Key Management Service の用語

Classic/VPC環境で利用できます。

Key Management Serviceを使用するために、必ず知っておくべきいくつかの用語があります。用語とその説明は、次の通りです。

Key Management Service管理者

Sub Accountを通じてマネージドポリシーの NCP KMS MANAGERを付与されたサブアカウント

対称暗号化·Symmetric Key-based Encryption

暗号化と復号化に同じキーを利用する暗号化方式。データビットに置換と転置を繰り返して暗号文と平文を作成し、データの機密性を保証するために暗号化は一般的に対称キー方式を使用

データキー(またはデータ暗号化キー)·Data Key

データ暗号化に直接適用されるキー。ユーザーが直接保管するキーを意味し、本ガイドではデータキー、データ暗号化キー、DEKなどの用語で指す

ルートキー·Root key

KMSシステムを保護するシステムトップレベルキー。KMSのすべてのキーデータはルートキーで暗号化され、ストレージに保存

生キー·Raw key

実際の暗号化/復号化に使用されるキーデータ。例えば、AES 256暗号化を使用する場合、256ビットの生キーが暗号アルゴリズムに入力される

復号化·Decryption

暗号化により変換された暗号文を元のデータ(平文)に変換する過程

シール·Seal

データキーやクレデンシャルを暗号化する行為

非対称暗号化·Asymmetric Key-based Encryption

データの暗号化/復号化時に暗号化と復号化に異なるキーを利用する暗号方式(公開キー方式の暗号化方式)。データとキーを数学的原理を利用して計算して暗号文/平文を作成し、作成時に使用するキーは公開可能なキー値とセキュリティを維持する必要があるキー値のペアで構成

ユーザー管理キー(またはキー)

顧客が KMSに作成して管理するキー。いかなる場合にも(システム運用者であっても)キー値を直接確認できずに KMSシステム外部に公開されず、通常データキーやクレデンシャルをシールする目的で使用することを推奨。KMSご利用ガイドでは、キーまたはマスターキーという用語で指す

暗号化·Encryption

キーを利用してデータ(平文)をランダムに操作し、意味を把握できない情報(暗号文)に変換する過程

クレデンシャル·Credentials

データキーだけでなく、パスワード、証明書の秘密キーなど、認証情報に利用されるすべてのデータ

キーストア・Key Store

Key Management Service利用顧客ごとに1つずつ作成されるキーの保存場所。顧客が作成するキーは、いずれも各自のキーストアに作成され、それぞれのキーストアは論理的に隔離され管理。キーストアは、Key Management Serviceコンソールからアクセスして管理可能

ローテーション·Rotation

様々な暗号学的脅威に備えてキーを更新するタスク

バウンダリー·Boundary

暗号キーの使用と保存に対する物理的範囲

隔離·Isolation

暗号キーの使用と保存に対する物理的範囲を制限するためにバウンダリーを設定すること