KMSインスタンスにはキーとシークレットの管理機能があり、機密データの暗号化と復号化を可能にし、コード内のハードコードされたシークレットに関連するリスクを軽減し、データのセキュリティを強化します。 このトピックでは、KMSインスタンスを購入して有効にする手順について説明します。
概要
購入する前に、KMSの仕様とビジネスコンポーネントをよく理解してください。 ビジネスニーズとセキュリティコンプライアンス要件を満たす仕様を選択します。 詳細については、「製品選択」をご参照ください。
ステップ1: KMSインスタンスの購入
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
インスタンス管理 ページで、インスタンスの作成 をクリックし、課金タイプを選択してから、KMSインスタンスの仕様を選択し、[今すぐ購入] をクリックします。
設定アイテム
説明
サイト
KMSインスタンスが配置されているリージョンのサイト。 有効な値: 国際リージョン、中国本土リージョン。
キー管理タイプ
KMSインスタンスタイプ。 有効な値:
ソフトウェアキー管理: 専用のキーリポジトリの構築をサポートし、データの暗号化および復号化機能を提供し、キーのライフサイクル管理を提供します。
ハードウェアキー管理: 専用HSMクラスターのキーの管理をサポートし、安全なクラウドベースのキー管理センターをすばやく構築できます。
主な付加価値サービス: エキスパートサービス、インスタンスのバックアップとリカバリ機能、およびデフォルトのキーローテーションが含まれます。 詳細については、「バックアップ管理」および「デフォルトのキーローテーション」をご参照ください。
リージョン
KMSインスタンスが配置されているリージョン。 詳細については、「サポートされているリージョン」をご参照ください。
展開モード
KMSインスタンスは、高可用性、ディザスタリカバリ、および負荷分散を実現するために、デュアルゾーンまたはマルチゾーン構成をサポートしています。
説明フィリピン (マニラ) とタイ (バンコク) は1つのゾーンしか提供していないため、KMSインスタンスは1つのゾーンにしかデプロイできません。 この場合、デフォルトの展開モードはシングルゾーンです。
マルチゾーンを選択すると、最大3つのゾーンを設定できます。
各リージョンのゾーン数については、「リージョンとアクセスアドレス」をご参照ください。
コンピューティングパフォーマンス
KMSインスタンスのコンピューティングパフォーマンス。 パフォーマンスデータの詳細については、「パフォーマンスデータ」をご参照ください。
ソフトウェアキー管理インスタンスのコンピューティングパフォーマンスがビジネス要件を満たしていない場合は、コンピューティングパフォーマンスが10,000 20,000のソフトウェアキー管理インスタンスを申請するためにお問い合わせください。
数のキー
KMSインスタンスで作成できるキーの最大数。
数の秘密
KMSインスタンスで作成できるシークレットの最大数。
アクセス管理クォータ
KMSインスタンスには、複数のVPCネットワークまたは複数のリソース共有アカウントからアクセスできます。 デフォルト値:1
たとえば、KMSインスタンスを3つのVPCに関連付け、2つのAlibaba Cloudアカウントと共有する必要がある場合、ビジネス要件を満たすには、アクセス管理クォータを5以上にする必要があります。
ログ分析
ログ分析機能を有効にするかどうかを指定します。 詳細については、「Simple Log Serviceの概要」をご参照ください。
ログストレージ容量
最小容量は1,000 GBで、容量は1,000 GB単位で増加します。 必要な容量の評価方法については、「必要なログストレージ容量の計算方法」をご参照ください。
インスタンス数
購入するKMSインスタンスの数。
重要通常、購入するKMSインスタンスは1つだけです。 複数のKMSインスタンスを購入する必要がある場合は、お問い合わせください。
サブスクリプション期間
必要に応じてサブスクリプション期間を選択します。
説明[有効期限が切れると自動更新] を選択できます。 KMSインスタンスは、有効期限が切れると自動的に更新されます。
サービス契約を確認して同意し、[支払いに進む] をクリックして購入を確定します。
購入が成功したら、1〜5分待ちます。 購入したKMSインスタンスを インスタンス管理 ページで確認できます。
ステップ2: KMSインスタンスの有効化
KMSインスタンスを購入した後、KMSのキー管理とシークレット管理機能を利用できるようにする必要があります。
ソフトウェアキー管理インスタンスの有効化
前提条件
VPCとvSwitchが配置されている必要があります。
VPCコンソールで既存のVPC、vSwitch、およびそれらのゾーンを確認できます。 新しいVPCとvSwitchを作成することもできます。 詳細については、「VPCとvSwitchの作成」または「vSwitchの作成」をご参照ください。
