キー管理インフラストラクチャ (KMI) と比較して、キー管理サービス (KMS) は、マルチサービス統合、使いやすさ、高い信頼性、および費用対効果を備えています。
マルチサービス統合
認証とアクセス制御
KMSは、AccessKeyペアを使用してリクエストの有効性を認証します。 KMSはリソースアクセス管理 (RAM) と統合されています。 これにより、さまざまな権限付与シナリオの要件を満たすように、さまざまなカスタムポリシーを構成できます。 有効なユーザーによって開始され、RAMの属性ベースのアクセス制御 (ABAC) を渡す要求は、KMSによって受け入れられます。 詳細については、「RAMを使用したKMSリソースへのアクセスの制御」をご参照ください。
キー使用量の監査
KMSはActionTrailと統合されています。 これにより、最近のKMS使用量を表示し、KMS使用量情報をOSSなどの他のサービスに保存して、長期的な監査要件を満たすことができます。 詳細については、「ActionTrailを使用したKMSイベントログの照会」をご参照ください。
統合クラウドサービスのデータ暗号化
KMSは、ECS、ApsaraDB for RDS、OSSなどの複数のAlibaba Cloudサービスと統合されています。 KMSのカスタマーマスターキー (CMK) を簡単に使用して、これらのサービスに保存されているデータを暗号化および制御し、クラウドコンピューティングおよびストレージ環境の制御を維持できます。 サービスの料金を支払うだけで、複雑な暗号化機能を実装する必要はありません。 さらに、KMSはこれらのサービスのネイティブデータも保護します。 詳細については、「KMSとの統合」および「KMSと統合可能なAlibaba Cloudサービス」をご参照ください。
使いやすさ
簡単な暗号化
KMSは抽象的な暗号化の概念を簡素化し、データを簡単に暗号化および復号化できる暗号化API操作を提供します。 キー階層を必要とするアプリケーションの場合、KMSはキー階層をすばやく実装するための便利なエンベロープ暗号化を提供します。データキー (DK) を生成し、CMKをキー暗号化キー (KEK) として使用してDKを保護します。 詳細については、「エンベロープ暗号化を使用したローカルデータの暗号化と復号化」をご参照ください。
集中鍵ホスティング
KMSは、集中的なキーホスティングと制御を提供します。
いつでも新しいCMKを作成し、RAMを使用してCMKにアクセスできるユーザーを簡単に管理できます。
ActionTrailを使用してキーの使用状況を監査できます。
KMIまたはData Encryption Serviceのハードウェアセキュリティモジュール (HSM) からKMSにキーをインポートできます。 外部ソースからインポートされた、またはKMSで作成されたキーの場合、その機密情報または機密データは、他のAlibaba Cloudサービスによってデータの暗号化と保護に使用されます。
BYOK
KMSはBring Your Own Key (BYOK) をサポートしています。 独自のキーをKMSにインポートして、クラウド上のデータを暗号化できます。 これは、鍵管理を容易にします。 次のタイプのキーをKMSにインポートできます。
オンプレミスKMIのキー
Alibaba Cloudデータ暗号化サービスのユーザー管理HSMのキー
説明KMSではセキュアなキー交換アルゴリズムが使用されているため、KMSでマネージドHSMにインポートされたキーはどの方法でもエクスポートできません。 オペレータまたは第三者は、キーの平文をチェックすることはできません。 詳細については、「キーマテリアルのインポート」および「キーコントロール」をご参照ください。
カスタムキー回転ポリシー
KMSは、セキュリティポリシーに基づく対称暗号化キーの自動ローテーションをサポートしています。 CMKのカスタムローテーションサイクルを設定するだけです。 KMSは新しいCMKバージョンを自動的に生成します。 CMKは複数のキーバージョンを持つことができます。 各バージョンを使用して、対応する暗号文データを復号できます。 最新のキーバージョン (プライマリバージョンと呼ばれる) はアクティブな暗号化キーであり、現在のデータを暗号化するために使用されます。 詳細については、「自動キーローテーション」をご参照ください。
高い信頼性、可用性、およびスケーラビリティ
フルマネージド分散サービスとして、KMSは各リージョンでマルチゾーン冗長暗号計算機能を構築します。 これにより、Alibaba Cloudサービスとカスタムアプリケーションが低レイテンシでKMSにリクエストを送信できるようになります。 基盤となるインフラストラクチャを拡張することなく、ビジネス要件に基づいて複数のリージョンにわたってKMSで多数のキーを作成できます。
セキュリティとコンプライアンス
KMSは、クラウド上のキーを厳格に保護するために、厳格なセキュリティ設計と検証に合格しました。
低コスト
KMSでは、使用したリソースに対してのみ支払いを行います。
HSMの初期費用、およびHSMの運用、保守、修理、および交換の費用を支払う必要はありません。
KMSは、可用性と信頼性の高い暗号デバイスクラスタの構築コストを削減し、ユーザーが作成したキー管理機能の研究開発および保守コストを削減します。
KMSは他のクラウドサービスと統合され、データ暗号化システムの研究開発オーバーヘッドを排除します。 クラウド上で制御可能なデータ暗号化を実現するには、キーを管理するだけです。