アプリケーションがStandardエディションの専用KMSインスタンスに接続された後、インスタンスはハードウェアセキュリティモジュール (HSM) を使用してリソースの分離と暗号化の分離を実装します。 これにより、信頼性が高く、安全で、準拠した機能を提供し、ビジネスデータを暗号化および保護できます。 HSMクラスターは、テナント固有の暗号化リソースプールです。 このトピックでは、Standardエディションの専用KMSインスタンスを有効にする方法、顧客マスターキー (CMK) を作成する方法、およびアプリケーションをインスタンスに接続する方法について説明します。
前提条件
Standardエディションの専用KMSインスタンスが購入されました。 詳細については、「専用KMSインスタンスの購入」をご参照ください。
Standard editionの専用KMSインスタンスは、専用KMSインスタンスのAlibaba Cloudアカウント内のData Encryption ServiceのHSMクラスターに接続されています。 Data Encryption Serviceで次の設定が完了していることを確認します。詳細については、「クラウドハードウェアセキュリティモジュールを使い始める」をご参照ください。
HSMクラスターが作成され、HSMがクラスターに追加されます。
HSMクラスタが初期化され、アクティブ化される。 HSMクラスターには、異なるゾーンに2つ以上のHSMが含まれます。 クラスターのステータスは有効です。 クラスターの初期化時に設定したClusterOwnerCertificateファイルは、専用KMSがHSMクラスターにアクセスするために必要なセキュリティドメイン証明書として使用されます。
kmsuserという名前の暗号ユーザーが作成され、kmsuserのパスワードが指定されます。 専用KMSは、ユーザーkmsuserを使用してHSMクラスターにアクセスし、キーを作成し、暗号化操作を実行します。
Step 1: Standard Editionの専用KMSインスタンスの有効化
KMS consoleにログインします。
Dedicated KMS ページで、 Standard Editionの専用KMSインスタンスを見つけ、 Actions 列のEnableをクリックします。
Connect to HSM ダイアログボックスで、HSM クラスターを指定します。
説明HSMクラスターは、Standard Editionの1つの専用KMSインスタンスにのみバインドできます。
アクセス資格情報を設定します。
Username: 暗号ユーザーのユーザー名。 この例では、値は
kmsuserとして固定されています。Password: ユーザーkmsuserのパスワード。 パスワードは、ユーザーkmsuserが作成されるときに指定されます。
Security domain certificate: PEM形式の認証局 (CA) 証明書。 Data Encryption Service consoleの [クラスターの詳細] ページでClusterOwnerCertificate ファイルをダウンロードできます。
Connect to HSMをクリックします。
数分待ってページを更新します。 インスタンスのステータスが Enabledに変わると、標準版の専用KMSインスタンスが有効になります。
Step 2: Standard Editionの専用KMSインスタンス用のCMKの作成
Dedicated KMS ページで、Standard Editionの専用KMSインスタンスを見つけ、 Actions 列のManage をクリックします。
User master key タブで、Create Keyをクリックします。 Create Key ダイアログボックスで、パラメーターを設定します。
Parameter
Description
Key Spec
CMKのタイプ。 有効な値:
対称CMKのタイプ:
Aliyun_AES_256
Aliyun_AES_128
Aliyun_AES_192
非対称CMKのタイプ:
RSA_2048
RSA_3072
RSA_4096
EC_P256
EC_P256K
HMAC_SHA256
HMAC_SHA512
Purpose
CMKの使用法。 有効な値:
Encrypt/Decrypt: データを暗号化または復号化します。
Sign/Verify: デジタル署名を生成または検証します。
Alias Name
CMKの識別子。 値には、英数字、アンダースコア (_) 、ハイフン (-) 、スラッシュ (/) を含めることができます。
Description
CMKの説明。
Advanced
Key Material Source
Alibaba Cloud KMS: 専用のKMSがキーマテリアルを生成します。
External: 専用KMSはキーマテリアルを生成しません。 外部ソースからキーマテリアルをインポートする必要があります。詳細については、「Import symmetric key material」をご参照ください。
説明[外部] を選択した場合、 I understand the implications of using the external key materials keyを読んで選択します。
Secondary Purpose: Key Specを非対称CMKタイプに設定すると、CMKの二次目的を指定できます。
OKをクリックします。
Step 3: アプリケーションをStandardエディションの専用KMSインスタンスに接続する
アプリケーションからStandard Editionの専用KMSインスタンスへのアクセスを管理するためのアプリケーションアクセスポイント (AAP) を作成します。
Dedicated KMS ページで、Standard Editionの専用KMSインスタンスを見つけ、Actions 列のDetails をクリックします。
Applications access Dedicated KMS セクションで、reate an application access pointをクリックします。
Configure Application Access Credential and Permissionsパネルで、パラメーターを設定してCreateをクリックします。
Name of Application Access Pointで名前を入力します。
Access Control Policiesの下にパラメーターを設定します。
Accessible Resources: デフォルト値は
Key/*です。 この値は、アプリケーションが専用KMSインスタンスのすべてのキーにアクセスできることを示します。Allowed IP Addresses: 専用KMSインスタンスへのアクセスが許可されているネットワークタイプとIPアドレス。 プライベートIPアドレスまたはCIDRブロックを入力できます。 複数のIPアドレスまたはCIDRブロックはコンマ (,) で区切ります。
Application Access Credential ダイアログボックスで、 Password と Credentialからパスワードとクライアントキーをコピーします。
Password: Copy をクリックしてパスワードを取得します。
Credential: Download をクリックしてクライアントキーを保存します。
クライアントキーはkeyIDとPrivateKeyDataで構成されています。 PrivateKeyDataの値はPKCS12形式でBase64-encodedされます。 例:
{ "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****", "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw==" }説明専用のKMSはパスワードやクライアントキーを保存しません。 クライアントキーを作成した後にのみ、パスワードとクライアントキーを取得できます。 あなたはそれらを秘密にしておかなければなりません。
Closeをクリックします。
専用KMSインスタンスを検証するためのCA証明書を取得します。
Applications access Dedicated KMS セクションで、Configure CA Certificate for Dedicated KMS Instanceの下にあるDownloadをクリックしてCA証明書ファイルをPEM形式でダウンロードします。
次に何をするか
You can use Dedicated KMS SDK to call the API operations of Dedicated KMS. For more information, see Dedicated KMS SDK for Java, Dedicated KMS SDK for PHP, Dedicated KMS SDK for Go, and Dedicated KMS SDK for Python.