- 印刷する
- PDF
Key Management Service を使用する
- 印刷する
- PDF
Classic/VPC環境で利用できます。
Key Management Serviceで作成したキーはユーザーが直接管理でき、使用権限によってキーを管理して暗号化/復号化および署名/検証に使用できます。Key Management Serviceでキーを作成して管理するには、権限設定が必要です。これについての詳細は、Key Management Service の権限管理ガイドをご参照ください。
作成したキーを使用した暗号化/復号化、署名/検証機能は Key Management Service APIで提供されます。Key Management Service APIは、API Gatewayを介して呼び出します。使用方法の詳細は、Key Management Service APIガイドと API Gateway ご利用ガイドをご参照ください。
Key Management Service画面
Key Management Service利用のための基本的な説明は、次の通りです。
領域 | 説明 |
---|---|
① メニュー名 | サービス名と作成したキー数 |
② 基本機能 | キー作成、キー詳細情報の確認、画面の更新 |
③ キー管理機能 | キーローテーション、キー状態の変更(無効化、有効化)、キー削除、キー履歴の確認 |
④ キーリスト | キーリストと詳細情報の確認、自動ローテーションとローテーション周期の管理、バージョン別にキーの有効化有無の設定、メモの入力 |
キーリストの確認
キーリストで各キーの情報を確認できます。確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
- Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
- Services > Security > Key Management Service メニューを順にクリックします。
- キーリストが表示されたらサマリー情報を確認するか、キーをクリックして詳細情報を確認します。
- キー名 : 作成したキーの固有な名前
- 用途 : 作成したキーの使い道としては、暗号化/復号化、署名/検証、暗号化/復号化および署名/検証の3種類がある
- 暗号化/復号化: 対称キー方式の暗号化(AES256-GCM96)を利用する場合。最大32KBのデータを暗号化でき、主にクレデンシャル封印に使用
- 暗号化/復号化および署名/検証: 非対称キー方式の暗号化または署名/検証(RSA-2048)に利用する場合。最大190Bのデータの暗号化や最大8KB
- 署名/検証: 非対称キー方式の署名と検証(ECDSA-P256)に利用する場合。最大8KBのデータ署名に利用して検証できる
- 状態 : 作成したキーを使用できるかどうかと最も最近使用された日付。状態に関する詳細は、キーの状態を参照
- 作成日 : キーを作成した日付
- キー Tag : キー名とともにキーを区別する固有 IDで、Rest APIで暗号化/復号化機能を利用する際に使用
- 収束暗号化 : 収束暗号化の適用有無
- タイプ : キーで使用する暗号化方式
- 現在のバージョン : キーの現在のバージョン
- : クリックすると、キーに関連する全バージョンリストが確認、バージョン別作成日の確認と状態変更が行える。詳細は、キーのバージョン管理を参照
- : クリックすると、キーに関連する全バージョンリストが確認、バージョン別作成日の確認と状態変更が行える。詳細は、キーのバージョン管理を参照
- 自動ローテーション : キーの自動ローテーション有無
- ローテーション周期(次のローテーション日) : キーを自動ローテーションに設定した場合、キーが自動でローテーションされる日単位の周期
- 使用回数 : キーを利用して暗号化/復号化機能が呼び出された回数(Client Rest API呼び出し数と同じ)
- メモ : キーに関する追加情報と説明
キー Tagの場合、機密情報として取り扱われません。
キーの状態
Key Management Serviceでは、キー別に最大100のバージョンを作成して管理できます。キーの状態はそのキーのすべてのバージョンに継承されます。例えば、3つのバージョンを持つキーの状態が使用停止に切り替えられると、3つのバージョンがすべて使用停止状態になります。再び有効化して使用可能状態になると、バージョンの状態は自動で以前持っていた状態に戻ります。
ライフサイクルによるキー状態に関する詳しい概念は、Key Management Service とはをご参照ください。
キーの各状態についての説明は、次の通りです。
作成
キー作成をリクエストすると、キー管理推奨によるキー作成手順に従って安全に作成され、固有 IDが付与されます。IDが付与されたキーは暗号化された保存場所に安全に保存され、有事の際に備えたバックアップ地点が作成されます。使用可能
