KMSとは
データの保護に使用される暗号化キーの作成と管理を行うマネージドサービス。資格においてもAWS SCSでも頻出だが、キーのタイプで「対称/非対称」といった馴染みのないワードが出てきて混乱しやすいサービスであるため、今回はカスタマー管理型キーのパラメータの設定内容がどういうものかに焦点を当ててまとめていきたい。
設定内容
対称/非対称と書くとわかりづらいが、[アップデート] KMS で非対称キーペア(公開鍵暗号方式)が利用できるようになったのでデジタル署名を試してみました!によると、要するに「公開鍵暗号化方式」と「共通鍵暗号方式」のことらしい。
基本情報を勉強した人なら上記の方式でピンとくるだろうが、そうでない人は共通鍵暗号と公開鍵暗号とはを参考にしつつ、「共通の鍵を使う=共通鍵暗号方式=対称」、「暗号化と復号化で別の鍵を使う=公開鍵暗号化方式=非対称」と覚えるとわかりやすいだろう。
HMACは、公開鍵、秘密鍵、ハッシュを組み合わせることで、ハッカーが情報を解凍できないようにするメッセージ認証の暗号化技術で、例えばJSON Webトークン(JWT)、トークン化されたクレジットカード情報、送信されたパスワードなどのメッセージの信頼性を判断するために使用されるするもの。
キーマテリアルは暗号化アルゴリズムで使用されるビット単位の文字列で、KMSを選択すれば、そのままKMSがキーマテリアルを作成する。
独自のキーを使いたい場合は外部やAWS CloudHSMクラスターを使用したい場合カスタムキーストアを使用する。
リージョンではマルチリージョンを選択すると、1つのAWSリージョン でデータを暗号化し、再暗号化やAWS KMSへのクロスリージョン呼び出しを行うことなく、異なるAWSリージョンで復号できる。この設定をすることでディザスタディカバリが可能になったり、マルチリージョンでデータ管理ができるメリットが生まれる。
※その他はキーの表示名やタグなどなので省略。
参考