Key Management Service を使用する

Classic/VPC環境で利用できます。

Key Management Serviceで作成したキーはユーザーが直接管理でき、使用権限によってキーを管理して暗号化/復号化および署名/検証に使用できます。Key Management Serviceでキーを作成して管理するには、権限設定が必要です。これについての詳細は、Key Management Service の権限管理ガイドをご参照ください。

Key Management Service画面

Key Management Service利用のための基本的な説明は、次の通りです。

キーリストの確認

キーリストで各キーの情報を確認できます。確認する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
2. Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
3. Services > Security > Key Management Service メニューを順にクリックします。
4. キーリストが表示されたらサマリー情報を確認するか、キーをクリックして詳細情報を確認します。
   
   • キー名 : 作成したキーの固有な名前
   • 用途 : 作成したキーの使い道としては、暗号化/復号化、署名/検証、暗号化/復号化および署名/検証の3種類がある
     • 暗号化/復号化: 対称キー方式の暗号化(AES256-GCM96)を利用する場合。最大32KBのデータを暗号化でき、主にクレデンシャル封印に使用
     • 暗号化/復号化および署名/検証: 非対称キー方式の暗号化または署名/検証(RSA-2048)に利用する場合。最大190Bのデータの暗号化や最大8KB
     • 署名/検証: 非対称キー方式の署名と検証(ECDSA-P256)に利用する場合。最大8KBのデータ署名に利用して検証できる
   • 状態 : 作成したキーを使用できるかどうかと最も最近使用された日付。状態に関する詳細は、キーの状態を参照
   • 作成日 : キーを作成した日付
   • キー Tag : キー名とともにキーを区別する固有 IDで、Rest APIで暗号化/復号化機能を利用する際に使用
   • 収束暗号化 : 収束暗号化の適用有無
   • タイプ : キーで使用する暗号化方式
   • 現在のバージョン : キーの現在のバージョン
     • : クリックすると、キーに関連する全バージョンリストが確認、バージョン別作成日の確認と状態変更が行える。詳細は、キーのバージョン管理を参照
       
   • 自動ローテーション : キーの自動ローテーション有無
   • ローテーション周期(次のローテーション日) : キーを自動ローテーションに設定した場合、キーが自動でローテーションされる日単位の周期
   • 使用回数 : キーを利用して暗号化/復号化機能が呼び出された回数(Client Rest API呼び出し数と同じ)
   • メモ : キーに関する追加情報と説明

キーの状態

Key Management Serviceでは、キー別に最大100のバージョンを作成して管理できます。キーの状態はそのキーのすべてのバージョンに継承されます。例えば、3つのバージョンを持つキーの状態が使用停止に切り替えられると、3つのバージョンがすべて使用停止状態になります。再び有効化して使用可能状態になると、バージョンの状態は自動で以前持っていた状態に戻ります。

キーの各状態についての説明は、次の通りです。

• 作成
  キー作成をリクエストすると、キー管理推奨によるキー作成手順に従って安全に作成され、固有 IDが付与されます。IDが付与されたキーは暗号化された保存場所に安全に保存され、有事の際に備えたバックアップ地点が作成されます。

• 使用可能
  すべての暗号化/復号化リクエストに利用できるキーです。作成されたキーは自動で有効化して使用可能状態に切り替えられ、いつでも無効化して使用を停止できます。使用可能状態のキーは管理課金の対象になります。

• 使用停止
  無効化して使用が停止されたキーで、いつでも有効化して使用可能状態に切り替えられます。いつでも使用可能な状態で維持するために、使用停止状態のキーは回転周期に従います。すなわち、使用停止状態のキーの場合でも、次の回転日に予定通りにローテーションを行って新しいバージョンに更新されます。使用停止状態のキーは、暗号化/復号化リクエストに利用できません。使用停止状態のキーは管理課金の対象になります。

• 削除リクエスト
  使用しなくなったため、誤使用や不要なメンテナンスを減らすように、ユーザーにより削除がリクエストされたキーです。削除リクエスト状態のキーは、ユーザーのキー削除リクエストが発生した72時間後に完全に削除されます。ユーザーのリクエストにより削除されたキーは復旧できません。削除リクエストの際は、使用しているユーザーがいないか確認してから慎重に行ってください。
  ただし、最終削除前まで削除リクエストはキャンセルできます。削除リクエストがキャンセルされたキーは、直ちに使用停止状態に切り替えられます。使用停止状態と同様に、削除リクエスト状態のキーは回転周期に従います。また、管理課金の対象になります。このキーのユーザーがもういない場合は、 [即時削除] ボタンをクリックしてすぐさま完全削除することもできます。

• 削除
  完全に削除されたキーで、ユーザーは直接確認できません。Key Management Service内でもキーは削除された状態であり、キーの情報と使用履歴など管理情報の照会のみ、NAVERクラウドプラットフォームのカスタマーサポート > お問い合わせを介してリクエストできます。削除されたキーの管理情報は、1年間維持した後に削除されます。

