すべてのプロダクト
Search

このプロダクト

    Key Management Service:セルフマネージドアプリケーションと KMS を統合する

    ドキュメントセンター

    Key Management Service:セルフマネージドアプリケーションと KMS を統合する

    最終更新日:Jun 18, 2025

    Key Management Service (KMS) は、鍵管理、暗号操作、およびシークレット値取得操作のための SDK と KMS Agent を提供します。 前述の操作を実行するために、SDK または KMS Agent をセルフマネージドアプリケーションと統合できます。 このトピックでは、統合プロセスについて説明します。

    統合の概要

    アプリケーションは、さまざまな統合ツールを使用して KMS の API 操作を呼び出すことができます。 プロセスでサポートされる認証方式と API タイプは、ゲートウェイのタイプによって異なります。 次の図は、統合プロセスを示しています。

    • ゲートウェイタイプ: 共有ゲートウェイと専用ゲートウェイが提供されています。 共有ゲートウェイは KMS のグローバルネットワーク用であり、専用ゲートウェイは特定の KMS インスタンスのネットワーク用です。

    • 認証方式: KMS は、Resource Access Management (RAM) 認証とアプリケーションアクセスポイント (AAP) 認証をサポートしています。 AAP 認証は推奨されません。

    • 統合方法: KMS は、ユーザーがビジネスコードに KMS を統合するための SDK と KMS Agent を提供します。 サポートされている SDK は、Alibaba Cloud SDK、シークレット SDK、および KMS インスタンス SDK です。

    • API タイプ: KMS は、KMS API と KMS インスタンス API を提供します。 KMS インスタンス API は推奨されません。 サポートされている API 操作は、機能の観点から、管理 API 操作とビジネス API 操作に分類できます。 ビジネス API 操作は、暗号操作とシークレット取得操作です。 KMS API は管理 API 操作とビジネス API 操作をサポートしますが、KMS インスタンス API はビジネス API 操作のみをサポートします。

    ゲートウェイタイプ

    KMS は、共有ゲートウェイと専用ゲートウェイを提供します。 共有ゲートウェイは KMS のグローバルネットワーク用であり、ユーザーは インターネットまたは仮想プライベートクラウド (VPC) 経由で KMS にアクセスできます。 共有ゲートウェイは、管理 API 操作とビジネス API 操作をサポートします。 専用ゲートウェイは特定の KMS インスタンスのネットワーク用であり、ユーザーは プライベートネットワーク経由でのみ KMS にアクセスできます。 専用ゲートウェイはビジネス API 操作のみをサポートし、エンドツーエンドの API 操作セキュリティと高いデータセキュリティを保証します。

    違い

    共有ゲートウェイ

    専用ゲートウェイ

    推奨されるシナリオ

    • 鍵の作成、シークレットの作成、KMS インスタンスの作成など、KMS インスタンス、鍵、およびシークレットを管理するために API 操作を呼び出す必要があります。

    • ワークロードは Alibaba Cloud VPC の外部にデプロイされています。

    • 内部テスト環境などの非本番環境から KMS へのアクセスが開始されます。

    • ワークロードは Alibaba Cloud VPC にデプロイされています。

    • 暗号化と復号、シークレット取得などのビジネス API 操作が頻繁に呼び出されます。そのため、パフォーマンスに対する要件が高くなります。

    • サービスデータセキュリティの要件が高い。

    エンドポイント

    インターネットまたは VPC

    KMS プライベートネットワーク

    パフォーマンス

    データの暗号化および復号のパフォーマンスでは、共有ゲートウェイを使用して KMS にアクセスする場合、クエリ/秒(QPS)は 1,000 です。

    パフォーマンスは、KMS インスタンスの コンピューティングパフォーマンス によって異なります。 たとえば、コンピューティングパフォーマンスは 1,000 または 2,000 QPS にすることができます。

    サポートされている統合方法

    Alibaba Cloud SDK、シークレット SDK、および KMS Agent

    Alibaba Cloud SDK、シークレット SDK、KMS Agent、および KMS インスタンス SDK

    サポートされている API 操作

    すべての KMS API 操作

    KMS API の暗号操作とシークレット値取得操作、および KMS インスタンス API 操作。 KMS インスタンス API 操作は推奨されません。

    認証

    RAM 認証と AAP 認証。 AAP 認証は推奨されません。

    RAM 認証と AAP 認証。 AAP 認証は推奨されません。

    認証局 (CA) 証明書

    CA 証明書は必要ありません。

    CA 証明書が必要です。

    認証

    KMS は、RAM 認証と AAP 認証をサポートしています。 AAP 認証は推奨されません。 詳細については、「アクセス認証情報の管理」および「AAP 管理」をご参照ください。

    違い

    RAM 認証

    AAP 認証 (非推奨)

    機能

    • カスタムポリシーがサポートされています。

    • RAM ロール、セキュリティトークンサービス (STS) トークン、Elastic Compute Service (ECS) インスタンスの RAM ロール、および AccessKey ペアがサポートされています。

    • CA 証明書は必要ありません。

    • カスタムポリシーがサポートされています。

    • クライアントキーをダウンロードして保存する必要があります。 クライアントキーには、[ClientKeyContent][ClientKeyPassword] が含まれています。

