データの暗号化と復号化が必要です

    関連する API 操作

    API 操作

    説明

    暗号化

    初期バージョンのキーを使用して、平文を暗号文に暗号化します。

    解読

    暗号文を平文に復号化します。

    手順

    1. ハードウェアキー管理タイプまたはソフトウェアキー管理タイプのKMSインスタンスを購入して有効にします。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。

    2. KMSインスタンスに非対称キーを作成して、データの暗号化と復号化を行います。 詳細については、「キーの作成」をご参照ください。

    3. KMSコンソールで公開鍵を取得して保存し、Alibaba Cloudの外部にデプロイされているアプリケーションに公開鍵を配布します。 image.png

    4. AAPを作成し、AAPのクライアントキーを作成します。 詳細については、「AAPを使用したKMSインスタンスへのアクセス」をご参照ください。

      説明

      Alibaba Cloudにデプロイされたアプリケーションは、AAPを使用してKMSインスタンスにアクセスします。 複数のアプリケーションがある場合は、アプリケーションごとにAAPを作成します。

    5. Alibaba Cloudの外部にデプロイされたアプリケーションまたはアプリは、公開鍵を使用して機密データまたは一時的な対称鍵を暗号化し、機密データ暗号文または一時的な対称鍵暗号文をAlibaba Cloudにデプロイされたアプリケーションに送信します。 Alibaba Cloud上のアプリケーションは、KMSインスタンスSDKを使用して、機密データまたは一時的な対称キーを復号します。 詳細については、「KMSインスタンスSDK」をご参照ください。

      説明

      KMSはさまざまなSDKを提供します。 KMSインスタンスSDKのみが暗号化操作をサポートしています。 詳細については、「SDKユーザーガイド」をご参照ください。