キーの状態に応じて基本機能の利用有無が変わります。状態別に利用可能な基本機能情報は、次の通りです。

キーの状態は大切に管理される必要があります。状態の変更を招く無効化/有効化や削除リクエスト機能は慎重に行ってください。キーの状態が安全に維持されるようにユーザーによるモニタリングが必要なため、コンソールではキーの状態が変更されると使用権限が付与されたサブアカウントにキーの状態変更通知メールを送信します。ユーザーは、変更の通知メールを通じてキーの状態をリアルタイムでチェックできます。

キー作成

ユーザー管理キーは数の制限なしに作成できます。ただし、作成されたキー数に応じて料金が発生することにご注意ください。キーを作成する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
2. Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
3. Services > Security > Key Management Service メニューを順にクリックします。
4. [キー作成] ボタンをクリックします。
5. キー作成の画面が表示されたら、必要な情報を入力します。
   • キー名: 英数字、記号「-」、「_」を組み合わせて3~15文字以内で入力。ただし、先頭は英字にする必要があり、ユーザーのキーストア内の他のキー名と重複不可
   • 用途: 暗号化/復号化(AES-256)、暗号化/復号化および署名/検証(RSA-2048)、署名/検証(ECDSA)の中からクリックして選択
   • 暗号化タイプ: 用途で暗号化/復号化(AES-256)を選択した場合、同じ平文に対して常に同じ暗号文を作成する収束暗号化(Convergent Encryption)の適用有無をクリック。収束暗号化を選択した場合、暗号化/復号化機能の呼び出す際は Contextパラメータが必要。詳細内容は以下の注意ボックスを参照
   • ローテーションタイプ: キーの自動ローテーション有無をクリック
   • ローテーション周期: 1~730日の間で入力(デフォルト値: 90日)
   • メモ: 100文字以下で入力
6. [キー作成] ボタンをクリックします。

キー権限の管理

Key Management Serviceを使用するための権限は Sub Accountを通じて管理されます。Key Management Serviceの権限は NAVERクラウドプラットフォームの Sub Accountに予め定義されたマネージド(System Managed)ポリシーを使うか、またはユーザーが直接詳細権限を設定したユーザー定義(User Created)ポリシーを利用して管理できます。

サブアカウントにマネージド(System Managed)ポリシーを割り当てる

1. Management & Governance > Sub Account > Sub Accounts メニューを順にクリックします。
2. ポリシーを割り当てるサブアカウントを選択します。
3. ポリシー タブの [個別権限追加] をクリックします。
4. NCP KMS MANAGERの権限を検索して追加します。

サブアカウントにユーザー定義(User Created)ポリシーを割り当てる

1. Management & Governance > Sub Account > Policies メニューを順にクリックします。
2. [ポリシー作成] ボタンをクリックします。
3. [ポリシー適用対象] の [サービス] で Key Management Service を選択します。
4. 割り当てる権限を選択します。
5. キー別の権限を割り当てる場合、 [リソース指定] を有効化してキーリソースを選択します。
6. [適用対象追加] をクリックして適用対象 を追加します。
7. キーリソースの指定を終わると、 [作成] をクリックしてポリシー作成を完了します。
8. Management & Governance > Sub Account > Sub Accounts メニューを順にクリックします。
9. ポリシーを割り当てるサブアカウントを選択します。
10. ポリシー タブの [個別権限追加] をクリックします。
11. 7で作成した権限を検索して追加します。

キーのバージョン管理

セキュリティのために、キーバージョンを管理できます。すべての暗号化キーには様々なセキュリティ脅威が存在するので、勧告する使用期限が存在します。そのため、セキュリティ脅威に備えるには、使用期限が切れる前に新しいキーに更新することが望ましいです。Key Management Serviceでは暗号化/復号化に利用される実際の「キー値」がバージョンを基準に区分され、キーバージョンを更新するとキーを更新することと同じ効果が期待されます。キー Tagで識別されるキーは内部的に最大100つのバージョンを持つことができます。

キーローテーション

Key Management Serviceのキーバージョンを更新するには、 キーローテーション 機能を利用します。作成されたキーの最初のバージョンは1です。その後にローテーションの度に更新され、最大100までバージョンを維持できます。100回のキーローテーション後にはローテーションを行えません。新しいキーに取り替える必要があります。

キーローテーションには、定められたローテーション周期に従って自動でローテーションが行われる自動ローテーションと、必要に応じてユーザーが手動で行う手動ローテーションがあります。各ローテーションについての説明は、次の通りです。

• 自動ローテーション: 設定されたローテーション周期に従って自動でローテーションを行います。
• 手動ローテーション: ユーザーが必要に応じて手動でローテーションを行います。手動ローテーションは次の自動ローテーションスケジュールに影響を与えません。例えば90日の自動ローテーション周期を持つキーが次のローテーション日まで10日残っている状態で手動ローテーションを行うとしても、10日後には予定通りに自動ローテーションが行われます。

