Key Management Service (KMS) インスタンスは、キーとシークレットを管理するための機能を提供します。キーを使用して機密データと認証情報を暗号化および復号し、コードにハードコーディングするリスクを軽減できます。これにより、ビジネスデータのセキュリティが強化されます。このトピックでは、KMS インスタンスを購入して有効化する方法について説明します。
ステップ 1: KMS インスタンスの購入
KMS コンソールにログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、を選択します。
インスタンス管理 ページで、インスタンスの作成 をクリックし、課金方法を選択し、購入する KMS インスタンスのインスタンスタイプを選択してから、[今すぐ購入] をクリックします。
サブスクリプション
パラメーター
説明
サイト
KMS インスタンスのリージョンが属するサイト。オプション: 国際リージョン および 中国本土リージョン。
インスタンスタイプ
KMS は、各リージョンでクラウドプロダクトの暗号化のために、サービスキーやマスターキーを含むデフォルトキーを提供します。デフォルトキーを使用するために KMS インスタンスを購入する必要はありませんが、機能は制限されます。デフォルトキーは KMS によって無料で提供されます。キーローテーション機能のみ、付加価値サービス (VAS) の購入が必要です。その他のシナリオは無料です。
KMS インスタンスを購入する前に、詳細については、「プロダクトの選択」をご参照ください。デフォルトキーと KMS インスタンスの詳細について説明しています。
KMS インスタンスの購入
ほとんどの場合、ソフトウェアキー管理インスタンスで十分です。ビジネスで物理レベルのセキュリティ保護が必要な場合や、金融規制などの厳しいコンプライアンス要件を満たす必要がある場合は、ハードウェアキー管理インスタンスを選択してください。
ソフトウェアキー管理: キーは専用のデータベースに保存されます。
ハードウェアキー管理: キーの生成、ストレージ、暗号化、復号は、Guomi または FIPS 140-2 Level 3 認証に準拠した専用のハードウェアセキュリティモジュール (HSM) に依存します。このタイプのインスタンスを選択する場合、HSM も購入する必要があります。詳細については、「KMS ハードウェアキー管理インスタンスの HSM クラスターを設定する」をご参照ください。
キーの付加価値サービスの購入
インスタンスバックアップ: この付加価値サービスは、ソフトウェアキー管理インスタンスにのみ適用されます。ソフトウェアキー管理インスタンスが有効化されると、KMS は過去 90 日間のデータの無料バックアップを自動的に作成します。まず、無料バックアップ機能について学ぶことをお勧めします。この機能がビジネス要件を満たさない場合は、インスタンスバックアップを購入できます。詳細については、「バックアップ管理」をご参照ください。
デフォルトキーのローテーション: この付加価値サービスは、無料のデフォルトキーにのみ適用されます。詳細については、「デフォルトキーのローテーション」をご参照ください。
説明KMS インスタンスを購入すると、インスタンス内のキーはデフォルトでローテーションをサポートします。この付加価値サービスを購入する必要はありません。
リージョン
ビジネスと同じリージョンにデプロイすることをお勧めします。詳細については、「サポートされているリージョン」をご参照ください。
デプロイモード
KMS インスタンスは、高可用性、ディザスタリカバリ、および負荷分散を提供するために、デュアルゾーンまたはマルチゾーン構成をサポートしています。
説明フィリピン (マニラ) およびタイ (バンコク) リージョンの KMS インスタンスは、利用可能なゾーンが 1 つしかないため、シングルゾーンデプロイメントのみをサポートします。この場合、デプロイモードはデフォルトでシングルゾーンになります。
マルチゾーンデプロイメントは、最大 3 つのゾーンをサポートします。
各リージョンのゾーン数に関する詳細については、「リージョンとゾーン」をご参照ください。
コンピューティングパフォーマンス
KMS インスタンスのパフォーマンスデータ。たとえば、値が 2,000 の場合、対称アルゴリズムを独立して処理する場合の最大コンピューティングパフォーマンスは 2,000 QPS、非対称アルゴリズムを独立して処理する場合の最大コンピューティングパフォーマンスは 300 QPS であることを示します。
説明パフォーマンスが 10,000 または 20,000 のソフトウェアキー管理インスタンスが必要な場合は、お問い合わせください。
キークォータ
キークォータ。デフォルト値は 1,000 です。
キークォータは、キーの数ではなく、キーバージョンの数に基づいて計算されます。たとえば、キーに 5 つのバージョンがある場合、キークォータから 5 を消費します。
シークレットクォータ
シークレットクォータ。デフォルト値は 0 です。
シークレットクォータは、シークレットバージョンの数に関係なく、シークレットの数に基づいて計算されます。シークレットは、バージョンがいくつあっても、シークレットクォータから 1 つしか消費しません。