すべての暗号化/復号化リクエストに利用できるキーです。作成されたキーは自動で有効化して使用可能状態に切り替えられ、いつでも無効化して使用を停止できます。使用可能状態のキーは管理課金の対象になります。使用停止
無効化して使用が停止されたキーで、いつでも有効化して使用可能状態に切り替えられます。いつでも使用可能な状態で維持するために、使用停止状態のキーは回転周期に従います。すなわち、使用停止状態のキーの場合でも、次の回転日に予定通りにローテーションを行って新しいバージョンに更新されます。使用停止状態のキーは、暗号化/復号化リクエストに利用できません。使用停止状態のキーは管理課金の対象になります。削除リクエスト
使用しなくなったため、誤使用や不要なメンテナンスを減らすように、ユーザーにより削除がリクエストされたキーです。削除リクエスト状態のキーは、ユーザーのキー削除リクエストが発生した72時間後に完全に削除されます。ユーザーのリクエストにより削除されたキーは復旧できません。削除リクエストの際は、使用しているユーザーがいないか確認してから慎重に行ってください。
ただし、最終削除前まで削除リクエストはキャンセルできます。削除リクエストがキャンセルされたキーは、直ちに使用停止状態に切り替えられます。使用停止状態と同様に、削除リクエスト状態のキーは回転周期に従います。また、管理課金の対象になります。このキーのユーザーがもういない場合は、 [即時削除] ボタンをクリックしてすぐさま完全削除することもできます。削除
完全に削除されたキーで、ユーザーは直接確認できません。Key Management Service内でもキーは削除された状態であり、キーの情報と使用履歴など管理情報の照会のみ、NAVERクラウドプラットフォームのカスタマーサポート > お問い合わせを介してリクエストできます。削除されたキーの管理情報は、1年間維持した後に削除されます。
キーの状態に応じて基本機能の利用有無が変わります。状態別に利用可能な基本機能情報は、次の通りです。
キー権限の管理 | キーローテーション | キーの無効化/有効化 | キー削除のリクエスト/キー削除のキャンセル | キー履歴を見る | |
---|---|---|---|---|---|
使用可能 | O | O | 無効化 O | O | O |
使用停止 | O | X | 有効化 O | O | O |
削除リクエスト | X | X | X | キー削除のキャンセル O | O |
削除 | - | - | - | - | - |
キーの状態は大切に管理される必要があります。状態の変更を招く無効化/有効化や削除リクエスト機能は慎重に行ってください。キーの状態が安全に維持されるようにユーザーによるモニタリングが必要なため、コンソールではキーの状態が変更されると使用権限が付与されたサブアカウントにキーの状態変更通知メールを送信します。ユーザーは、変更の通知メールを通じてキーの状態をリアルタイムでチェックできます。
キー作成
ユーザー管理キーは数の制限なしに作成できます。ただし、作成されたキー数に応じて料金が発生することにご注意ください。キーを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
- Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
- Services > Security > Key Management Service メニューを順にクリックします。
- [キー作成] ボタンをクリックします。
- キー作成の画面が表示されたら、必要な情報を入力します。
- キー名: 英数字、記号「-」、「_」を組み合わせて3~15文字以内で入力。ただし、先頭は英字にする必要があり、ユーザーのキーストア内の他のキー名と重複不可
- 用途: 暗号化/復号化(AES-256)、暗号化/復号化および署名/検証(RSA-2048)、署名/検証(ECDSA)の中からクリックして選択
- 暗号化タイプ: 用途で暗号化/復号化(AES-256)を選択した場合、同じ平文に対して常に同じ暗号文を作成する収束暗号化(Convergent Encryption)の適用有無をクリック。収束暗号化を選択した場合、暗号化/復号化機能の呼び出す際は Contextパラメータが必要。詳細内容は以下の注意ボックスを参照
- ローテーションタイプ: キーの自動ローテーション有無をクリック
- ローテーション周期: 1~730日の間で入力(デフォルト値: 90日)
- メモ: 100文字以下で入力
- [キー作成] ボタンをクリックします。
