495-AWS SAP AWS 「理論・実践・一問道場」KMS

type

status

date

slug

summary

理論

AWS Key Management Service (KMS) とマルチリージョンキー

AWS Key Management Service (KMS) は、AWSのクラウドサービスで暗号化を管理するためのサービスです。KMSを利用することで、データを暗号化および復号化するための鍵（キー）を作成、管理、および制御できます。AWS KMSは、クラウド全体でデータ保護を実現するための重要なサービスであり、多くのAWSサービスと統合され、データのセキュリティを確保します。

KMSマルチリージョンキー

AWS KMSでは、特にグローバルで一貫性のある暗号化を実現するために、マルチリージョンキーの機能を提供しています。この機能を使用することで、同じKMSキーを異なるリージョンで利用することができ、以下のような利点があります。

データの一貫した暗号化と復号化:

複数のリージョンにまたがってデータを保存する場合、同じキーを使用して暗号化および復号化することが可能です。これにより、データを複数のリージョンで管理してもセキュリティを一貫して維持できます。

セキュリティと可用性の向上:

データを複数のリージョンに保存する場合、各リージョンでキーをレプリケートできるため、障害が発生しても他のリージョンでデータを復元することが可能です。

管理の簡素化:

マルチリージョンキーを利用すると、複数のリージョンで異なるキーを管理する必要がなく、一貫したセキュリティポリシーを適用できます。

KMSキーのレプリケーション

KMSのマルチリージョンキー機能を使用すると、以下の操作が可能です：

プライマリキー: メインとなるKMSキーを特定のリージョンに作成し、そのキーを基にレプリカキーを作成します。

レプリカキー: プライマリキーのコピーであり、異なるリージョンにレプリケートされたものです。これにより、同じキーを利用して複数のリージョンでデータの暗号化・復号化が行えます。

KMSの利用シナリオ

クロスリージョンバックアップ:

複数のリージョンにバックアップを保存し、そのバックアップデータを同じキーで復号化する必要がある場合に有効です。

グローバルアプリケーションの暗号化:

複数のリージョンに分散されたアプリケーションで、データを暗号化および復号化する必要がある場合、マルチリージョンキーを使用することで、全リージョンで一貫した暗号化を維持できます。

災害復旧:

データセンターの障害やリージョン障害時に、他のリージョンからデータを復元する場合、同じキーを利用してデータを復号化できます。

KMSキー管理のベストプラクティス

キーのローテーション: セキュリティの向上を図るため、定期的にキーをローテーションすることが推奨されます。AWS KMSは自動的にキーのローテーションをサポートしています。

IAMポリシーの利用: 誰がどのキーにアクセスできるかを制御するために、IAMポリシーを適切に設定することが重要です。

監査とログの管理: AWS CloudTrailを使用して、KMSキーへのアクセスや使用状況を監査し、不正アクセスや操作を監視します。

まとめ

AWS KMSのマルチリージョンキー機能を使用することで、複数のリージョンにまたがるデータの暗号化および復号化を一貫して管理でき、データのセキュリティと可用性を確保できます。この機能を活用することで、グローバルなアプリケーションにおけるデータ管理の効率を高め、セキュリティリスクを軽減できます。

実践

略

一問道場

質問 #495

ある企業には、AWS Key Management Service (AWS KMS)を使用してデータを暗号化および復号化するアプリケーションがあります。アプリケーションはデータをAmazon S3バケットに格納します。企業のセキュリティポリシーでは、データをS3バケットに格納する前に暗号化する必要があります。また、アプリケーションはS3バケットからファイルを読み込む際にデータを復号化する必要があります。企業はS3バケットを他のリージョンに複製しています。ソリューションアーキテクトは、アプリケーションがリージョンをまたいでデータを暗号化および復号化できるようにするソリューションを設計しなければなりません。アプリケーションは、各リージョンでデータを復号化するために同じキーを使用しなければなりません。