Alibaba Cloud Chinaサイトアカウントを使用して中国本土外から、またはAlibaba Cloud国際サイトアカウントを使用して中国本土内からKMSインスタンスを購入する場合は、Cloud DNS PrivateZoneを手動で有効にする必要があります。 詳細については、「PrivateZoneの有効化」をご参照ください。
説明中国本土内のAlibaba Cloud中国サイトアカウント、または中国本土外のAlibaba Cloud国際サイトアカウントでKMSインスタンスを購入すると、Alibaba Cloudは自動的にPrivateZoneを有効化します。 手動起動は必要ありません。
ドメイン名解決料金はKMSに請求されるため、Cloud DNS PrivateZone側での支払いは不要です。
手順
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
ソフトウェアキー管理 タブに移動し、KMSソフトウェアキー管理インスタンスを見つけ、有効化 列の 操作 をクリックします。
Enable KMS Instance パネルで設定を行い、Enable Now をクリックします。
設定アイテム
説明
Instance Name
KMSインスタンスの名前をカスタマイズします。 文字、数字、および特殊文字
_/+=.@-がサポートされています。VPC ID
KMSインスタンスがアタッチされているVPCを選択します。
Zone Configuration
これは、インスタンスの購入時に選択されたデプロイモードに関連しています。 デュアルゾーンまたはマルチゾーンがサポートされています。 マルチゾーン用に最大3つのゾーンを設定できます。
Zone and vSwitch Configuration: ゾーンとvSwitchを設定します。 使用可能なIPアドレスがvSwitch用に予約されていることを確認してください。
Other Zones: ランダム割り当てまたは手動仕様がサポートされています。
説明一部のリージョンは1つのゾーンのみを提供します。 この場合、KMSインスタンスは単一のゾーンにのみデプロイできます。
約30分待ってから、ページを更新します。 ステータスがEnabledになると、KMSソフトウェアキー管理インスタンスは正常に有効になります。
ハードウェアキー管理インスタンスの有効化
前提条件
KMSインスタンスに接続できるHSMクラスターを設定する必要があります。 詳細については、「KMSハードウェアキー管理インスタンス用のHSMクラスターの設定」をご参照ください。
警告後でクラスター内のHSMの数を増やす予定の場合は、Alibaba Cloudサポートに連絡してクラスター同期モードを自動に切り替え、同期の問題を回避します。
KMSインスタンスの各ゾーンでvSwitchが使用可能であることを確認します。 デュアルゾーン展開の場合:
(推奨) HSMインスタンスに関連付けられた2つのvSwitchを使用する: 新しいvSwitchを作成する必要はありません。 各vSwitchで4つのIPアドレスを使用できるようにします。
HSMインスタンスに関連付けられているvSwitchを使用しない場合: 異なるゾーンに2つのvSwitchを作成します。 それぞれに4つのIPアドレスが使用可能であることを確認します。 詳細については、「vSwitchの作成」をご参照ください。
VPC管理コンソールにログインします。 vSwitchページに移動し、目的のvSwitchを選択し、詳細ページで使用可能なIPアドレスの数を確認します。
中国本土外のAlibaba Cloud Chinaサイトアカウント、または中国本土内のAlibaba Cloud国際サイトアカウントでKMSインスタンスを購入した場合、Cloud DNS PrivateZoneを手動で有効化する必要があります。 詳細については、「PrivateZoneの有効化」をご参照ください。
説明中国本土内のAlibaba Cloud中国サイトアカウント、または中国本土外のAlibaba Cloud国際サイトアカウントでKMSインスタンスを購入すると、Alibaba Cloudは自動的にPrivateZoneを有効化します。 手動起動は必要ありません。
ドメイン名解決料金はKMSに請求されるため、Cloud DNS PrivateZone側での支払いは不要です。
手順
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
ハードウェアキー管理 タブを選択し、KMSハードウェアキー管理インスタンスを見つけて、有効化 列の 操作 をクリックします。
Connect to HSM パネルで設定を完了し、Connect to HSM をクリックしてHSMクラスターを指定します。
設定アイテム
説明
Instance Name
KMSインスタンスの名前をカスタマイズします。 文字、数字、および特殊文字
_/+=.@-がサポートされています。Select Cluster
Data Encryption Serviceで設定したHSMクラスターを選択します。
説明KMSハードウェアキー管理インスタンスは、1つのHSMクラスターにのみバインドできます。
Configure HSM Access Secret.