収束暗号化: Contextは、初期キー(Seed Key)から実際の暗号か/復号化に使用されるキーと IV(Initial Vector)を派生(Derivation)させます。正しくない Contextが入力される場合は復号化されません。収束暗号化を選択すると、Contextが同じ場合、毎回同じキーと IVが使用されるため、同じ平文に対して常に同じ暗号文を作成します。複数の平文にすべて同じ Contextを適用して暗号化すると、暗号化の面で脅威に対し脆弱になる可能性があります。安全な暗号化のために、Contextをデータ別に適切に変更して使用することを勧告します。収束暗号化を適用しないと、すべての値が任意に派生するので、追加での Context入力は必要ありませんが、同じ平文でも毎回異なる暗号文が作成されます。収束暗号化の適用有無は、キーの作成後に変更できません。
キー権限の管理
2023年11月23日を基準に Key Management Serviceで独自で提供していたキー権限管理機能は Sub Accountを使った詳細権限管理を通じて行うように変更されます。従来利用していたロールベースキー権限は同じレベルのポリシーにマイグレーションされ、これについての詳細は、Key Management Service の権限管理ガイドをご参照ください。
Key Management Serviceを使用するための権限は Sub Accountを通じて管理されます。Key Management Serviceの権限は NAVERクラウドプラットフォームの Sub Accountに予め定義されたマネージド(System Managed)ポリシーを使うか、またはユーザーが直接詳細権限を設定したユーザー定義(User Created)ポリシーを利用して管理できます。
- Sub Accountを利用したサブアカウントの作成方法は、Sub Account ご利用ガイドをご参照ください。
- Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountの紹介と料金プランについての詳細説明は、Key Management Service の権限管理と NAVERクラウドプラットフォームポータルのサービス > Management & Governance > Sub Accountメニューをご参照ください。
サブアカウントにマネージド(System Managed)ポリシーを割り当てる
サブアカウントに Sub Accountの権限を追加できる権限が必要です。詳細は、Sub Account ご利用ガイドをご参照ください。
- Management & Governance > Sub Account > Sub Accounts メニューを順にクリックします。
- ポリシーを割り当てるサブアカウントを選択します。
- ポリシー タブの [個別権限追加] をクリックします。
- NCP KMS MANAGERの権限を検索して追加します。
サブアカウントにユーザー定義(User Created)ポリシーを割り当てる
サブアカウントに Sub Accountの権限を追加できる権限が必要です。詳細は、Sub Account ご利用ガイドをご参照ください。
- Management & Governance > Sub Account > Policies メニューを順にクリックします。
- [ポリシー作成] ボタンをクリックします。
- [ポリシー適用対象] の [サービス] で Key Management Service を選択します。
- 割り当てる権限を選択します。
- キー別の権限を割り当てる場合、 [リソース指定] を有効化してキーリソースを選択します。
- [適用対象追加] をクリックして適用対象 を追加します。
- キーリソースの指定を終わると、 [作成] をクリックしてポリシー作成を完了します。
- Management & Governance > Sub Account > Sub Accounts メニューを順にクリックします。
- ポリシーを割り当てるサブアカウントを選択します。
- ポリシー タブの [個別権限追加] をクリックします。
- 7で作成した権限を検索して追加します。
キーのバージョン管理
セキュリティのために、キーバージョンを管理できます。すべての暗号化キーには様々なセキュリティ脅威が存在するので、勧告する使用期限が存在します。そのため、セキュリティ脅威に備えるには、使用期限が切れる前に新しいキーに更新することが望ましいです。Key Management Serviceでは暗号化/復号化に利用される実際の「キー値」がバージョンを基準に区分され、キーバージョンを更新するとキーを更新することと同じ効果が期待されます。キー Tagで識別されるキーは内部的に最大100つのバージョンを持つことができます。
キーローテーション
Key Management Serviceのキーバージョンを更新するには、 キーローテーション 機能を利用します。作成されたキーの最初のバージョンは1です。その後にローテーションの度に更新され、最大100までバージョンを維持できます。100回のキーローテーション後にはローテーションを行えません。新しいキーに取り替える必要があります。