手動ローテーション

キーに対してセキュリティ脅威が発生したと判断した場合や、その他ユーザーの判断により、手動ローテーションを行って直ちに更新できます。キーを新しいバージョンに更新するために手動でローテーションを行う方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
2. Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
3. Services > Security > Key Management Service メニューを順にクリックします。
4. 手動ローテーションを行うキーをクリックして選択し、 [キーをローテーション] ボタンをクリックします。
5. 今すぐローテーション のポップアップが表示されたら、[確認] ボタンをクリックします。
6. 現在のバージョン で更新したバージョン情報を確認してください。
   

自動ローテーション

キーが一定周期に従って新しいバージョンに自動で更新されるように自動ローテーションを設定する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
2. Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
3. Services > Security > Key Management Service メニューを順にクリックします。
4. 自動ローテーションを行うキーをクリックして選択し、 自動ローテーション をクリックして選択します。
5. 自動ローテーション周期を設定するために、 ローテーション周期(次のローテーション日) の [Edit] ボタンをクリックします。
   
6. ローテーション周期変更 のポップアップが表示されたら、ローテーション周期を入力します。

• 1~730日の間で入力(デフォルト値: 90日)
• 変更すると同時に次のローテーション日が変更

7. [確認] ボタンをクリックします。

キーの無効化/有効化

正常に使用していたキーを特定の理由やユーザーの判断により無効化状態に変更したり、無効化状態のキーを再び有効化状態に変更することができます。キーの有効化有無を設定する方法は次の通りです。

1. NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
2. Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
3. Services > Security > Key Management Service メニューを順にクリックします。
4. 有効化するかどうかを設定するキーをクリックして選択し、設定を行います。
   • 有効化状態を無効化状態に変更する場合: [キーを無効化] ボタンをクリック
     • キーを無効化 のポップアップ: 無効化するキーの使用履歴がある場合、ポップアップの最近の使用履歴を確認して [無効化] ボタンをクリック
   • 無効化状態を有効化状態に変更する場合: [キーを有効化] ボタンをクリック
5. キーリストで、変更されたキーの状態を確認してください。
   • 使用停止: 無効化して使用が停止されたキーで、いつでも有効化して使用可能状態に切り替えられます。いつでも使用可能な状態で維持するために、使用停止状態のキーはローテーションスケジュールに従います。
   • 使用可能: すべての暗号化/復号化リクエストに利用できる状態

キー削除

使用しなくなったキーは、削除をリクエストできます。削除リクエストが届けられると、72時間の待機を経てから完全削除されます。削除リクエストされたキーは削除予定状態に切り替えられ、使用停止状態と同様に暗号化/復号化のリクエストに利用できません。削除待機が必要ない場合は、直ちに削除することもできます。例えば、ユーザーのいないキーの場合は、削除してもデータ消失の恐れがないので、72時間の待機なしで直ちに削除できます。

削除待機中のキーに対する削除リクエストをキャンセルするには、72時間の待機時間が経過する前に [キー削除をキャンセル] ボタンをクリックしてください。ボタンをクリックすると削除リクエストは撤回され、直ちに使用停止状態に切り替わります。キーを再び使用するには、有効化状態に切り替えてください。
キーを削除する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
2. Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
3. Services > Security > Key Management Service メニューを順にクリックします。
4. 削除するキーをクリックして選択し、 [キー削除をリクエスト] ボタンをクリックします。
5. キー削除をリクエスト のポップアップが表示されたら、[削除リクエスト] ボタンをクリックします。

• 注意 のポップアップ: 削除するキーの使用履歴がある場合、ポップアップの最近の使用履歴を確認して [削除リクエスト] ボタンをクリック
  

6. キーリストで削除リクエストを行った後、変更されたキーの状態を確認します。
   • 削除予定: 削除リクエストが受け付けられ、完全削除までの72時間は待機中の状態
7. 状態フィールドに表示された削除予定日に削除せずに直ちに削除するには、 [今すぐ削除] ボタンをクリックします。
   

キー履歴の確認

様々なセキュリティ脅威に備えるために、キーのすべての使用履歴を照会してキーが適切に運用されているかモニタリングできます。キーの使用履歴を確認する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
2. Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
3. Services > Security > Key Management Service メニューを順にクリックします。
4. 使用履歴を確認するキーをクリックして選択し、 [キーの履歴を見る] ボタンをクリックします。
5. 使用履歴 のポップアップが表示されたら、必要な情報を確認します。
   

• IP: 操作を行ったアカウント(主体)の IPアドレスとアクセス情報
• 日時: 操作を行った日付
• ジョブ: 行ったジョブの内容
• 結果: 行った操作の成否
• アカウント: 操作を行ったアカウントの ID