そろそろAWS SAPの更新時期がきたので覚え直しのためにAWS KMSについて調べてみた。3年更新短くないっすか。。。
AWS KMSとは
データ保護に使用される暗号化キーの作成と制御を容易にするマネージドサービス。対象暗号化と非対象暗号化をサポートしており、ハードウェアセキュリティモジュール(HSM)を使用してKMSキーを保護する。AWSにはCloudHSMというサービスもあり、こちらも暗号化キーの作成・管理を行うが、専用ハードウェアに保管されるためKMSより高価。
KMS公式はこちら
docs.aws.amazon.com
対象暗号化と非対称暗号化
対象暗号化 (Symmetric Encryption)
・キー: 暗号化と復号化の両方で同じ鍵を使用する。
・速度: 一般的には非対称暗号化よりも高速。
・用途: 大量のデータを高速に暗号化/復号化する場面でよく使われる。
・安全性: 鍵が漏れると、その鍵を持っている者はデータを復号化できてしまう。
・代表的なアルゴリズム: AES, DES, Triple-DES, Blowfish, RC4など。
非対称暗号化 (Asymmetric Encryption)
・キー: 2つの鍵、すなわち公開鍵と秘密鍵を使用する。公開鍵で暗号化されたデータは、対応する秘密鍵でのみ復号化できる(逆もまた真)。
・速度: 対称暗号化に比べて遅い。
・用途:
・デジタル署名: メッセージの真正性や完全性を確認するため。
・セキュアな鍵の交換: 例えば、Diffie-HellmanやRSAを使用してセッション鍵を安全に交換する。
・安全性: 秘密鍵は秘密に保たれ、公開鍵は公開することができます。秘密鍵が漏れない限り、データの安全性は保たれる。
・代表的なアルゴリズム: RSA, DSA, Elliptic Curve Cryptography (ECC), Diffie-Hellmanなど。
KMSキーの種類
・CMK(CustomerMasterKey):CDKを暗号化する鍵。
※CustomerManagedKeyで管理形態かと思っていた(;・∀・)
・CDK(CustomerDataKey):データを暗号化する鍵。
CMK種類
・カスタマー管理CMK:AWSユーザが作成し管理する。1年更新。
・AWS管理CMK:AWS側で作成し、管理する。1年更新。
※2022年5月に3年から1年更新に変更。
docs.aws.amazon.com
・AWS所有CMK:AWSが所有しているキー。ユーザは触れられない。