すべてのプロダクト
Search

このプロダクト

    Key Management Service:外部キーの管理

    ドキュメントセンター

    Key Management Service:外部キーの管理

    最終更新日:Jan 10, 2025

    key management Service (KMS外部キーインスタンス) の外部キー管理インスタンスを使用すると、KMSキーを外部キー管理インフラストラクチャ (KMI) に保存されているキーに関連付けることができます。 Alibaba Cloudのサービスまたはアプリケーションは、KMS外部キーインスタンスのキーIDを参照して、データを暗号化または復号します。 暗号化および復号化操作中、外部KMI内のキーはKMIの境界を越えない。 この機能は、Hold Your Own Key (HYOK) と呼ばれます。 このトピックでは、KMS外部キーインスタンスに外部キーを作成する方法について説明します。

    説明

    外部KMIのセキュリティ、可用性、および安定性を確保するために、外部KMIを保守し、保守コストを引き受ける必要があります。 KMSのソフトウェアキー管理インスタンスとハードウェアキー管理インスタンスがセキュリティと管理の要件を満たすことができる場合、ソフトウェアキー管理インスタンスまたはハードウェアキー管理インスタンスを使用することを推奨します。

    KMS外部キーインスタンスが外部KMIと通信する方法

    KMS外部キーインスタンスは、外部キーインスタンスプロキシサーバ (XKIプロキシサーバ) を使用して外部KMIに接続されます。 XKI Proxyサーバーは、KMS外部キーインスタンスから外部KMIにリクエストを転送し、外部KMIからKMS外部キーインスタンスにレスポンスを返します。 詳細については、「XKIプロキシサーバー」をご参照ください。

    KMS外部キーインスタンスは、インターネットまたはVirtual Private Cloud (VPC) エンドポイントサービスを使用してXKI Proxyサーバーに接続できます。

    • インターネットの使用: KMS外部キーインスタンスは、インターネット経由でXKI Proxyサーバーに接続されます。 XKI Proxyサーバーでインターネットアクセス機能を有効にする必要があります。

    • VPCエンドポイントサービスの使用: KMS外部キーインスタンスは、PrivateLinkが提供するVPCエンドポイントサービスを使用してXKIプロキシサーバーに接続します。

    注意事項

    • KMS外部キーは対称キーである必要があります。

    • KMIに格納されているKMS外部鍵を忘れたり削除したりすると、外部鍵で暗号化された暗号文は復号できません。

    • KMS外部キーインスタンスは、キーマテリアルインポート、キーローテーション、バックアップ管理、またはクロスリージョンキー同期をサポートしていません。

    • KMS外部キーインスタンスのキーは外部KMIに格納され、KMS外部キーインスタンスにはキーのメタデータのみが格納されます。 キーのバージョンも外部KMIによって管理されます。 したがって、キーバージョンに関連するKMS API操作を呼び出すことはできません。 KMS API操作は次のとおりです。

    • KMS外部キーインスタンスで暗号化操作を実行する場合は、次の要件を満たす必要があります。

      • KMS外部キーインスタンスのキーは有効状態である必要があります。

      • XKIプロキシサーバーは期待どおりに実行され、正しく設定され、[接続] 状態になっている必要があります。

      • XKI ProxyサーバーのキーはENABLED状態である必要があります。

    前提条件

    • 外部キー管理タイプのKMSインスタンスを購入して有効にしてください。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。

    • 外部キーインスタンス (XKI) プロキシを使用してキー管理インフラストラクチャ (KMI) にキーが作成され、キーのIDが記録されていることを確認します。 詳細については、KMSのドキュメントを参照してください。

    外部キーの作成

    1. Key Management Serviceコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、リソース > キー管理 を選択します。

    2. キー管理 ページで、キー タブをクリックし、インスタンス管理 ドロップダウンリストから外部キー管理タイプのKMSインスタンスを選択し、キーを作成 をクリックします。

    3. キーを作成 パネルでパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      External Key ID

      XKIプロキシによって生成されたキーのキーID。

      説明

      同じ外部キーIDを使用して、1つ以上のKMSキーを作成できます。

      キー仕様

      キーの仕様。 キーの仕様とアルゴリズムの詳細については、「キーの種類と仕様」をご参照ください。

      Aliyun_AES_256

      キー使用

      キーの使用法。

      ENCRYPT/DECRYPT: データを暗号化または復号化します。

      キーのエイリアス

      キーのエイリアスを設定します。 エイリアスには、英数字、アンダースコア (_) 、ハイフン (-) 、およびスラッシュ (/) を使用できます。

      タグ

      キーに追加するタグ。 タグを使用してキーを分類および管理できます。 タグはキーと値のペアで構成されます。

      説明

      • タグキーまたはタグ値の長さは最大128文字で、英数字、スラッシュ (/) 、バックスラッシュ (\) 、アンダースコア (_) 、ハイフン (-) 、ピリオド (.) 、プラス記号 (+) 、等号 (=) 、コロン (:) 、アット記号 (@) 、およびスペースを使用できます。

