キーは Key Management Service (KMS) のコアコンポーネントです。KMS を使用すると、カスタマーマスターキー (CMK) とデフォルトキーを管理でき、完全なライフサイクル管理と安全なストレージを提供します。また、クラウドネイティブな API 呼び出しを通じて、合理化されたデータ暗号化とデジタル署名をサポートします。このドキュメントでは、KMS で利用可能なキーについて紹介します。
ユースケース
KMS キーには、主に 2 つのユースケースがあります。API 呼び出しを介して自己管理アプリケーションで直接使用する場合と、Alibaba Cloud サービスとネイティブに統合してサーバ側暗号化を行う場合です。
API を介した自己管理アプリケーションでの使用: KMS OpenAPI または SDK を呼び出して、データ暗号化、復号、デジタル署名、署名検証などのパスワード機能をアプリケーション内で直接実行します。詳細については、「自己管理アプリケーションとの KMS の統合」をご参照ください。
Alibaba Cloud サービスでのサーバ側暗号化: Object Storage Service (OSS)、Elastic Block Storage (EBS)、ApsaraDB RDS など、KMS と統合された Alibaba Cloud サービスとキーを統合して、保存データの透明な暗号化を有効にし、クラウド上の資産を保護します。詳細については、「サーバ側暗号化のための KMS 統合の概要」をご参照ください。
キータイプ
KMS は、管理責任と制御レベルによって区別される 2 つの主要なキータイプ、カスタマーマスターキー (CMK) とデフォルトキーを提供します。
キータイプ | ユースケース | サブタイプ | アルゴリズム | 管理権限 | 共有性 | コスト |
CMK |
|
|
| ユーザーは、キーの作成、有効化、無効化、ローテーション、削除など、完全なライフサイクル管理権限を持ちます。 | 共有可能。 | 有料 |
デフォルトキー | Alibaba Cloud サービスでのサーバ側暗号化 |
| 対称 | 管理は制限されています。一部のプロパティのみ変更できます。作成はサポートされていません。詳細については、以下の「キー管理機能の比較」をご参照ください。 | 現在のアカウントに限定されます。 | 無料 |
CMK
CMK は、ユーザーが作成し、ライフサイクル全体を完全に制御するキーです。CMK の作成、有効化、無効化、ローテーション、削除が可能です。主に、自己管理アプリケーションとの暗号化統合や、特定のセキュリティ要件を満たすための Alibaba Cloud サービスにおけるサーバ側暗号化のカスタムキーとして使用されます。
タイプ比較
保護レベルに基づいて、CMK は次の 3 つのタイプに分類されます。
CMK タイプ | 課金 | 保護方法とセキュリティレベル | ユースケース | キーマテリアルのソース |
ソフトウェア保護キー | ソフトウェアキー管理インスタンスが必要です。サブスクリプションおよび従量課金がサポートされています。 | ソフトウェアレベルの保護: KMS 内の専用の暗号化されたデータベースに保存されます。 | 一般的なユースケース: コストとセキュリティのバランスが取れています。 |
|
ハードウェア保護キー | ハードウェアキー管理インスタンスが必要で、サブスクリプションまたは従量課金で利用できます。 重要 このインスタンスを使用するには、2 つのハードウェアセキュリティモジュール (HSM) インスタンスも購入する必要があります。料金の詳細については、「Cloud Hardware Security Module の課金」をご参照ください。 |
| 高いコンプライアンスが求められるシナリオ: 金融、政府、および特定の暗号化ハードウェア要件を持つユースケースに適しています。コアの機密データを保護し、GM/T や FIPS などのコンプライアンス基準を満たすのに役立ちます。 |
|
外部キー (XKI) | 外部キー管理インスタンスが必要です。 |
| ハイブリッドまたはマルチクラウドの統合管理: これにより、独自の EKM でキーの制御を維持できます。 | 独自の EKM のみ |
サポートされるアルゴリズム
CMK は対称キーと非対称キーの両方をサポートします。詳細については、「キー管理タイプとキー仕様」をご参照ください。
デフォルトキー
デフォルトキーは、Alibaba Cloud サービス (KMS またはその他のサービス) によって自動的に作成され、無料です。これらのキーは管理機能が制限されていますが、統合された暗号化サービスを無料で便利に使用する方法を提供します。
デフォルトキーは、Alibaba Cloud サービスのサーバ側暗号化にのみ使用できます。暗号化と復号のための API 呼び出しなど、スタンドアロンの暗号化操作はサポートしていません。
KMS 1.0 から移行されたキーは読み取り専用状態であり、いかなる操作もサポートしていません。
タイプ比較
デフォルトキーのタイプ | キーソース | 操作の詳細 | 一意性 |
デフォルト CMK | KMS 3.0 でデフォルトで作成されます。 |
| 各 Alibaba Cloud アカウントは、リージョンごとに 1 つのデフォルト CMK のみ持ちます。 |
サービスキー | Object Storage Service (OSS) や ApsaraDB RDS などのクラウドサービスによって作成および使用されます。 |
| 各 Alibaba Cloud アカウントは、クラウドサービスごと、リージョンごとに 1 つのサービスキーに制限されます。 |
サポートされるアルゴリズム
デフォルトキーは対称キーのみをサポートします。詳細については、「キー管理タイプとキー仕様」をご参照ください。
機能比較と選択ガイド
統合とアプリケーションの比較
