COLUMN

1.AWS Key Management Service（KMS）とは？

AWS Key Management Service（KMS）とは、AWSのサービスやアプリケーションで使用する暗号化／復号化のためのキーを管理するサービスです。AWS KMSでは、KMSキーと呼ばれる暗号化／復号化のためのキーを作成、保管、使用、無効化、削除することができます。

KMSキーは、暗号化／復号化のためのキーをAWS KMS上で簡単に生成・保管でき、AWSのリージョンごとに管理されます。また、これらのキーはAWSの情報セキュリティ基準に従って安全に保護された状態で運用できる点が特徴です。

1-1.AWS KMSを使うメリット

AWS KMSを使う具体的なメリットは以下の3つです。

フルマネージド型

AWS KMSはAWSのフルマネージド型サービスのひとつです。そのため、キーを保管している物理的なサーバーの状態や情報セキュリティ対策に関して、ユーザーは管理する必要がありません。

AWS上で安全にキーを管理できる

暗号化／復号化のためのキーはAWS KMSで管理され、マスターキーはユーザーのローカル環境にはダウンロードできません。そのため、安全に保管できます。

キーの使用状況などは記録される

AWS KMS上で管理される暗号化／復号化のためのキーは、「ユーザーの詳細」「時間」「日付」「APIアクション」「使用状況」などがすべて記録されます。

ソフトウェアからAPIによってリクエストされた記録が残り、その記録はリスク管理はもちろん、デジタル的な法的証拠としても利用することができます。

AWSのお役立ち情報、活用事例やイベント情報などNTT東日本のクラウドエンジニアから週1回お届けするクラソルメールマガジンです。ぜひご登録ください。

2.AWS KMSの仕組みと使い方：データ暗号化／復号化

AWS KMSを実際利用する場合、どのように使えばよいでしょうか。ここでは、AWS KMSの使い方と仕組みについて、データ暗号化／復号化の流れを紹介します。

2-1.AWS KMSを使った暗号化の流れ

AWS KMSを使ってデータを暗号化する流れを紹介します。暗号化には、AWS Command Line Interface (CLI) やAWS SDK for Java 、AWS SDK for .NET 、AWS SDK for Python (Boto3) 、AWS SDK for JavaScript in Node.js等を使用します。

2-1-1. 1.AWS KMS上にCMK（カスタマーマスターキー）を作成

まず、マネージメントコンソールで、データを暗号化するときに利用するキーを生成するためのCMKを作成します。この際に、暗号化／復号化のためのキーの種類や、管理者・利用者権限の設定、キーポリシー設定を行います。

2-1-2. 2. CMKのKeyIDからデータキーを作成

AWS KMS上にCMKを作成したら、CMKを元にしたKeyIDから「データキー」を作成します。ここでは、暗号化と復号化を行うためのペアとして、以下の2種類のキーが作成されます。データを暗号化するために利用するのは、「暗号化用のデータキー」です。

• 暗号化用のデータキー：データを暗号化するためのキー
• CMKを元に暗号化されたデータキー：データ復号化のために利用するキー

CMK自体を用いてデータを直接暗号化することもできますが、通常は実際に実データの暗号化処理を行うためのデータキーを発行して、それを用いて暗号化を行います。

暗号化は、AWS CLIだけでなくAWS Management ConsoleやAWS SDKs、AWS CloudFormationなどで作成することが可能です。

2-1-3. 3. ローカル環境にてデータを暗号化

「2. CMKのKeyIDからデータキーを作成」で受け取った「暗号化用のデータキー」を使ってデータを暗号化します。

暗号化をするときには、AWS KMSへ何かをリクエストすることなく、ローカル環境のみで暗号化できます。

2-1-4. 4. 暗号化されていないデータキーを破棄

暗号化が完了したら、暗号化に利用した「暗号化用のデータキー」をすぐに破棄します。

万が一「暗号化用のデータキー」が第三者の手に渡った場合、暗号化したデータを簡単に復号化することができてしまい、セキュアな状態を保つことができなくなるためです。

2-2.AWS KMSを使った復号化の流れ

続いて、AWS KMSを使ってデータを復号化する流れを紹介します。復号化する際には、AWS Command Line Interface (CLI) やAWS SDK for Java 、AWS SDK for .NET 、AWS SDK for Python (Boto3) 、AWS SDK for JavaScript in Node.js等を使用できます。

