SAA-C03向けメモ
HSM (Hardware Security Module)
デジタルキーを保護、管理し、暗号/復号化機能を実行する物理コンピューティングデバイス
AWS KMS
| キータイプ | 使用範囲 | 管理 | 削除 | 作成 | 自動ローテーション |
|---|---|---|---|---|---|
| AWSマネージドキー | 特定サービスのみ | AWS | 不可 | AWSがKMS HSMで作成 | 1年ごと(強制) |
| カスタマーマネージドキー | 制限なし | ユーザー | 可 | ①ユーザーがKMS HSMで作成(デフォルト) | 90日〜7年の間で選択可(無効化可) |
| ②ユーザーが外部で作成し、インポート | 不可 | ||||
| ③ユーザーがAWS Cloud HSMで作成 | 不可 |
カスタマーマネージドキーのみ、鍵を共有が可能。
共有する対象のAWSアカウントIDを鍵の使用者として追加する
ユースケース: 他のAWSアカウントと、暗号化されたAMIやDBのスナップショットなどを共有する。
参考
https://aws.amazon.com/jp/about-aws/whats-new/2024/04/aws-kms-automatic-key-rotation/