      • タグキーをaliyunまたはacs: で始めることはできません。

      • キーごとに最大20個のキーと値のペアを設定できます。

      説明

      キーの説明を入力します。

      Advanced Settings

      • デフォルトポリシー: 現在のAlibaba Cloudアカウントまたはリソース共有内のAlibaba Cloudアカウントでキーが使用されている場合は、[デフォルトポリシー] を選択します。

        • KMSインスタンスが他のアカウントと共有されていない場合、現在のAlibaba Cloudアカウントのみがキーを管理および使用できます。

        • KMSインスタンスが他のアカウントと共有されている場合、サポートされる操作は異なります。 たとえば、KMSインスタンスAという名前のインスタンスは、Alibaba Cloudアカウント1を使用してAlibaba Cloudアカウント2と共有されます。

          • Alibaba Cloudアカウント1によって作成されたキー: Alibaba Cloudアカウント1のみがキーを管理および使用できます。

          • Alibaba Cloudアカウント2によって作成されたキー: Alibaba Cloudアカウント1とAlibaba Cloudアカウント2の両方がキーを管理および使用できます。

      • カスタムポリシー: Resource Access Management (RAM) ユーザー、RAMロール、またはその他のアカウントにキーを使用する権限を付与する場合は、[カスタムポリシー] を選択します。

        重要

        管理者とユーザーはアクセス管理クォータを消費しません。 別のアカウントを選択した場合、KMSインスタンスのアクセス管理のクォータが消費されます。 クォータは、プライマリアカウントの数に基づいて計算されます。 承認をキャンセルする場合は、約5分待ってからクォータを確認してください。 クォータは返金されます。

        • 管理者はキーを管理できます。 暗号化操作はサポートされていません。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。

          管理者がサポートする権限

          {
	"Statement": [
		{
			"Action": [
				"kms:List*",
				"kms:Describe*",
				"kms:Create*",
				"kms:Enable*",
				"kms:Disable*",
				"kms:Get*",
				"kms:Set*",
				"kms:Update*",
				"kms:Delete*",
				"kms:Cancel*",
				"kms:TagResource",   
				"kms:UntagResource", 
				"kms:ImportKeyMaterial",
				"kms:ScheduleKeyDeletion"
			]
		}
	]
}

        • ユーザは、暗号化操作を実行するためにキーを使用できる。 現在のAlibaba Cloudアカウント内でRAMユーザーとRAMロールを選択できます。

          ユーザーがサポートする権限

           {
    "Statement": [
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
								"kms:GenerateDataKey",
								"kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
							  "kms:TagResource"
            ]
        }
    ]
}

        • クロスアカウントユーザーは、暗号化と復号化にキーを使用できます。 他のAlibaba Cloudアカウント内のRAMユーザーとRAMロールを選択できます。

          • RAMユーザー: RAMユーザーの名前は、acs:ram ::<userId>:user/<ramuser> 形式です。 例: acs:ram::119285303511 ****:user/testpolicyuser

          • RAMロール: RAMロールの名前は、acs:ram ::<userId>:role/<ramrole> 形式です。 例: acs:ram::119285303511 ****:role/testpolicyrole

            説明

            RAMユーザーまたはRAMロールに権限を付与した後、RAMユーザーまたはRAMロールのAlibaba Cloudアカウントを使用して、RAMユーザーまたはRAMロールにRAMのキーを使用する権限を付与する必要があります。次に、RAMユーザーまたはRAMロールがキーを使用できます。

            詳細については、「RAMを使用したKMSリソースへのアクセスの管理」、「RAMユーザーへの権限の付与」、および「RAMロールへの権限の付与」をご参照ください。

          クロスアカウントユーザーがサポートする権限

           {
    "Statement": [
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
								"kms:GenerateDataKey",
								"kms:GenerateAndExportDataKey",
                "kms:AsymmetricEncrypt",
                "kms:AsymmetricDecrypt",
                "kms:DescribeKey",
                "kms:DescribeKeyVersion",
                "kms:ListKeyVersions",
                "kms:ListAliasesByKeyId",
							  "kms:TagResource"
            ]
        }
    ]
}

    関連する API

    キーの無効化、キーの削除保護の有効化、キーの削除のスケジュール、キーの関連付けの確認、外部キーのエイリアスの設定、およびタグの外部キーへのバインドの方法については、「Manage a key」をご参照ください。