Key Management Service

プロダクト紹介

Key Management Serviceとは

Key Management Service (KMS) は、Alibaba クラウドが提供する安全で使いやすい管理サービスです。 KMS により、キーの機密性、整合性、および可用性を保護に多大な労力を費やすことなく、キーを安全かつ便利に使用し、暗号化および復号化機能の開発に集中できます。

シナリオ

役割 要求 KMS ソリューション
アプリケーション / web サイト開発者 開発者はプログラムにおいて暗号化や署名のためのキーや証明書が必要です。また安全で独立したキー管理を求めています。 アプリケーションがどこにデプロイされていても、安全にキーにアクセス仕組みが必要です。当然、非常に危険なため、どこにでも平文のキーをデプロイすることはありません。 エンベロープ暗号化テクノロジを使用すると、カスタマーマスターキー (CMK) を KMS に格納し、暗号化されたデータキーのみをデプロイできます。 必要に応じて KMSを呼び出し、データキーを復号化するだけです。
サービス開発者 暗号鍵の管理は、SaaS サービス提供者としては堅実は仕組みを提供しつつ、 責任分担としてはユーザーの範囲としたく考えています。 特定のキーを使用し、その認証でデータを暗号化します。このようにして、私はサービス機能の開発に集中することができます。 平文は直接ストレージデバイスに格納されません。 これにより、サービス開発者がユーザーのキーを管理する方法について心配する必要がなくなります。
セキュリティ最高責任者 (CSO) 自社内における暗号鍵の管理運用が、コンプライアンス要件を満たしている必要があります。 暗号鍵の権限設定と、暗号鍵の使用履歴の監査が可能であることも必要です。 KMS を RAM と関連付けて、統合された権限管理を行うことができます。

用語集

次の用語は、KMS の主要な概念です。

 
用語 フルネーム 定義
KMS Key Management Service Alibaba クラウドキー管理サービス
Envelope encryption エンベロープ暗号化 エンベロープ暗号化は、一意のデータキーを使用して平文データを暗号化し、キー暗号化キー (EDK) を使用してデータキーを暗号化する方法です。 EDK を別の EDK で暗号化するように選択することもできますが、最終的にはマスターキーを持っている必要があります。 マスターキーは、暗号化されていない (平文) キーで、他の 1 つ以上のキーを復号化できます。
CMK Customer Master Key (CMK) CMK は Alibaba クラウド KMSを使用して生成されたマスターキーです。 データキーを暗号化してエンベロープ暗号化を生成できます。 少量のデータも暗号化できます。
EDK/DK Enveloped Data Key/Data Key DK はデータを暗号化するための平文キーで、EDK はエンベロープ暗号化を使用して DK を暗号化するためのキーです。

制限事項

KMS はリージョンベースのサービスです。 各ユーザーの KMS リソースと制限はリージョンによって異なります。 サポートされるリージョンの詳細は、リクエスト構造をご参照ください。

CMK の制限

ユーザーは各リージョンに最大 200 の CMK を作成できます。
より多くの CMK を作成する場合は、チケットを起票し、サポートセンターにお問い合わせください。

エイリアスの制限

ユーザーは各リージョンに最大 300 の エイリアス を作成できます。
より多くの エイリアス を作成する場合は、チケットを起票し、サポートセンターにお問い合わせください。

クイックスタート

手順

  1. KMS コンソールで CMK を作成して表示します。
  2. KMS API を呼び出します。

FAQ

KMS のエンドポイントにアクセス不可の問題

データのセキュリティを確保するため、Key Management Service は HTTPS のみをサポートしています。HTTPS だけなので、SDK を使用して Key Management Service にアクセスするときに HTTPS が有効になっていることを確認してください。

  1. req.setProtocol(ProtocolType.HTTPS);

復号化時のエラー"Forbidden.KeyNotFound" 問題

データが暗号化されたリージョンと別リージョンでデータを復号化しようとすると、該当エラーが発生します 。キー管理サービスは、各リージョンで完全に独立しています。同じリージョンでデータ暗号化と復号化することを確認してください。