説明ビジネスにシークレットが関与しない場合は、今すぐクォータを購入する必要はありません。必要に応じて後でインスタンスをアップグレードして、シークレットクォータを購入できます。
アクセス管理クォータ
このクォータは 2 つの機能に関連しています。
同一リージョン内の複数の VPC から KMS インスタンスにアクセスする: 同一リージョン内の複数の VPC が KMS リソースにアクセスできるようにします。必要なクォータ数は VPC の数と同じです。
マルチアカウント KMS インスタンス共有: インスタンスを共有する Alibaba Cloud アカウントごとに 1 つのクォータが必要です。
たとえば、インスタンスを 3 つの VPC に関連付け、2 つの Alibaba Cloud アカウントと共有する必要がある場合、ビジネスニーズを満たすにはアクセス管理クォータが少なくとも 5 である必要があります。
デフォルト値は 1 です。これにより、1 つのインスタンスにアタッチされた VPC が KMS リソースにアクセスできます。
ログ分析
ログ分析機能を有効にするかどうかを指定します。詳細については、「Simple Log Service の概要」をご参照ください。
警告ログ分析は有効にすると無効にできません。料金に関する情報については、「プロダクトの課金」をご参照ください。
ログストレージ容量
最低 1,000 GB が必要です。容量は 1,000 GB 単位で増加します。詳細については、「必要なログストレージ容量の計算方法」をご参照ください。
数量
購入する KMS インスタンスの数。
重要通常、購入する必要がある KMS インスタンスは 1 つだけです。複数の KMS インスタンスを購入するには、お問い合わせください。
サブスクリプション期間
サブスクリプション期間を選択します。
説明[有効期限切れ時に自動更新] を選択できます。インスタンスは有効期限が切れると自動的に更新されます。
従量課金
パラメーター
説明
課金方法
固定値: 従量課金 3.0。
インスタンスタイプ
ほとんどの場合、ソフトウェアキー管理インスタンスで十分です。ビジネスで物理レベルのセキュリティ保護が必要な場合や、金融規制などの厳しいコンプライアンス要件を満たす必要がある場合は、ハードウェアキー管理インスタンスを選択してください。
ソフトウェアキー管理: キーは専用のデータベースに保存されます。
ハードウェアキー管理: キーの生成、ストレージ、暗号化、復号は、Guomi または FIPS 140-2 Level 3 認証に準拠した専用のハードウェアセキュリティモジュール (HSM) に依存します。このタイプのインスタンスを選択する場合、HSM も購入する必要があります。詳細については、「KMS ハードウェアキー管理インスタンスの HSM クラスターを設定する」をご参照ください。
リージョン
ビジネスと同じリージョンにデプロイすることをお勧めします。詳細については、「サポートされているリージョン」をご参照ください。
[利用規約] を読み、[今すぐアクティベート] をクリックして購入を完了します。
購入が成功した後、1〜5 分待ちます。その後、インスタンス管理 ページで購入したインスタンスを表示できます。
ステップ 2: インスタンスの有効化
インスタンスを購入した後、キーとシークレットの管理機能を使用する前に、インスタンスを有効化する必要があります。
ソフトウェアキー管理インスタンスの有効化
前提条件
1 つの VPC と 1 つの vSwitch が必要です。
インスタンスを有効化する前に、まず VPC 管理コンソールにログインして、既存の VPC、vSwitch、および vSwitch が配置されているゾーンを表示することをお勧めします。新しい VPC と vSwitch を作成することもできます。詳細については、「VPC と vSwitch の作成」または「vSwitch の作成」をご参照ください。
Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土以外で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイト (alibabacloud.com) アカウントを使用して中国本土でインスタンスを購入する場合は、Cloud DNS PrivateZone を手動で有効にする必要があります。詳細については、「PrivateZone の有効化」をご参照ください。
説明Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土でインスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土以外でインスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効にします。手動で有効にする必要はありません。
KMS はインスタンスの名前解決のコストをカバーします。PrivateZone に料金を支払う必要はありません。
手順
KMS コンソールにログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、を選択します。
