Key Management Service (KMS) は、他のAlibaba Cloudサービスのデフォルトのデータ暗号化機能を提供します。 Alibaba Cloudサービスのデータを暗号化するには、Alibaba Cloudサービスによって作成されたサービスキーまたはKMSで作成されたキーを使用できます。 このトピックでは、Alibaba CloudサービスとKMSの統合について説明します。これには、統合のメリットと暗号化メカニズムも含まれます。
Alibaba CloudサービスとKMSの統合のメリット
データセキュリティとプライバシー保護の強化
KMSは、ほとんどのAlibaba Cloudサービスにデータ暗号化機能を提供します。 Alibaba Cloudサービスの購入時または購入後に暗号化ソリューションを設定できます。 KMSは、Alibaba cloudサービスが使用されているときに、データベースエンジンによって生成されたデータなどのクラウドデータに対してエンドツーエンドの暗号化を実行します。 これにより、クラウドデータの安全な暗号化ソリューションが提供され、データの全体的なセキュリティとプライバシーが向上します。
独自のデータ暗号化システムを開発するための料金を排除する
独自のデータ暗号化システムを開発すると、さまざまな課題に直面する可能性があります。 サービスをKMSと統合して、課題に対処できます。 次のリストは、課題を説明しています。
暗号化のパフォーマンスとセキュリティのバランスをとるために、適切なキー階層とデータ配布モードを設計します。
キーローテーションとデータ再暗号化方式を設計する。
暗号化技術をマスターし、適切な暗号化アルゴリズムを使用して、暗号化システムが堅牢で安全で改ざんされないようにします。
Alibaba Cloudサービスでデータ暗号化をサポートするキーの種類
KMSは、デフォルトキー、ソフトウェア保護キー、およびハードウェア保護キーを提供します。 これらのキーを使用して、Alibaba Cloudサービスのデータを暗号化できます。 次の表にキーを示します。 詳細については、「キー管理の概要」をご参照ください。
キー作成者 | キータイプ | キー素材の起源 | 課金 | 説明 |
Alibaba Cloud のサービス | デフォルトキー (サービスキー) | KMS | 無料 | Alibaba Cloudアカウント内では、各Alibaba Cloudサービスはリージョン内に1つのサービスキーのみを作成できます。 |
ユーザー | デフォルトキーとして使用される顧客マスターキー (CMK) | サポートされているキー素材の起源:
| 無料 | キーを作成した後、Alibaba Cloudサービスにキーの使用を許可する必要があります。 詳細については、「カスタムポリシー」をご参照ください。 |
ソフトウェア保護されたキー | KMS | 支払い済み | ||
ハードウェア保護キー | サポートされているキー素材の起源:
| 支払い済み |
Alibaba Cloudサービスでのサーバー側暗号化にキーを使用する
この例では、Alibaba Cloudサービスの購入時に、Alibaba Cloudサービスのサーバー側暗号化用にキーが設定されています。 Alibaba Cloudサービスの購入後にキーを設定することもできます。 詳細については、各Alibaba Cloudサービスの公式Webサイトのドキュメントを参照してください。
サービスキー
KMSコンソールで作成されたサービスキーを表示できます。
Alibaba Cloudサービスを購入したら、[デフォルトサービスCMK] を選択します。 これにより、Alibaba Cloudサービスによって作成されたサービスキーを使用して、サーバー側データを暗号化できます。 この例では、ECS (Elastic Compute Service) インスタンスが購入されています。
説明簡単に識別できるように、サービスキーは
alias/acs/<cloud product code>形式のエイリアスに自動的に関連付けられます。 たとえば、ECSによって作成されたサービスキーは、alias/acs/ecsエイリアスに関連付けられています。KMSコンソールで、作成されたサービスキーを表示します。
説明サービスキーの場合、Key Usageの値はService Keyです。
サービスキーはAlibaba Cloudサービスによって管理されます。 KMSコンソールでサービスキーを管理することはできません。 たとえば、サービスキーを有効または無効にすることはできません。 ActionTrailコンソールで、サービスキーの操作および使用記録を表示できます。
ユーザー作成キー
デフォルトキーとしてのCMK
KMSコンソールでCMKを有効にします。 詳細については、「キーの使用開始方法」をご参照ください。
この例では、CMKのエイリアスは
alias/byokです。
Alibaba Cloudサービスを購入するときに、サーバー側データを暗号化するためのデフォルトキーとして使用されるCMKを選択します。
この例では、ECSインスタンスが購入されています。
ソフトウェア保護キー
ソフトウェアキー管理タイプのKMSインスタンスを購入します。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
KMSコンソールで、ソフトウェアで保護されたキーを作成します。 詳細については、「キーの使用開始方法」をご参照ください。
Alibaba Cloudサービスを購入するときに、ソフトウェアで保護されたキーを選択して、サーバー側データを暗号化します。
ハードウェア保護キー
ハードウェアキー管理タイプのKMSインスタンスを購入します。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
KMSコンソールで、ハードウェアで保護されたキーを作成します。 詳細については、「キーの使用開始方法」をご参照ください。
Alibaba Cloudサービスを購入するときに、ハードウェアで保護されたキーを選択して、サーバー側データを暗号化します。
暗号化手順
各Alibaba Cloudサービスの暗号化プロセスは、ビジネスフォームと顧客の要件によって異なります。 ほとんどの場合、エンベロープ暗号化は、Alibaba Cloudサービスでサーバー側暗号化を実装するために使用されます。 次の図に示すように、データキーはKMSキーを使用して暗号化され、サーバー側データの暗号化に使用されます。
KMSでキーを作成します。
KMSのGenerateDataKey操作を呼び出して、データキーを要求します。
KMSは、データキーの平文とデータキーの暗号文を含むデータキーを返します。 データ鍵暗号文は、指定された鍵を用いてデータ鍵平文を暗号化することにより生成される。
Alibaba Cloudサービスは、データキー平文を使用してデータ平文を暗号化し、データ暗号文を生成し、データキー暗号文とデータ暗号文を永続ストレージに書き込みます。
データ鍵暗号文およびデータ暗号文は、共にエンベロープにパッケージ化される。
KMSは、安全な伝送チャネルを介してAlibaba Cloudサービスにデータキーを転送します。 データキーの平文はAlibaba Cloudサービスのメモリでのみ使用され、永続ストレージには保存されません。
アクセス制御
KMSは、RAM (Resource Access Management) に基づいて、Alibaba Cloudサービスに特定のキーを使用する権限があるかどうかを確認します。 RAMコンソールでAlibaba Cloudサービスの権限ポリシーを設定するか、Alibaba Cloudサービスのコンソールの画面上の指示に従って、Alibaba Cloudサービスが特定のキーを使用することを許可または拒否することができます。 詳細については、「カスタムポリシー」をご参照ください。
監査
ActionTrailでAlibaba Cloudサービスのキーの使用を監査できます。 詳細については、「ActionTrailを使用したKMSイベントの照会」をご参照ください。