すべてのプロダクト
Search

このプロダクト

    Key Management Service:キー管理の概要

    ドキュメントセンター

    Key Management Service:キー管理の概要

    最終更新日:Jun 12, 2025

    Key Management Service (KMS) は、主要な機能として包括的なキー管理を提供します。 KMS により、暗号鍵の安全な作成、保管、およびライフサイクル管理が可能になります。 KMS は、クラウドネイティブ API を介して、署名、検証、データ暗号化など、さまざまな暗号操作をサポートしています。 このトピックでは、サポートされているキータイプと暗号 API 操作について説明します。

    キーの種類

    KMS は、無料のデフォルトキーと有料のカスタマーマスターキー(CMK)をサポートしています。デフォルトキーを使用する場合、KMS インスタンスは必要ありません。ただし、有料の CMK を使用する場合、キー クォータを持つ KMS インスタンスを購入する必要があります。

    デフォルトキー(無料)

    デフォルトキーは、KMS と統合された Alibaba Cloud サービス内でのサーバ側暗号化に使用され、暗号化と復号のみをサポートします。キーの仕様は Aliyun_AES_256 です。デフォルトでは、これらのキーはローテーションをサポートしていません。ローテーションは別途購入する必要があり、自動ローテーションのみがサポートされています。デフォルトキーには、次のものが含まれます。

    • デフォルトのカスタマーマスターキー(CMK)

      デフォルトでは、KMS は Alibaba Cloud アカウントごとにリージョンごとに無料の CMK(デフォルト CMK とも呼ばれます)を提供します。このデフォルト CMK を使用するには、有効にするだけです。有効化中に、キー マテリアルをインポートするか、KMS によって生成されたキー マテリアルを使用できます。

    • サービスキー

      Alibaba Cloud サービスのデフォルトの KMS キー暗号化を選択すると、サービスキーが自動的に作成されます。サービスキーは、そのサービスのリソースへの安全なアクセス制御に使用されます。そのライフサイクルは、関連付けられたサービスによって管理され、KMS を介して作成、変更、または削除することはできません。

    CMK(有料)

    有料の CMK は、ビジネス、セキュリティ、およびコンプライアンスの要件を満たすために、KMS インスタンス内に作成されます。各インスタンスのデフォルトのクォータは 1,000 CMK です。

    CMK の種類は、インスタンスタイプによって決まります。ソフトウェア保護キーはソフトウェアキー管理インスタンスに作成され、ハードウェア保護キーはハードウェアキー管理インスタンスに作成されます。 KMS によって生成されたキー マテリアルを使用するか、キー マテリアルをインポートしてこれらのキーを作成し、ライフサイクルを管理できます。

    次のシナリオのために、ソフトウェア保護キーまたはハードウェア保護キーを作成します。これらの CMK は、暗号化、復号、および署名と検証の操作をサポートしています。

    キーの種類

    アルゴリズムの種類

    キーの仕様

    自動ローテーション

    即時ローテーション

    ソフトウェア保護キー

    AES、RSA、楕円曲線暗号(ECC)

    • 対称キー: Aliyun_AES_256。

    • 非対称キー: RSA_2048、RSA_3072、EC_P256、EC_P256K。

    サポートされています

    サポートされています

    ハードウェア保護キー

    AES、RSA、ECC

    • 対称キー: Aliyun_AES_256、Aliyun_AES_192、Aliyun_AES_128。

    • 非対称キー: RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P256K。

    サポートされていません

    サポートされていません

    説明

    ソフトウェア保護キーの場合、KMS 生成キー マテリアルを持つ対称キーのみが自動および即時ローテーションをサポートします。

    暗号 API 操作

    • (推奨)Alibaba Cloud SDK を使用して、インターネットまたは VPC ネットワーク経由で OpenAPI 操作を呼び出し、暗号操作を実行します。次の表に、API 操作を示します。

      API

      説明

      Encrypt

      対称キーを使用してプレーンテキストを暗号文に暗号化します。

      GenerateDataKey

      ローカル データ暗号化用のランダム データキーを生成します。

      GenerateDataKeyWithoutPlaintext

      データキーのプレーンテキストを返さずに、ローカル データ暗号化用のランダム データキーを生成します。

      ExportDataKey

      指定された公開キーを使用してデータキーを暗号化し、データキーをエクスポートします。

      GenerateAndExportDataKey

      ランダム データキーを生成します。データキーは、指定した KMS キーと公開キーを使用して暗号化されます。この操作は、KMS キーと公開キーの両方で暗号化されたデータキーの暗号文を返します。

      Decrypt

      暗号文を復号します。

      ReEncrypt

      暗号文を再暗号化します。この操作を呼び出すと、KMS は暗号文を復号し、別のキーを使用して生成されたプレーンテキストまたはデータキーを再暗号化し、新しい暗号文を返します。

      AsymmetricSign

      非対称キーを使用して署名を生成します。

      AsymmetricVerify

      非対称キーを使用して署名を検証します。

      AsymmetricDecrypt

      非対称キーを使用してデータを復号します。

      AsymmetricEncrypt

      非対称キーを使用してデータを暗号化します。

      GetPublicKey

      非対称キーペアの公開キーを照会します。公開キーを使用して、ローカル データを暗号化し、署名を検証できます。

    • (非推奨)KMS インスタンス SDK を使用して、KMS プライベート ネットワーク経由でインスタンス API 操作を呼び出し、暗号操作を実行します。詳細については、「インスタンス API 操作の概要」をご参照ください。