キータイプによって、サービス統合とアプリケーション開発の機能が異なります。次の表は、クラウドサービス統合と自己管理アプリケーション開発における各キータイプの機能を比較したものです。詳細については、「サーバ側暗号化のための KMS 統合の概要」、「自己管理アプリケーションとの KMS の統合」、および「Alibaba Cloud SDK」をご参照ください。
キータイプ | キーのサブタイプ | 自己管理アプリケーションの暗号化操作 | Alibaba Cloud サービスのサーバ側暗号化 | |
データ暗号化/復号 | 署名/検証 | |||
デフォルトキー | デフォルト CMK | |||
サービスキー | ||||
CMK | ソフトウェア保護キー | |||
ハードウェア保護キー | ||||
外部キー | ||||
キー管理機能の比較
キーによって、提供されるライフサイクル管理機能が異なります。次の表は、コンプライアンスと管理上の決定を支援するために、各キータイプの管理機能の概要を示しています。これらの操作を実行する方法の詳細については、次のドキュメントをご参照ください。
キーのローテーション: キーのローテーション
キーの削除: キー削除のスケジュールおよび削除保護の有効化。
キー識別子の管理: キーエイリアスの管理およびタグ管理。
外部キーマテリアルのインポート: 対称キーマテリアルのインポートおよび非対称キーマテリアルのインポート。
バックアップ管理: バックアップ管理
キータイプ | キーのサブタイプ | キーのローテーション | キー削除のスケジュール | 削除保護 | 外部キーマテリアルのインポート (BYOK) | バックアップ管理 |
デフォルトキー | デフォルト CMK | 説明 キーの付加価値サービス (VAS) の購入が必要です。 | ||||
サービスキー | ||||||
CMK | ソフトウェア保護キー | 説明 対称キーでのみサポートされます。 | ||||
ハードウェア保護キー | ||||||
外部キー | ||||||
デフォルトキーと CMK の両方が、キー識別子 (エイリアスとタグ) の管理をサポートしています。
セキュリティとパフォーマンスの比較
パフォーマンスに敏感なワークロードや高いコンプライアンスが求められるワークロードでは、パフォーマンス仕様と監査機能が重要な要素となります。以下の表は、各キータイプのパフォーマンスメトリックと監査サポートの詳細を示しています。詳細なパフォーマンスデータについては、「パフォーマンスメトリック」および「ActionTrail を使用して Key Management Service の管理イベントをクエリする」をご参照ください。
キータイプ | キーのサブタイプ | パフォーマンスリファレンス (対称暗号化/復号) | セキュリティ監査 |
デフォルトキー | デフォルト CMK | 1,000 リクエスト/秒。アップグレードはサポートされていません。 | すべてのキータイプがセキュリティ監査をサポートしています。 |
サービスキー | |||
CMK | ソフトウェア保護キー |
| |
ハードウェア保護キー |
| ||
外部キー | 1,000 リクエスト/秒。アップグレードはサポートされていません。 |
よくある質問
BYOK とは何ですか?
BYOK は、外部でキーマテリアルを生成し、それを KMS にインポートできる機能です。BYOK は機能であり、独立したキータイプではありません。次の表は、どのキータイプが BYOK をサポートしているかを示しています。
キータイプ | キーのサブタイプ | BYOK サポート | 詳細と操作 |
CMK | ソフトウェア保護キー | はい | キーを作成した後、手動でキーマテリアルをインポートする必要があります。詳細については、「対称キーマテリアルのインポート」および「非対称キーマテリアルのインポート」をご参照ください。 |
ハードウェア保護キー | |||
外部キー | いいえ | 外部からのインポートはサポートされていません。 | |
デフォルトキー | デフォルト CMK | はい | 初めてキーを有効にするときにのみ、外部キーマテリアルをインポートできます。 |
サービスキー | いいえ | 外部からのインポートはサポートされていません。 |
Alibaba Cloud のキータイプは、Amazon Web Services (AWS) のキータイプにどのように対応しますか?
Alibaba Cloud | Amazon Web Services (AWS) |
CMK | カスタマー管理キー |
サービスキー | AWS 管理キー |
付録: キーのコンポーネント
完全なキーは、キー識別子、メタデータ、キーマテリアルの 3 つの部分で構成されます。
キー識別子: キーの一意の参照で、コンソール、API、またはポリシーで使用されます。KMS は 3 種類の識別子をサポートしています。
ID: キーのプライマリ識別子として機能する一意の文字列。
Alibaba Cloud リソースネーム (ARN): リージョン ID、Alibaba Cloud アカウント ID、キー ID を含む包括的なリソース名。フォーマットは
acs:kms:<REGION_ID>:<ALIBABA_CLOUD_ACCOUNT_ID>:key/<KEY_ID>です。キーエイリアス: 特定のキーを指すことができるユーザー定義の名前。フォーマットは
alias/<ALIAS_NAME>です。
メタデータ: ID、作成日、ステータス (有効または無効など)、目的 (暗号化/復号または署名/検証) など、キーのプロパティを記述する情報。
キーマテリアル: 暗号化、復号、署名などの暗号化操作を実行するために使用されるバイナリデータ。KMS は、キーマテリアルの 2 つのソースをサポートしています。
Key Management Service: KMS がキーマテリアルを生成します。
外部 (キーマテリアルのインポート): ローカルでキーマテリアルを生成し、それを KMS にインポートします。