2-2-1. 1. データキーの復号化

まずは、「暗号化の流れ」の中でユーザーが受け取った「CMKを元に暗号化されたデータキー」を復号化します。

このときに、データキーを復号化するため「KeyID」と「CMKを元に暗号化されたデータキー」をAWS KMSに渡し、「復号化されたデータキー」を受け取ります。

2-2-2. 2. ローカル環境にてデータを復号化

「1. データキーの復号化」で復号化したデータキーで、「暗号化されているデータ」を復号化します。

2-2-3. 3. 復号化したデータキーを破棄

データの復号化に利用した「復号化されたデータキー」を破棄します。

これで、データの復号化は完了です。

AWSのお役立ち情報、活用事例やイベント情報などNTT東日本のクラウドエンジニアから週1回お届けするクラソルメールマガジンです。ぜひご登録ください。

3.AWS KMSとAWS Secret Managerとの違い

前述の通り、AWS KMSは暗号化／復号化のためのCMKを管理しますが、同じようにAWSには認証情報を管理するサービス「AWS Secret Manager」があります。

どちらも機密情報を保管するサービスという意味では共通していますが、両者には以下のような違いがあります。

AWS Secret Manager：認証情報などのシークレットを保管する

AWS KMS：データを暗号化／復号化するために利用するキーを作成するためのCMKを保管する

データベースに接続するための認証情報であるシークレットを利用する場合はAWS Secret Managerを利用し、データの暗号化や復号化を安全に行いたい場合にはAWS KMSを利用するなど、利用シーンに合わせてサービスを選定できるということです。

4.AWS KMSの利用料金

AWS KMSの料金は、CMKの使用量や暗号化リクエストの回数によって決定されます。

AWS KMSでCMKなどを保管している期間は、月1USD（1時間ごとに割り引かれる）の料金がかかります。キー作成やキーを保管するストレージに対する料金はかかりません。

ただし、APIリクエストに対して無料利用枠（合計20,000リクエスト／月）を超えた場合は費用がかかります。

無料利用枠を超えた場合の料金についてはリージョンによって異なります。ここでは「アジアパシフィック（東京）」の場合を紹介します。

• 10,000リクエストあたり0.03USD
• RSA2048キーを含むリクエスト10,000 件あたり0.03USD
• 10,000 ECC GenerateDataKeyPairリクエストあたり0.10USD
• RSA2048を除く非対称リクエスト10,000 件あたり0.15USD
• RSA GenerateDataKeyPairリクエスト10,000件あたり12.00USD

詳しくは、以下の公式ページをご参照ください。

AWS Key Management Service の料金（AWS）

AWSのお役立ち情報、活用事例やイベント情報などNTT東日本のクラウドエンジニアから週1回お届けするクラソルメールマガジンです。ぜひご登録ください。

5.AWSの運用ならぜひNTT東日本にご相談ください

AWS KMSは、AWSが提供する鍵管理サービスで、AWSで利用する暗号化／復号化のためのキーを作成、保管、使用、無効化などができます。しかし、利用するには、多くの知識や経験が必要です。

AWSの認定パートナーであるNTT東日本は、AWSのサービスに関する豊富な知識と経験を持っています。また、お客さまのニーズに合わせて、AWSのサービス選定や設計、構築や運用などをご提案いたします。

不明点や気になる点がありましたら、以下「クラウドに関するご相談・お問い合わせフォーム」よりお問い合わせください。

NTT東日本のクラウド導入・運用 for AWS / Microsoft Azure

AWS KMSについてまとめ

AWS KMSとは、AWSのサービスやアプリケーションで使用する暗号化／復号化のためのキーを管理するサービスで、利用することで、KMSキーと呼ばれる暗号化／復号化のためのキーを作成、保管、使用、無効化、削除することができます。

貴社でAWS KMSについてお悩みのことがありましたら、ぜひNTT東日本へお気軽にご相談ください。