すべてのプロダクト
Search
ドキュメントセンター

Key Management Service:KMSとは何ですか?

最終更新日:Dec 09, 2024

Key Management Service (KMS) は、KMSとクラウドハードウェアセキュリティモジュールを含む包括的なオンクラウドデータ暗号化ソリューションです。 このソリューションは、データセキュリティ、キーセキュリティ、キー管理、秘密管理などの問題を解決するのに役立ちます。

概要

KMSは、安全で準拠したキー管理とシークレット管理を提供します。 KMSは、クラウドサービスのサーバー側暗号化をサポートします。 KMSは、アプリケーションのキー管理と暗号化と復号化もサポートしています。 KMSを使用すると、機密データをシークレットとして保存できます。 これにより、アプリケーションのハードコードされた資格情報による機密データの漏洩を防ぐことができます。 KMSは、暗号化インフラストラクチャ、データ暗号化および復号化製品、および秘密管理製品の調達、運用および保守 (O&M) 、および研究開発 (R&D) のコストを削減するのに役立ちます。 このようにして、ビジネス開発に集中できます。 KMSは、SaaS (software as a service) ベースのサービスです。

クラウドハードウェアセキュリティモジュールは、連邦情報処理標準 (FIPS) 140-2レベル3に準拠するために、ハードウェアセキュリティモジュール (HSM) に基づいてオンクラウドデータの暗号化と復号化を提供します。 クラウドハードウェアセキュリティモジュールは、サービスとしてのインフラストラクチャ (IaaS) ベースのサービスです。

シナリオ

KMS

  • 機密データの暗号化と保護

    データ暗号化を使用して、クラウド上で生成または保存される機密データを保護できます。 Alibaba Cloudは、機密データを暗号化および保護するための複数の方法を提供します。

  • 情報システムのセキュリティコンプライアンス要件

    情報システムのセキュリティコンプライアンス要件を評価する企業または組織では、次のシナリオが発生する可能性があります。

    セキュリティ規制は、企業または組織が情報システムを保護するために暗号技術を使用しなければならないことを要求し、暗号技術および鍵管理施設は、関連する技術標準およびセキュリティ規制に準拠しなければならない。

    セキュリティ規制は、暗号技術の使用を要求しない。 しかしながら、暗号技術は、セキュリティ遵守を容易にします。 たとえば、暗号化テクノロジは、スコアベースのセキュリティ準拠プロセスでより高いスコアを取得するのに役立ちます。

  • サードパーティの秘密管理ソリューション

    顧客がKMSでキーを管理し、独立系ソフトウェアベンダー (ISV) にキーの使用を許可すると、KMSはISVと顧客の間のサードパーティのセキュリティ保護システムとして機能します。 顧客とISVは連携してシステムのセキュリティを確保できます。

クラウドハードウェアセキュリティモジュール

特徴

KMS

  • キーの管理と使用

    • キーライフサイクル管理: 作成、保存、配布、使用、破棄など、ライフサイクル全体でキーのセキュリティを確保します。

    • キー回転: セキュリティを向上させるために、自動または手動のキー回転を提供します。

    • 独自のキー (BYOK) のサポート: 独自のキーマテリアルをインポートできます。 これにより、より高いレベルのデータセキュリティと制御を必要とする企業に、柔軟で安全なオプションが提供されます。

    • キーベースの暗号化操作のサポート: 暗号化、復号化、署名、検証に複数のタイプの対称キーと非対称キーを使用できます。

  • シークレットの管理と使用

    • Secretライフサイクル管理: 作成、保存、配布、使用、破棄など、ライフサイクル全体でシークレットのセキュリティを確保します。

    • シークレット値取得: KMSからシークレット値を取得して、ユーザーがアプリケーションで機密情報をハードコーディングできないようにします。 これにより、セキュリティの向上に役立ちます。

  • マルチアカウントリソース共有: リソース所有者と呼ばれるKMSインスタンスのアカウント所有者が、プリンシパルと呼ばれる他のAlibaba CloudアカウントとKMSインスタンスを共有できるようにします。 プリンシパルは、キーとシークレットを作成し、Alibaba Cloudサービスでのサーバー側暗号化と自己管理アプリケーションでのデータ暗号化にキーを使用し、シークレットを使用してハードコードされた機密データによるデータ漏洩を防ぐことができます。

  • バックアップ管理: バックアップクォータを購入でき、他のKMSインスタンスへのクロスリージョンバックアップをサポートします。

  • アクセス制御: キーのアクセス制御と監査を提供し、許可されたユーザーとシステムのみがキーにアクセスできるようにします。

  • ログ: 監査と監視のためのキーとシークレットの使用とアクセスを記録します。

クラウドハードウェアセキュリティモジュール

  • 共有仮想セキュリティモジュール (VSM) と専用HSMのサポート: FIPS 140-2レベル3で検証されたHSMを提供します。 VSMは、適度なパフォーマンスを必要とする中小企業またはシナリオに適しています。 専用HSMは、大企業、金融機関、または非常に高いセキュリティとパフォーマンスを必要とするシナリオに適しています。

  • キー管理: デバイス管理とキー管理に別々の権限を提供します。 Alibaba CloudはHSMのみを管理できます。たとえば、Alibaba Cloudはデバイスの可用性メトリックを監視します。 キーはユーザーのみが管理できます。 Alibaba Cloudはキーを取得できません。

  • キーベースの暗号化と復号化のサポート: HSMベンダーがサポートするAPI操作を呼び出して、データの暗号化、復号化、署名、および検証を行うことができます。

  • データのバックアップと復元:を使用すると、現在のHSMのデータを復元したり、別のHSMにデータを復元したりできます。このようにして、HSM間でデータを複製できます。

  • セキュリティ監査: HSMに関する実行中の情報をObject Storage Service (OSS) に保存し、コンプライアンスおよび監査要件を満たすために特定の監査ログ形式で情報を永続的に保存します。