Key Management Service の用語

Classic/VPC環境で利用できます。

Key Management Serviceを使用するために、必ず知っておくべきいくつかの用語があります。用語とその説明は、次の通りです。

Key Management Service 管理者

Sub Accountを通じてマネージドポリシーの NCP KMS MANAGERを付与されたサブアカウント

対称キー方式の暗号化·Symmetric Key-based Encryption

暗号化や復号化に同じキーを利用する暗号化方式。データビットに置換と転置を繰り返して暗号文や平文を作成し、データ機密性保障のために暗号化は一般的に対称キー方式を使用する

データキー(またはデータ暗号化キー)·Data Key

データ暗号化に直接適用されるキー。ユーザーが直接保管するキーを意味し、本ガイドではデータキー、データ暗号化キー、DEKなどの用語で呼ぶ。

ルートキー·Root key

KMSシステムを保護するシステムの最上位キー。KMSのすべてのキーデータはルートキーで暗号化され、ストレージに保存する

復号化·Decryption

暗号化によって変換された暗号文を元のデータ(平文)に変換するプロセス

封印·Seal

データキーやクレデンシャルを暗号化する行為

非対称キー方式の暗号化·Asymmetric Key-based Encryption

データを暗号/復号化する際に、暗号化や復号化に他のキーを利用する暗号方式(公開キー方式の暗号化方式)。数学的原理を利用してデータとキーを計算して暗号文/平文を作成し、作成時に使用するキーは公開できるキー値とセキュリティを維持すべきキー値のペアで構成

ユーザー管理キー(またはキー)

顧客がKMSに作成して管理するキー。どのような場合でも(システム運営者でも)キー値を直接確認できず、KMSシステムの外部に表示されることなく、一般的にデータキーやクレデンシャルを封印する用途での使用を推奨。KMS利用ガイドでは、キーやマスターキーという用語で呼ぶ

暗号化·Encryption

キーを利用してデータ(平文)をランダムに操作し、意味を把握できない情報(暗号文)に変換するプロセス

クレデンシャル·Credentials

データキーだけではなくパスワード、証明書の秘密鍵など、資格証明に利用されるすべてのデータ

キーストア·Key Store

Key Management Service利用顧客ごとに1つずつ作成されるキーの保存場所。顧客が作成するキーは、いずれも各自のキーストアに作成され、それぞれのキーストアは論理的に隔離され管理。キーストアは、Key Management Serviceコンソールからアクセスして管理可能。

ローテーション·Rotation

複数の暗号学的脅威に備えてキーを更新する作業