KMS との統合 - - Alibaba Cloud ドキュメントセンター

Alibaba Cloud は、Key Management Service (KMS) のキーを使用して、Alibaba Cloud サービスに保存されているデータを暗号化できます。 Alibaba Cloud の暗号化は、Advanced Encryption Standard (AES) 256 ビットアルゴリズムをサポートしており、機密データの暗号化要件を満たしています。

Alibaba Cloud サービスと KMS の統合には、次の利点があります。

Alibaba Cloud サービスに保存されているデータのセキュリティとプライバシー保護の強化
Alibaba Cloud サービスは、KMS キーを使用してあらゆるデータを暗号化できます。このデータには、直接アクセスできるデータや間接的にしかアクセスできない Alibaba Cloud サービスの内部データ (データベースエンジンで生成されたファイルなど) が含まれます。これにより、Alibaba Cloud サービスに保存されているデータのセキュリティとプライバシーが確保されます。
ユーザー独自のデータ暗号化システムの開発が不要
ユーザー独自のデータ暗号化システムを開発するには、以下の作業が必要です。
- 暗号化のパフォーマンスとセキュリティのバランスをとるため、適切なキー階層とデータ分散モードを設計する。
- キーローテーションとデータ再暗号化方式を設計する。
- 暗号化アルゴリズムの堅牢性、安全性、改ざん防止性を確保するため、暗号化技術を習得する。
- データ永続性を確保するため、システムのエンジニアリングの堅牢性と信頼性を改善する。
Alibaba Cloud サービスと KMS の統合により、複雑なエンジニアリングとセキュリティの問題がすべて解決され、研究開発コストが削減されます。

適切なキーの選択

データ保護要件に応じて、KMS に保存されているさまざまな種類のキーを暗号化用に選択できます。

サービス管理キー
各 Alibaba Cloud サービスは、KMS にデフォルトキー (サービスキーとも呼ばれます) を作成できます。このサービスキーは、ユーザーが管理する必要はありません。 Alibaba Cloud サービスで管理されます。また、このサービスキーの使用を Alibaba Cloud サービスに対して明示的に許可する必要もありません。 ActionTrail を使用して、Alibaba Cloud サービスによるサービスキーの使用を監査できます。

サービスキーを簡単に識別できるように、サービスキーの Creator 属性には Alibaba Cloud サービスのコードが設定され、サービスキーは acs/<Alibaba Cloud service code> の形式で特別なエイリアスに関連付けられています。たとえば、Object Storage Service (OSS) で作成されたサービスキーの Creator 属性は OSS に設定され、サービスキーはエイリアス acs/oss に関連付けられます。
ユーザー管理キー
ユーザーが作成したキーを使用して、Alibaba Cloud サービスに保存されているデータを暗号化できます。これにより、データの暗号化方法をより詳細に制御できます。ユーザーが作成したキーを使用するには、Alibaba Cloud サービスを明示的に許可する必要があります。 Resource Access Management (RAM) を使用して許可できます。 RAM で権限ポリシーを設定し、Alibaba Cloud サービスにポリシーを付与することで、KMS に保存されているカスタマーマスターキー (CMK) の使用を Alibaba Cloud サービスに許可/拒否できます。 Alibaba Cloud サービスが KMS に CMK をリクエストすると、KMS は RAM を介して Alibaba Cloud サービスの権限をチェックします。

KMS で生成されたキーの他に、Bring Your Own Key (BYOK) 機能を使用してオフラインキーマテリアルを KMS の CMK に安全にインポートし、これらの CMK をユーザー自身のキーとして使用できます。この方法では、キーをより詳細に制御できます。たとえば、KMS で生成されたキーマテリアルをすぐに削除することはできませんが、KMS にインポートされたキーマテリアルはすぐに削除できます。 BYOK 機能を使用する場合は追加の管理コストが発生するため、注意してください。詳細については、「キーマテリアルのインポート」をご参照ください。

Alibaba Cloud サービスのデータの暗号化

Alibaba Cloud サービスの暗号化の設計は、ビジネス形態や顧客のニーズに応じて異なります。通常、2 層以上で構成されるキー階層が使用され、ビジネスデータはエンベロープ暗号化方式を使用して暗号化されます。

1 番目の層は KMS の CMK で、2 番目の層はデータキー (DK) です。 CMK は DK の暗号化と復号化に使用され、DK はビジネスデータの暗号化と復号化に使用されます。ビジネスデータを永続的なストレージ媒体に保存する場合、Alibaba Cloud サービスは、DK の暗号文 (CMK を使用して KMS が暗号化) とビジネスデータの暗号文 (DK を使用して Alibaba Cloud サービスが暗号化) をこの媒体に書き込みます。この方式は、エンベロープ暗号化と呼ばれます。 DK の暗号文とビジネスデータの暗号文は、エンベロープにまとめられています。暗号化データを読み取る際、Alibaba Cloud サービスは DK の暗号文とビジネスデータの暗号文を読み取ります。 Alibaba Cloud サービスは、DK の暗号文を復号化してから、復号化した DK を使用してビジネスデータの暗号文を復号化する必要があります。

エンベロープ暗号化では、CMK は KMS のキー管理インフラストラクチャによって保護されます。ビジネスデータを暗号化するために CMK を使用して DK を生成したり、ビジネスデータを復号化するために DK の暗号文を復号化したりするには、Alibaba Cloud が許可されていなければなりません。 DK の平文は Alibaba Cloud サービスインスタンスが存在するホストのメモリの外に出ることはありません。つまり、DK が平文で永続ストレージ媒体に保存されることはありません。