Key Management Service (KMS) は、キー管理とデータ暗号化のためのエンドツーエンドのサービスプラットフォームです。 KMSは、データを暗号化および保護するためのシンプルで信頼性が高く、安全で標準に準拠した機能を提供します。 KMSは、暗号化インフラストラクチャとデータ暗号化製品の調達、O&M、研究開発 (R&D) のコストを大幅に削減します。 このようにして、ビジネスにもっと集中できます。
機能と特徴
KMSは、Key Service、Secrets Manager、Certificates Manager、Dedicated KMSの4つのコンポーネントで構成されています。
コンポーネント | 説明 | 関連ドキュメント |
キーサービス | キーサービスは、キーを完全に管理および保護します。 Key Serviceは、クラウドネイティブAPI操作に基づくシンプルモードでのデータ暗号化とデジタル署名をサポートします。 | |
秘密マネージャ | Secrets Managerは、秘密の暗号化、秘密のホスティング、定期的なローテーション、安全な配布、および集中管理機能を提供します。 Secrets Managerは、従来のIT機能で構成されている静的シークレットによって引き起こされるセキュリティリスクを軽減します。 | |
証明書マネージャ | Certificates Managerは、キーと証明書を管理する高可用性で安全な機能を提供します。 証明書マネージャでは、証明書を取得して署名を生成および検証することもできます。 | |
専用KMS | 専用KMSは、完全に管理できるキー管理サービスです。 たとえば、専用KMSがデプロイされている仮想プライベートクラウド (VPC) を指定し、専用KMSによって使用される暗号化リソースプールを設定できます。 ロールベースのアクセス制御 (RBAC) ポリシーを定義して、アプリケーションからのアクセスを許可することもできます。 |
メリット
次の表に、各機能の利点を示します。
特徴 | メリット | 説明 | 関連ドキュメント |
キーサービス | 主要なセキュリティコンプライアンス機能 | KMSは、業界をリードする暗号化インフラストラクチャをサポートし、セキュリティレベルとセキュリティコンプライアンス要件を満たしています。 | |
完全マネージド実装 | 暗号化ハードウェアまたはソフトウェアを調達する必要はありません。 暗号化機能のO&MまたはR&Dに投資する必要はありません。 キーサービスが提供する機能を直接使用し、機能を拡張することができます。 | ||
クラウドネイティブ機能 | KMSは、クラウドネイティブAPI操作に基づいて、さまざまなAlibaba Cloudサービスと統合できます。 KMSを使用すると、数回クリックするだけでサーバー側暗号化 (SSE) を設定できます。 | ||
簡略化されたアプリケーションアクセス | KMSには、KMS暗号化APIの使用に役立つKMS SDKや暗号化SDKなどの複数のメソッドが用意されています。 これにより、データの暗号化と復号化、およびデジタル署名の生成と検証を便利な方法で行うことができます。 | ||
集中管理と大規模管理 | KMSは自動的にアクティブ化され、Resource Orchestration Service (ROS) やTerraformなどのサービスをサポートします。 KMSでは、デフォルトの暗号化ポリシーを使用して、マルチアカウントログオンの自動データ暗号化を実装できます。 KMSは、クラウドディスク、Object Storage Service (OSS) バケット、ApsaraDB RDSインスタンス、MaxComputeプロジェクトを使用するElastic Compute Service (ECS) インスタンスなどのリソースのSSEを自動的に有効にします。 | ||
秘密マネージャ | クラウドネイティブ機能 | KMSは、クラウドネイティブAPI操作に基づいて動的なApsaraDB RDSシークレットを生成します。これにより、データベースに対する主要なセキュリティ脅威の処理に役立ちます。 | |
簡略化されたアプリケーションアクセス | KMSには、KMS SDK、Secrets Managerクライアント、Kubernetesプラグインなどの複数のメソッドが用意されており、動的なシークレットの使用に役立ちます。 | ||
集中管理と大規模管理 | KMSは自動的にアクティブ化され、ROSやTerraformなどのサービスをサポートします。 KMSを使用すると、データベースやOSSバケットなどのAlibaba Cloudリソースの自動オーケストレーション、およびシークレットの自動管理を実装できます。 シークレットはsecrets Managerで完全に管理されます。 これは、集中的な秘密管理を達成する。 | ||
証明書マネージャ | 安全なキーストレージ | Certificates Managerは、マネージドハードウェアセキュリティモジュール (HSM) を使用して、キーと証明書が安全に生成および保存されるようにします。 | |
ライフサイクル管理 | Certificates Managerでは、キーと証明書を管理できます。 証明書署名リクエスト (CSR) の生成、証明書と証明書チェーンのインポート、証明書チェーンの署名の検証、証明書の有効性の確認を行うことができます。 | ||
簡単なAPIベースの統合 | Certificates Managerは、証明書サービスを開発環境と統合し、製品のデプロイを高速化し、証明書関連の機能を展開するのに役立つ複数のAPI操作を提供します。 | ||
専用KMS | プライベートネットワーク経由のアクセス | 専用KMSを使用すると、テナントのVPCにテナント固有のインスタンスをデプロイできます。 このように、専用KMSはプライベートネットワーク経由でアクセスできます。 | |
リソースの分離と暗号化の分離 | 専用KMSは、テナント固有の暗号化リソースプールを使用して、リソースの分離と暗号化の分離を実装します。 これにより、セキュリティが向上する。 プールは、HSMクラスタとも呼ばれる。 | ||
キー管理 | 専用KMSを使用すると、HSMを簡単に使用できます。 専用KMSは、HSMの上位層のキー管理および暗号操作サービスを安定した簡単な方法で提供します。 | ||
複数のAlibaba Cloudサービスとの統合 | 専用KMSを使用すると、HSMをAlibaba Cloudサービスとシームレスに統合できます。 これにより、Alibaba Cloudサービスの暗号化セキュリティと制御性が向上します。 |