ソフトウェアキー管理 タブで、対象のソフトウェアキー管理インスタンスを見つけ、操作 列の 有効化 をクリックします。
Enable KMS Instance パネルで、設定を完了し、Enable Now をクリックします。
パラメーター
説明
Instance Name
インスタンスのカスタム名を入力します。名前には、文字、数字、および特殊文字
_/+=.@-を含めることができます。VPC ID
インスタンスにアタッチする VPC を選択します。
Zone Configuration
これは、インスタンス購入時に選択したデプロイモードに関連しています。デュアルゾーンまたはマルチゾーンデプロイメントがサポートされています。マルチゾーンデプロイメントの場合、最大 3 つのゾーンを設定します。
Zone and vSwitch Configuration: ゾーンと vSwitch を設定します。vSwitch に少なくとも 1 つの利用可能な IP アドレスがあることを確認してください。
Other Zones: ゾーンをランダムに割り当てるか、手動で指定することができます。
説明一部のリージョンでは 1 つのゾーンしか提供されていません。これらのリージョンのインスタンスは、シングルゾーンにのみデプロイできます。
デュアルゾーンまたはマルチゾーンデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を実現するために使用されます。サービスが配置されているゾーンとそうでないゾーンを選択することによる待機時間とパフォーマンスの差はごくわずかです。必要に応じて選択してください。
約 30 分待ってからページを更新します。ソフトウェアキー管理インスタンスのステータスが Enabled に変わると、インスタンスは有効化されます。
ハードウェアキー管理インスタンスの有効化
前提条件
KMS インスタンスが接続できる暗号化クラスターを設定しておく必要があります。詳細については、「KMS ハードウェアキー管理インスタンスの暗号化クラスターを設定する」をご参照ください。
警告HSM クラスター内の HSM の数を拡張する予定がある場合は、Alibaba Cloud テクニカルサポートに連絡して、クラスターの同期方法を自動同期に変更してください。これにより、同期の失敗を防ぐことができます。
KMS インスタンスに設定された各ゾーンに vSwitch があることを確認してください。次のセクションでは、デュアルゾーンデプロイメントを例として使用します。
(推奨) HSM インスタンスにアタッチされている 2 つの vSwitch を使用します。この場合、vSwitch を作成する必要はありません。各 vSwitch に 4 つの利用可能な IP アドレスが予約されていることを確認するだけです。
HSM インスタンスにアタッチされている 2 つの vSwitch を使用しない場合は、異なるゾーンに 2 つの vSwitch を作成する必要があります。各 vSwitch に 4 つの利用可能な IP アドレスが予約されていることを確認してください。詳細については、「vSwitch の作成」をご参照ください。
VPC コンソールにログインし、[vSwitch] ページで対象の vSwitch をクリックし、詳細ページで利用可能な IP アドレス数を確認できます。
Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土以外で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土で KMS インスタンスを購入する場合は、Cloud DNS PrivateZone を手動で有効にする必要があります。詳細については、「PrivateZone の有効化」をご参照ください。
説明Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土以外で KMS インスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効にします。手動で有効にする必要はありません。
KMS は KMS インスタンスの名前解決のコストをカバーします。PrivateZone に料金を支払う必要はありません。
手順
KMS コンソールにログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、を選択します。
ハードウェアキー管理 タブをクリックし、対象のハードウェアキー管理インスタンスを見つけ、操作 列の 有効化 をクリックします。
Connect to HSM パネルで、設定を完了し、Connect to HSM をクリックして HSM クラスターを指定します。
パラメーター
説明
Instance Name
インスタンスのカスタム名を入力します。名前には、文字、数字、および特殊文字
_/+=.@-を含めることができます。Select Cluster
CloudHSM で設定した HSM クラスターを選択します。
説明ハードウェアキー管理インスタンスは、1 つの HSM クラスターにのみアタッチできます。
Configure HSM Access Secret.
