AWS Key Management Service（KMS）とは？特徴や料金をご紹介

AWS KMSとは

Amazon Web Services（AWS）のKey Management Service（KMS）は、データを暗号化するためのキーを作成・管理するサービスです。

カスタマーマスターキー（CMK）と呼ばれる独自のキーを用いて、データを暗号化します。さらに、キーを一元管理する機能も搭載しており、セキュリティの強化をサポートします。

AWS KMSの特徴

この項目では、AWS KMSの特徴についてご紹介します。

キーを用いた暗号化に加え、キーの管理や制御をサポートする機能も備えており、さまざまな面からセキュリティを強化します。

特徴1：キーを一元管理

KMSは、キーを一元管理できます。

生成されたキーは、単一の制御ポイントによって管理されます。一貫したポリシーを適用できる他、各キーを作成および使用できるユーザーをまとめて指定できることで、制御が容易になります。

また、KMS製のキーだけでなく、CloudHSM製のキーを使用したり、独自のキーをインポートしたりすることもできます。

特徴2：さまざまなAWSサービスと統合

KMSは、さまざまなAWSサービスと統合しています。

一例として、Elastic Block Store（EBS）、Simple Storage Service（S3）、Simple Notification Service（SNS）、Elastic Container Registry（ECR）、Lambdaなどがあります。これらに存在するデータを暗号化し、安全に取り扱えるようにします。

なお、一部のサービスはCloudHSM製あるいは独自にインポートしたキーには対応していないので、注意しましょう。

公式ページに一覧表があるので、合わせてご覧ください。

特徴3：Encryption SDKによる複数キーでの暗号化

Encryption SDKは、業界標準やベストプラクティスに基づいて構築された暗号化ライブラリです。

暗号化キーの生成から管理までのプロセスを定義したフレームワークを提供しており、暗号化に関するタスクを簡易化します。

KMSでは、複数のキーを用いてデータを暗号化するフレームワークがEncryption SDKによって設計・提供されています。これにより、一つのキーが使えなくなったり、紛失してしまったりした時にも、もう一つのキーを用いて復号できます。

特徴4：CloudTrailによるログ記録

CloudTrailは、アカウント内で発生したアクションをログとして記録するサービスです。

KMSはCloudTrailと統合されており、キーの生成・管理に関するアクションを記録します。アクションを起こしたユーザーの情報や、アクションの時間、日付なども記録されるため、誰がいつキーを扱おうとしたかを一目で把握できます。

特徴5：2種類のキー

KMSには、対称タイプ、非対称タイプの2種類のキーがあります。

対称タイプは、暗号化と復号で同じキーを使用し、非対称タイプでは暗号化と復号で別々のキーを使用します。

基本的には対称タイプを使用し、KMSを呼び出せないユーザーにキーを扱わせたい、メッセージに署名をしたいといった特定のケースでのみ非対称タイプを使用する、という使い分け方が推奨されています。

特徴6：カスタムキーストア

カスタムキーストアは、CloudHSMに基づいたキー保存用ストレージです。

カスタムキーストアでキーを生成すると、CloudHSMに高度暗号化標準（AES）対称キーを生成します。Hardware Security Module（HSM）の保護を受けられる他、FIPS 140-2 レベル3の検証ができるようになります。

ただし、KMS製以外のキーを保存できない、キーの自動更新ができないなど、いくつかの制限が存在します。デフォルトのキーストアとは、用途によって使い分けていきましょう。

特徴7：キーローテーション

キーローテーションは、CMKを更新するシステムです。自動版と手動版の2種類が存在します。

自動版を有効化することで、1年ごとにCMKのバッキングキーが自動で入れ替えられます。IDやARN、ポリシーなどのプロパティは変更されず、また古いバージョンは引き続き保存されるため、入れ替えたキーを使った再暗号化は不要です。

手動版では、CMKを新規で作成し、古いバージョンに上書きする形で更新を行います。こちらでは好きなタイミングで更新ができ、IDやARNなども変更されるため、キー侵害のリスクを軽減できます。ただし、場合によっては再暗号化が必要になることがあります。

AWS KMSでCMKを作成する方法

この項目では、AWS KMSでCMKを作成する方法について、流れを簡単にご紹介します。

対称タイプと非対称タイプで、手順は若干異なります。一例として、ここでは対称タイプの作成手順を説明します。

詳しい操作方法については、公式ドキュメントをご覧ください。

キーの詳細設定

最初に、CMKの詳細設定を行います。

コンソールからキーの作成画面に入り、タイプに［Symmetric（対称）］を選択します。その後、CMKを識別するためのエイリアス（表示名）や説明、タグなどを入力していきます。

説明とタグはオプションなので必須ではありませんが、入力しておくことで識別がしやすくなります。

アクセス許可の設定

次に、アクセス許可を設定します。

CMKの管理や暗号化を許可するユーザーやロールを選択します。ここで選択したユーザーおよびロールにはアクセス権限が付与され、管理が可能になります。

なお、選択したユーザーおよびロールがキーを削除できないように設定することもできます。その場合は、［Allow key administrators to delete this key（キー管理者にこのキーの削除を許可する）］のチェックを外します。

CMKの作成

最後に、CMKを作成します。

これまでの設定をチェックして［Finish（完了）］をクリックすれば、CMKが作成されます。正常に作成されているか確認しておきましょう。

なお、各設定は作成を完了した後からでも変更できます。ただし、エイリアスを変更するとアクセス許可も変更されてしまう場合があるので注意しましょう。

AWS KMSの料金

AWS KMSの料金は、CMKの使用量および暗号化リクエストの回数によって決定します。

無料利用枠が存在し、毎月リクエスト2万回分が無料です。ただし、一部のリクエストは無料利用枠に含まれないので注意しましょう。

見積もりの際は、併用する他のAWSサービスの料金も加味しておきましょう。

以下の項目で紹介する一例は、すべて東京リージョンに準じます。詳しくは公式ページの料金表をご覧ください。

出典：AWS Key Management Service の料金
参照：https://aws.amazon.com/jp/kms/pricing/

CMK

CMKの料金は、保持している本数によって決定します。

保持しているCMK1個につき、1.00USDの料金が月ごとに発生します。この金額は、保存されている場所に関わらず一定となります。

出典：AWS Key Management Service の料金
参照：https://aws.amazon.com/jp/kms/pricing/

リクエスト

リクエストには複数の種類があり、料金もそれぞれ異なります。

通常のリクエストを行った場合、1万件ごとに0.03USDの料金が発生します。ECC GenerateDataKeyPairのAPIを含むリクエストの場合は1万件ごとに0.10USD、RSA GenerateDataKeyPairを含むリクエストの場合は1万件ごとに12.00USDとなります。

出典：AWS Key Management Service の料金
参照：https://aws.amazon.com/jp/kms/pricing/

AWS KMSでデータを暗号化しよう

この記事では、AWS KMSについてご紹介しました。

独自のキーを用いた暗号化と、キーを一元管理する機能により、データの保護を強化します。

多くのAWSサービスと統合されており、さまざまなデータに対応します。AWS上で暗号化を行う時は、KMSを使ってみましょう。