どちらも暗号鍵を管理するAWSサービスですが、違いは誰(AWSか利用者)が鍵を管理するかです。
| 項目 | AWS KMS | AWS CloudHSM |
|---|---|---|
| 管理主体 | AWS | 利用者 |
| HSM | AWS共有管理 | 専有HSM |
| 運用負荷 | 低い | 高い |
| AWS連携 | 簡単 | 設定が必要 |
| 主な用途 | 一般的な暗号化 | 厳格な鍵管理 |
下記にてもう少し詳しく説明します。
1.AWS KMS
AWSが鍵管理を行うマネージドサービス。
S3、EBS、RDSなどと簡単に連携でき、運用負荷が低い。
例:
S3を暗号化したい → KMS
2.AWS CloudHSM
利用者専用のHSMを利用し、鍵を自社管理するサービス。
金融・規制対応など、厳格なセキュリティ要件向け。
例:
秘密鍵を完全に自社管理したい → CloudHSM
覚え方(試験対策)
KMS = AWSに鍵管理を任せる
CloudHSM = 鍵も自分で管理する