中国本土の HSM クラスター
ハードウェアキー管理インスタンスは、双方向 TLS 認証を使用して HSM に接続します。HSM を購入する際に証明書を自動的に生成することを選択できます。クライアント SDK 側で証明書を設定するだけで、HSM は自動的にサーバー側の暗号化マシンにデプロイします。HSM が証明書を自動的に生成するように設定しない場合は、クライアント証明書 (セキュリティトークン付きの PKCS12 形式の証明書) とセキュリティドメイン証明書 (HSM クラスターの TLS サーバー側証明書を発行するために使用される PEM 形式の CA 証明書) を設定する必要があります。証明書の生成方法の詳細については、「マスター HSM インスタンスの双方向 TLS 認証を設定する」をご参照ください。
Client Protection Password: クライアント証明書
client.p12を生成する際に設定した保護パスワード。証明書生成ツール (hsm_certificate_generate) を使用する場合、デフォルトのパスワードは12345678です。Client Certificate: PKCS12 証明書。Select File をクリックし、生成された
client.p12ファイルを選択してアップロードします。Security Domain Certificate: PEM 形式の CA 証明書。Select File をクリックし、生成された
rootca.pemファイルを選択してアップロードします。
中国本土以外の HSM クラスター
Username: HSM オペレーターのユーザー名 (固定で
kmsuser)。Password: HSM オペレーターのアクセスパスワード。これは、HSM オペレーターを作成したときに設定したパスワードです。
Security Domain Certificate: PEM 形式の CA 証明書。CloudHSM コンソールにログインし、クラスター内の任意の HSM インスタンスの ID をクリックし、[インスタンス詳細] タブの下部にある [ClusterOwnerCertificate] を見つけます。これがセキュリティドメイン証明書です。コンテンツを直接コピーするか、PEM ファイルとして保存してからアップロードします。
VPC ID
デフォルトでは、これは HSM にアタッチされた VPC の ID です。変更することはできません。
Configure Zone and vSwitch
これは、インスタンス購入時に選択したデプロイモードに関連しています。デュアルゾーンまたはマルチゾーンデプロイメントがサポートされています。各ゾーンの vSwitch には、4 つの利用可能な IP アドレスを予約する必要があります。
マルチゾーンデプロイメントの場合、最大 3 つのゾーンを設定します。
説明デュアルゾーンまたはマルチゾーンデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を実現するために使用されます。サービスが配置されているゾーンとそうでないゾーンを選択することによる待機時間とパフォーマンスの差はごくわずかです。必要に応じて選択してください。
インスタンスを購入する際にシークレットクォータを選択した場合は、約 30 分待ってからページを更新してください。シークレットクォータを選択しなかった場合は、約 10 分待ってからページを更新してください。ハードウェアキー管理インスタンスのステータスが Enabled に変わると、インスタンスは有効化されます。
外部キー管理インスタンスの有効化
前提条件
外部 HSM を購入し、XKI プロキシを設定しておく必要があります。詳細については、HSM プロバイダーにお問い合わせください。
説明詳細については、「XKI プロキシサーバー」をご参照ください。
KMS は、パブリックエンドポイントまたは VPC エンドポイントサービスを使用して XKI プロキシに接続できます。VPC エンドポイントを使用するには、まずエンドポイントサービスを作成します。詳細については、「エンドポイントサービスの作成と管理」をご参照ください。エンドポイントサービスを作成する際は、次の点に注意してください。
エンドポイントサービスの 2 つのゾーンは、KMS インスタンスを有効化する際に選択したゾーンと同じである必要があります。
現在の Alibaba Cloud アカウントをエンドポイントサービスのホワイトリストに追加する必要があります。
エンドポイントサービスの [接続の自動受け入れ] 設定は [はい] に設定する必要があります。
Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土以外で KMS インスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土で KMS インスタンスを購入する場合は、PrivateZone を手動で有効にする必要があります。詳細については、「PrivateZone の有効化」をご参照ください。
説明Alibaba Cloud 中国サイト (aliyun.com) アカウントを使用して中国本土でインスタンスを購入する場合、または Alibaba Cloud 国際サイトアカウントを使用して中国本土以外でインスタンスを購入する場合、Alibaba Cloud は自動的に PrivateZone を有効にします。手動で有効にする必要はありません。
KMS は KMS インスタンスの名前解決のコストをカバーします。PrivateZone に料金を支払う必要はありません。
手順
KMS コンソールにログインします。上部のナビゲーションバーで、リージョンを選択します。左側のナビゲーションウィンドウで、を選択します。
External Key Management タブをクリックし、対象のインスタンスを見つけ、操作 列の 有効化 をクリックします。
Connect to HSM パネルで、設定を完了し、Connect to HSM をクリックして HSM クラスターを指定します。
パラメーター
説明
Instance Name
インスタンスのカスタム名を入力します。名前には、文字、数字、および特殊文字
_/+=.@-を含めることができます。VPC ID
インスタンスにアタッチする VPC を選択します。
Zone Configuration
これは、インスタンス購入時に選択したデプロイモードに関連しています。デュアルゾーンまたはマルチゾーンデプロイメントがサポートされています。マルチゾーンデプロイメントの場合、最大 3 つのゾーンを設定できます。
Zone and vSwitch Configuration: ゾーンと vSwitch を設定します。vSwitch に少なくとも 1 つの利用可能な IP アドレスがあることを確認してください。
Other Zones: ゾーンをランダムに割り当てるか、手動で指定することができます。
説明一部のリージョンでは 1 つのゾーンしか提供されていません。これらのリージョンの KMS インスタンスは、シングルゾーンにのみデプロイできます。
デュアルゾーンまたはマルチゾーンデプロイメントは、KMS の高可用性、ディザスタリカバリ、および負荷分散を実現するために使用されます。サービスが配置されているゾーンとそうでないゾーンを選択することによる待機時間とパフォーマンスの差はごくわずかです。必要に応じて選択してください。
External Proxy Connectivity
Public Endpoint Connectivity: KMS インスタンスはインターネット経由で XKI プロキシに接続します。
VPC Endpoint Service Connectivity : KMS インスタンスは VPC エンドポイントサービスを使用して XKI プロキシに接続します。
Domain Name of External Proxy
これは、External Proxy Connectivity が Public Endpoint Connectivity に設定されている場合にのみ必要です。XKI プロキシのドメイン名を入力します。
Endpoint Service
これは、External Proxy Connectivity が VPC Endpoint Service Connectivity に設定されている場合にのみ必要です。エンドポイントサービスを選択します。
KMS インスタンスを有効にするために選択したゾーンは、エンドポイントサービスのゾーンと同じである必要があります。
External Proxy Configuration
Manual Configuration: XKI プロキシの External Proxy Path、Certificate Fingerprint、AccessKey ID、および AccessKey シークレットを手動で設定します。
Configuration File Upload: ファイルをアップロードして設定します。
インスタンスを購入する際にシークレットクォータを選択した場合は、約 30 分待ってからページを更新してください。シークレットクォータを選択しなかった場合は、約 10 分待ってからページを更新してください。外部キー管理インスタンスのステータスが Enabled に変わると、インスタンスは有効化されます。