Username: HSM演算子のユーザー名 (
kmsuserとして固定) 。Password: HSM演算子のアクセスセキュリティトークン。 HSM演算子の作成時に指定したセキュリティトークンを入力します。
Security Domain Certificate: PEM形式のCA証明書。 Cloud Hardware Security Module (HSM) コンソールにログインし、クラスター内の任意のHSMインスタンスのIDをクリックし、[インスタンスの詳細] タブで、セキュリティドメイン証明書であるClusterOwnerCertificateを見つけます。 コンテンツを直接コピーするか、PEM形式のファイルとして保存してからアップロードすることができます。
VPC ID
デフォルト値は、HSMにバインドされたVPC IDです。この値は変更できません。
Configure Zone and vSwitch
この設定は、インスタンスの購入時に選択されたデプロイモードに関連しています。 デュアルゾーンまたはマルチゾーン展開がサポートされています。 各ゾーンには、4つの使用可能なIPアドレスを持つvSwitchが必要です。
マルチゾーン展開では、最大3つのゾーンを設定できます。
購入時にNumber of Secretsパラメーターを設定した場合は、約30分待ってからページを更新します。 このパラメータを設定しなかった場合は、約10分待ちます。 ステータスがEnabledになると、KMSハードウェアキー管理インスタンスは正常に有効になります。
外部キー管理インスタンスの有効化
前提条件
外部HSMとXKIプロキシを取得して設定する必要があります。 詳細については、HSMプロバイダーにお問い合わせください。
KMSは、パブリックエンドポイントまたはVPCエンドポイントサービスを使用してXKIプロキシに接続できます。 VPCエンドポイントサービスを使用する場合は、最初に作成する必要があります。 詳細については、「エンドポイントサービスの作成と管理」をご参照ください。 VPCエンドポイントサービスを作成するときは、次の点に注意してください。
エンドポイントサービスのゾーンは、KMSインスタンスを有効にするときに選択したゾーンと一致する必要があります。
現在のAlibaba Cloudアカウントをエンドポイントサービスのホワイトリストに追加する必要があります。
エンドポイントサービスの [接続の自動承認] オプションを [はい] に設定します。
中国本土以外のAlibaba Cloud Chinaサイトアカウント、または中国本土内のAlibaba Cloud国際サイトアカウントを使用してKMSインスタンスを購入する場合は、Cloud DNS PrivateZoneを手動で有効にする必要があります。 詳細については、「PrivateZoneの有効化」をご参照ください。
説明中国本土内のAlibaba Cloud中国サイトアカウント、または中国本土外のAlibaba Cloud国際サイトアカウントでKMSインスタンスを購入すると、Alibaba Cloudは自動的にPrivateZoneを有効化します。 手動起動は必要ありません。
ドメイン名解決料金はKMSに請求されるため、Cloud DNS PrivateZone側での支払いは不要です。
手順
KMS コンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。
External Key Management タブをクリックし、移行先インスタンスを見つけ、列の 操作 をクリックして、有効化 を選択します。
Connect to HSM パネルで設定を行い、Connect to HSM をクリックしてHSMクラスターを指定します。
設定アイテム
説明
Instance Name
KMSインスタンスの名前をカスタマイズします。 文字、数字、および特殊文字
_/+=.@-がサポートされています。VPC ID
KMSインスタンスがアタッチされているVPCを選択します。
Zone Configuration
これは、インスタンスを購入したときに選択したデプロイモードに関連しています。 デュアルゾーンまたはマルチゾーンがサポートされています。 マルチゾーンモードでは、最大3つのゾーンを設定できます。
Zone and vSwitch Configuration: ゾーンとvSwitchを設定します。 使用可能なIPアドレスがvSwitch用に予約されていることを確認してください。
Other Zones: ランダム割り当てがサポートされています。 手動仕様もサポートされています。
説明一部のリージョンは1つのゾーンのみを提供します。 この場合、KMSインスタンスは単一のゾーンにのみデプロイできます。
External Proxy Connectivity
Public Endpoint Connectivity: KMSインスタンスは、パブリックエンドポイントを使用してXKIプロキシに接続します。
VPC Endpoint Service Connectivity : KMSインスタンスは、VPCエンドポイントサービスを使用してXKIプロキシに接続します。
Domain Name of External Proxy
External Proxy Connectivity が Public Endpoint Connectivity に設定されている場合、XKIプロキシのドメイン名アドレスを入力する必要があります。
Endpoint Service
External Proxy ConnectivityがVPC Endpoint Service Connectivity に設定されている場合、エンドポイントサービスを選択する必要があります。
エンドポイントサービスの2つのゾーンは、KMSインスタンスを有効にするときに選択されるゾーンと同じである必要があります。
External Proxy Configuration
Manual Configuration: XKIプロキシのExternal Proxy Path、Certificate Fingerprint、AccessKey ID、およびAccessKey Secretを手動で設定します。
Configuration File Upload: ファイルをアップロードして設定します。
[Number of Secrets] パラメーターが購入中に設定されている場合、KMSインスタンスが有効になるまで約30分かかります。 このパラメーターが設定されていない場合は、約10分待ちます。 ページを更新し、ステータスがEnabledになると、外部キー管理インスタンスは正常に有効になります。