どのソリューションがこれらの要件を満たしますか？

A. KMSマルチリージョンのプライマリキーを作成し、そのKMSマルチリージョンプライマリキーを使用して、アプリケーションが実行される各追加リージョンにKMSマルチリージョンレプリカキーを作成します。アプリケーションコードを更新して、各リージョンで特定のレプリカキーを使用します。

B. アプリケーションが実行される各追加リージョンに新しいカスタマー管理のKMSキーを作成します。アプリケーションコードを更新して、各リージョンで特定のKMSキーを使用します。

C. AWS Private Certificate Authorityを使用して、プライマリリージョンに新しい証明書機関（CA）を作成します。CAからアプリケーションのウェブサイトURLのための新しいプライベート証明書を発行します。AWSリソースアクセスマネージャー（AWS RAM）を使用して、追加リージョンとCAを共有します。アプリケーションコードを更新して、各リージョンで共有されたCA証明書を使用します。

D. AWS Systems Manager Parameter Storeを使用して、アプリケーションが実行される各追加リージョンにパラメータを作成します。プライマリリージョンのKMSキーからキー素材をエクスポートします。各リージョンのパラメータにキー素材を保存します。アプリケーションコードを更新して、各リージョンでパラメータからキー情報を使用します。

解説

この問題は、複数のリージョンにわたってデータを暗号化および復号化するために、アプリケーションがどのように同じ暗号化キーを使用するかを問うものです。特に、AWS Key Management Service (KMS)を使用してデータの暗号化を実現する場合に焦点を当てています。

以下は各選択肢の解説です。

A. KMSマルチリージョンのプライマリキーを作成し、そのKMSマルチリージョンプライマリキーを使用して、アプリケーションが実行される各追加リージョンにKMSマルチリージョンレプリカキーを作成します。アプリケーションコードを更新して、各リージョンで特定のレプリカキーを使用します。

正解: これは最も適切なソリューションです。AWS KMSのマルチリージョンキー機能を使用すると、1つのプライマリキーを複数のリージョンにレプリケート（複製）できます。これにより、同じKMSキーを複数のリージョンで使用し、データの暗号化と復号化を実現できます。

利点: データの暗号化と復号化に一貫したキーを使用でき、セキュリティポリシーに適合します。
手順: プライマリキーを作成し、それを基に各リージョンでレプリカキーを作成することで、アプリケーションは異なるリージョンでも同じキーを使用できます。

B. アプリケーションが実行される各追加リージョンに新しいカスタマー管理のKMSキーを作成します。アプリケーションコードを更新して、各リージョンで特定のKMSキーを使用します。

不適切: これは推奨されません。各リージョンに異なるKMSキーを作成する場合、異なるキーを使って暗号化/復号化を行うことになり、各リージョンでのデータアクセスの整合性を確保するのが難しくなります。また、データを同じキーで復号化するという要件を満たせません。

C. AWS Private Certificate Authorityを使用して、プライマリリージョンに新しい証明書機関（CA）を作成します。CAからアプリケーションのウェブサイトURLのための新しいプライベート証明書を発行します。AWSリソースアクセスマネージャー（AWS RAM）を使用して、追加リージョンとCAを共有します。アプリケーションコードを更新して、各リージョンで共有されたCA証明書を使用します。

不適切: この選択肢は、証明書を管理する方法に関するものであり、KMSキーを使ったデータの暗号化/復号化とは関係ありません。証明書は、通常、TLS/SSL通信のセキュリティに使われ、データの暗号化とは異なります。

D. AWS Systems Manager Parameter Storeを使用して、アプリケーションが実行される各追加リージョンにパラメータを作成します。プライマリリージョンのKMSキーからキー素材をエクスポートします。各リージョンのパラメータにキー素材を保存します。アプリケーションコードを更新して、各リージョンでパラメータからキー情報を使用します。

不適切: KMSのキー素材をエクスポートして保存することは、セキュリティの観点から推奨されません。キー素材の管理は非常に慎重に行う必要があり、誤って漏洩すると重大なリスクとなります。また、KMSのキーを複数リージョンで使用するためにこの方法を使うことは、管理が複雑であり、望ましいアプローチではありません。