aws kms poiints
- 1. AWS KMSを触る
- 2. 自己紹介 名前:富松 広太(とみまつ こうた) Blog:https://cloud-aws-gcp.hateblo.jp/ twitter:@kotamemento 所属:株式会社 Turn and Frontier(関西クラウドベンダー) 2020 APN ALL AWS Certifications Engineer from:滋賀県
- 3. AWS KMS(key management service)の概要 ● 鍵を安全に保管してくれるサービス ● 各AWSサービスのデータ暗号化・復号化機能として連携 (S3、EBS等) ● セキュリティのポイントを自動的に抑えてくれる (キーローテーション、暗号化鍵の方式を決定) よく忘れるので整理してみました
- 4. 鍵がごちゃごちゃある・・ AWS KMSの概要 KMS │── CMK(customer master key) │ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない │ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式 │ └── (3)Customer managed CMK・・・・利用者が管理 │ ├───(3-1) awsが作成 │ └───(3-2) 自分で作成 │ │── (4)データキー・・・・・・・・・・・・データの暗号 /復号に利用
- 5. 鍵がごちゃごちゃある・・ AWS KMSの概要 KMS │── CMK(customer master key) │ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない │ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式 │ └── (3)Customer managed CMK・・・・利用者が管理 │ ├───(3-1) awsが作成 │ └───(3-2) 自分で作成 │ │── (4)データキー・・・・・・・・・・・・データの暗号 /復号に利用 特に2つの違いを知りたい・・・・
- 6. CMKとデータキーの違い AWS KMS キー種別 データキー:データを暗号/復号化するために利用する CMK :データキーを暗号/復号化するために利用する
- 7. AWS外 AWS なぜCMKで直接暗号/復号化しないのか? AWS KMS キー種別 Master keyをAWS外部に出したくないから データをAWSに送るのは不便だから、復号処理が一定時間でないのが嫌だから Client 取得 復号 AWS外 AWS Client 復号 取得 送付
- 9. 実際に作ってみると? AWS KMS キー種別 aws kms create-key aws kms create-alias --alias-name alias/test-key-alias --target-key-id xxxxxxxxxx aws kms generate-data-key --key-id alias/test-key-alias --key-spec AES_256 aws kms generate-data-key --key-id alias/test-key-alias --key-spec AES_256 { "CiphertextBlob": "AQIDAHgUOG52kcVFzz8bdP・・・・ }
- 10. 各AWSサービスとの連携は? AWS KMS サービス連携 KMS │── CMK(customer master key) │ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない │ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式 │ └── (3)Customer managed CMK・・・・利用者が管理 │ ├───(3-1) awsが作成 │ └───(3-2) 自分で作成 │ │── (4)データキー・・・・・・・・・・・・データの暗号 /復号に利用 データキーの管理は各AWSサービスが裏側でやってくれている
- 11. EC2にEBSをアタッチすると 1.暗号化されたデータキーを復号指示 2.復号化されたデータキーを取得 3.EBSデータを復号化 4.利用終了時(EBSデタッチ)に復号化されたデータキーを削除 KMSを削除すると即座に EC2動作には影響ないが、 次回EBSアタッチ時に2でエラーとなるので注意 KMSを間違って削除してしまったら EC2が起動しているうちに データを別の場所に保管すると良い EC2 EBS暗号化の流れ AWS KMSサービス連携 EBS KMS 1 2 3 4
- 12. (2)と(3-1),(3-2)の違いは? AWS KMS CMKの違い KMS │── CMK(customer master key) │ ├── (1)AWS owned CMK ・・・・・・・AWSが管理、見れない │ ├── (2)AWS managed CMK・・・・・・AWSが管理、見れる。aws/service-nameの形式 │ └── (3)Customer managed CMK・・・・利用者が管理 │ ├───(3-1) awsが作成 │ └───(3-2) 自分で作成 │ │── (4)データキー・・・・・・・・・・・・データの暗号 /復号に利用 マネージドの方が制約が強く、管理が楽 (2) :特に指定がなく、暗号化さえできれば良い場合 (3-1):キーポリシーを管理可能(例 .クロスアカウント) (3-2):キーの暗号化方式まで細かく管理可能(例 .セキュリティポリシーの遵守)
- 13. キーローテーションとは? AWS KMS ローテーション ・Backing keyというキーの実態を入れ替えること ・key-IDやエイリアスはそのままで利用可能 ・過去分のBacking keyも世代管理するため利用者側への影響はない ・AWS管理だと自動ローテーション機能が利用可能
- 14. 暗号化時 利用したbacking keyのIDを ヘッダとして暗号化データに含んでおく 過去に暗号化したデータがローテで復号化できなくなる心配はないか? AWS KMS ローテーション 復号化時 ヘッダからbacking keyのIDを読み取り復号 過去のキー情報も履歴管理しているため復号可能
- 16. AWS KMSまとめ ● 鍵種別を整理 ● エンベロープ暗号化はcli等でやってみるのおすすめ ● KMS削除は気をつける(時間差の障害発生の可能性あり)