    • CA 証明書を構成して、双方向 TLS 認証を実装できます。

    サポートされている統合方法

    Alibaba Cloud SDK、シークレット SDK、および KMS Agent

    シークレット SDK および KMS インスタンス SDK

    サポートされている API 操作

    すべての KMS API 操作

    KMS API のシークレット取得操作と KMS インスタンス API の操作

    サポートされているゲートウェイ

    専用ゲートウェイと共有ゲートウェイ

    専用ゲートウェイと共有ゲートウェイ

    説明

    AAP 認証では、異なるゲートウェイに対して 専用ゲートウェイ構成と共有ゲートウェイ構成 の 2 つの認証モードが提供されます。詳細については、「AAP 認証」をご参照ください。

    統合方法

    KMS は、統合のために SDK と KMS Agent を提供します。 SDK は、すべての管理 API 操作とビジネス API 操作 (暗号操作とシークレット取得操作) をサポートします。 KMS Agent は、シークレット取得操作のみをサポートします。

    SDK

    SDK は、複雑なデータ署名プロセスをメソッドにカプセル化します。 API の説明に基づいて、必要なパラメーターと認証情報を入力するだけで済みます。 KMS は、Alibaba Cloud SDK、シークレット SDK、および KMS インスタンス SDK を提供します。 KMS インスタンス SDK は推奨されません。 ビジネス要件に基づいて SDK を選択できます。 次に、SDK を統合し、次のフローチャートに基づいて KMS を使用できます。 SDK 統合の詳細については、「SDK リファレンス」をご参照ください。

    使用上の注意

    • 鍵とシークレットに関連するすべての管理 API 操作とビジネス API 操作がサポートされています。 管理 API 操作は、SDK 統合方法のみをサポートします。

    • 対応する環境向けに、さまざまなプログラミング言語の SDK が提供されています。

    統合フローチャート

    統合の説明

    SDK タイプ

    サポートされている API 操作

    ゲートウェイと認証方式

    サポートされているプログラミング言語

    シークレット SDK

    共有ゲートウェイ:

    • KMS API の RAM 認証

    • KMS API の AAP 認証 (非推奨)

    • KMS インスタンス API の AAP 認証 (非推奨)

    専用ゲートウェイ:

    KMS インスタンス API の AAP 認証 (非推奨)

    • Java (Java 8 以降)

    • Python

    • Go

    Alibaba Cloud SDK

    KMS API:

    共有ゲートウェイ:

    KMS API の RAM 認証

    専用ゲートウェイ:

    KMS API の RAM 認証

    • Java

    • Python

    • Go

    • C++

    • PHP

    • .NET (C#)

    • TypeScript

    • Swift

    KMS インスタンス SDK (非推奨)

    KMS インスタンス API: 鍵関連の操作シークレット関連の操作、および GenerateRandom

    共有ゲートウェイ: サポートされていません

    専用ゲートウェイ:

    KMS インスタンス API の AAP 認証

    • Java (Java 8 以降)

    • Python

    • Go

    • PHP

    • .NET (C# のみ)

    KMS Agent

    KMS Agent は、アプリケーションから KMS へのアクセスの認証プロセスとキャッシュ管理プロセスを簡素化します。 標準の HTTP インターフェース上に開発されています。 詳細については、「KMS Agent」をご参照ください。

    使用上の注意

    • 任意のプログラミング言語のビジネスアプリケーションが KMS Agent にアクセスできます。

    • KMS Agent は、ローカルビジネスアプリケーションからのアクセスのみをサポートします。

    • KMS Agent はシークレット取得操作のみをサポートし、シークレットの変更や削除などのシークレット情報管理操作はサポートしていません。

    統合フローチャート

    統合の説明

    サポートされている API 操作

    ゲートウェイタイプ

    認証方式

    サポートされているプログラミング言語

    KMS API:

    GetSecretValue

    共有ゲートウェイと専用ゲートウェイ

    RAM 認証

    KMS Agent は標準の HTTP インターフェース上に開発されており、すべてのプログラミング言語のビジネスアプリケーションで使用できます。

    API タイプ

    KMS は、KMS API と KMS インスタンス API を提供します。 KMS インスタンス API は推奨されません。 サポートされている API 操作は、機能の観点から、管理 API 操作、暗号操作、およびシークレット取得操作に分類できます。 詳細については、「KMS API」および「KMS インスタンス API」をご参照ください。

    管理 API 操作

    管理 API 操作には、鍵の作成、シークレットの作成、KMS インスタンスの作成、シークレットタグの変更など、KMS インスタンス、鍵、およびシークレットを管理するための操作が含まれます。

    共有ゲートウェイ経由で KMS API の管理 API 操作を呼び出すには、Alibaba Cloud SDK のみを使用できます。

    暗号操作

    暗号操作には、対称暗号化と復号、非対称暗号化と復号、エンベロープ暗号化、データ鍵の生成、データ署名、および署名検証が含まれます。

    Alibaba Cloud SDK または KMS インスタンス SDK を使用して、暗号操作を呼び出すことができます。

    重要

    共有ゲートウェイ経由で暗号操作を呼び出す場合は、インターネット経由のアクセスのスイッチをオンにする必要があります。 詳細については、「インターネット経由で KMS インスタンスキーにアクセスする」をご参照ください。

    シークレット値の取得

    シークレット SDK、Alibaba Cloud SDK、KMS インスタンス SDK、または KMS Agent を使用して、共有ゲートウェイまたは専用ゲートウェイ経由で KMS API の GetSecretValue または KMS インスタンス API の GetSecretValue を呼び出すことができます。 KMS インスタンス API の GetSecretValue 操作は推奨されません。