すべてのプロダクト
Search

このプロダクト

    :用語

    ドキュメントセンター

    :用語

    最終更新日:Dec 18, 2024

    このトピックでは、Key Management Service (KMS) で使用される用語を紹介します。

    用語

    説明

    キーサービス

    キーサービスは、キーを完全に管理および保護します。 Key Serviceは、クラウドネイティブAPI操作に基づくシンプルモードでのデータ暗号化とデジタル署名をサポートします。

    キーサービスの詳細については、「CMK タイプ」をご参照ください。

    顧客のマスターキー (CMK)

    CMKは、データキーを暗号化し、エンベロープデータキー (EDK) を生成するために使用される。 CMKは、少量のデータを暗号化するためにも使用できます。 CreateKey操作を呼び出して、CMKを作成できます。

    キー素材

    暗号化操作を実行するときは、キーマテリアルが必要です。 キーマテリアルに基づいて暗号化操作を実行できるようにするには、キーマテリアルを秘密にしておくことをお勧めします。 キーマテリアルは、非対称暗号アルゴリズムの秘密キーを使用することによって、または対称暗号アルゴリズムを使用することによって暗号化することができる。

    CMKはKMSの基本リソースです。 CMKは、キーID、基本メタデータ、およびキーマテリアルで構成されます。 デフォルトでは、キーマテリアルはCMKの作成時にKMSによって生成されます。 この場合、Originパラメーターの値はAliyun_KMSです。 CMKを作成するときに、OriginパラメーターをEXTERNALに設定することもできます。 この場合、KMSはキーマテリアルを生成せず、CMKの外部キーマテリアルをインポートする必要があります。

    キーマテリアルの詳細については、「キーマテリアルのインポート」をご参照ください。

    エンベロープ暗号化

    ビジネスデータを暗号化するには、GenerateDataKeyまたはGenerateDataKeyWithoutPlaintext操作を呼び出して対称キーを生成し、指定されたCMKを使用して対称キーを暗号化します。 EDKが生成される。 EDKは、安全でない通信チャネルを介して格納および転送されても安全である。 対称キーを使用する場合は、Decrypt操作を呼び出してEDKを復号化するだけです。

    エンベロープ暗号化の詳細については、「エンベロープ暗号化を使用したローカルデータの暗号化と復号化」をご参照ください。

    データキー

    データキーは、データの暗号化に使用される平文キーです。

    GenerateDataKey操作を呼び出してデータキーを生成し、指定されたCMKを使用してデータキーを暗号化してから、データキーの平文と暗号文を取得できます。

    エンベロープデータキーまたは暗号化データキー

    EDKは、エンベロープ暗号を用いて生成される暗号文データ鍵である。

    データキーの平文が必要ない場合は、GenerateDataKeyWithoutPlaintextを呼び出して、データキーの暗号文のみを取得できます。

    ハードウェアセキュリティモジュール (HSM)

    HSMは、暗号化操作を実行し、キーを安全に生成および格納するハードウェアデバイスである。 KMSはマネージドHSM機能を提供します。 この機能は、規制当局のテスト要件と検証要件の両方を満たしています。 この機能により、KMSで管理されるキーの高いセキュリティが保証されます。

    HSMの詳細については、「概要」をご参照ください。

    暗号化コンテキスト

    暗号化コンテキストは、KMSにおける関連データ (AEAD) を伴う認証暗号化のカプセル化を指す。 AEADの詳細については、「Authenticated Encryptionのインターフェイスとアルゴリズム」をご参照ください。 KMSは、インポートされた暗号化コンテキストを追加の認証データ (AAD) として使用して、対称暗号化アルゴリズムが使用される暗号化操作をサポートします。 暗号化コンテキストは、暗号化するデータの整合性と信頼性を向上させるのに役立ちます。

    暗号化コンテキストの詳細については、「EncryptionContext」をご参照ください。

    秘密マネージャ

    Secrets Managerを使用すると、ライフサイクル全体でシークレットを管理でき、アプリケーションは安全で効率的な方法でシークレットを使用できます。 これにより、ハードコードされたシークレットによる機密データの漏洩を防ぎます。

    Secrets Managerの詳細については、「概要」をご参照ください。

    アプリケーションアクセスポイント

    アプリケーションアクセスポイント (AAP) は、KMSリソースにアクセスするユーザーのIDを認証するためにKMSによって最初に使用されるメソッドです。

    詳細については、「AAPの管理」をご参照ください。

    証明書マネージャ

    Certificates Managerは、キーと証明書を管理する高可用性で安全な機能を提供します。 証明書マネージャでは、証明書を取得して署名を生成および検証することもできます。

    証明書マネージャーの詳細については、「概要」をご参照ください。

    専用KMS

    専用KMSは、完全に管理できるキー管理サービスです。 たとえば、専用KMSがデプロイされている仮想プライベートクラウド (VPC) を指定し、専用KMSによって使用される暗号化リソースプールを設定できます。 ロールベースのアクセス制御 (RBAC) ポリシーを定義して、アプリケーションからのアクセスを許可することもできます。

    専用KMSの詳細については、「Overview」をご参照ください。

    シークレット

    秘密は、アプリケーションの認証に使用される機密情報です。 秘密には、データベースへのアクセスに使用されるユーザー名とパスワード、SSHキー、機密アドレス、およびAccessKeyペアが含まれます。