キーローテーションには、定められたローテーション周期に従って自動でローテーションが行われる自動ローテーションと、必要に応じてユーザーが手動で行う手動ローテーションがあります。各ローテーションについての説明は、次の通りです。
- 自動ローテーション: 設定されたローテーション周期に従って自動でローテーションを行います。
- 手動ローテーション: ユーザーが必要に応じて手動でローテーションを行います。手動ローテーションは次の自動ローテーションスケジュールに影響を与えません。例えば90日の自動ローテーション周期を持つキーが次のローテーション日まで10日残っている状態で手動ローテーションを行うとしても、10日後には予定通りに自動ローテーションが行われます。
- 自動ローテーションを適用しないキーは、手動ローテーションを行わない限りローテーションが行われないので、セキュリティ面で脆弱になる可能性があります。安全のための定期的なキーの更新や管理に関するすべての責任は、ユーザーにあります。
- キーローテーション後の注意事項は、次の通りです。
- 暗号化は最も最新バージョンのキーでしか行えません。よって、キーローテーションが行われバージョンが更新されると、以前のバージョンのキーは暗号化に使用できなくなり、もっぱら復号化用途にしか使用できません。
- キーローテーションが行われ新しいバージョンに更新されたら、以前のバージョンのキーを利用していたユーザーはできるだけ早く新しいバージョンのキーで再暗号化し、以前のバージョンは無効化することをお勧めします。再暗号化のための APIの使用方法は、Re-encryptをご参照ください。
- 復号化の際は正確なバージョンを設定することで正しい結果が得られます。暗号文に含まれる prefix を(ex.Ncpkms: v1)を任意に変更すると、復号化が正しく処理されません。
手動ローテーション
キーに対してセキュリティ脅威が発生したと判断した場合や、その他ユーザーの判断により、手動ローテーションを行って直ちに更新できます。キーを新しいバージョンに更新するために手動でローテーションを行う方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
- Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
- Services > Security > Key Management Service メニューを順にクリックします。
- 手動ローテーションを行うキーをクリックして選択し、 [キーをローテーション] ボタンをクリックします。
- 今すぐローテーション のポップアップが表示されたら、[確認] ボタンをクリックします。
- 現在のバージョン で更新したバージョン情報を確認してください。
自動ローテーション
キーが一定周期に従って新しいバージョンに自動で更新されるように自動ローテーションを設定する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
- Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
- Services > Security > Key Management Service メニューを順にクリックします。
- 自動ローテーションを行うキーをクリックして選択し、 自動ローテーション をクリックして選択します。
- 自動ローテーション周期を設定するために、 ローテーション周期(次のローテーション日) の [Edit] ボタンをクリックします。
- ローテーション周期変更 のポップアップが表示されたら、ローテーション周期を入力します。
- 1~730日の間で入力(デフォルト値: 90日)
- 変更すると同時に次のローテーション日が変更
- [確認] ボタンをクリックします。
キーの無効化/有効化
正常に使用していたキーを特定の理由やユーザーの判断により無効化状態に変更したり、無効化状態のキーを再び有効化状態に変更することができます。キーの有効化有無を設定する方法は次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
- Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
- Services > Security > Key Management Service メニューを順にクリックします。
- 有効化するかどうかを設定するキーをクリックして選択し、設定を行います。
- 有効化状態を無効化状態に変更する場合: [キーを無効化] ボタンをクリック
- キーを無効化 のポップアップ: 無効化するキーの使用履歴がある場合、ポップアップの最近の使用履歴を確認して [無効化] ボタンをクリック
- 無効化状態を有効化状態に変更する場合: [キーを有効化] ボタンをクリック
- 有効化状態を無効化状態に変更する場合: [キーを無効化] ボタンをクリック
- キーリストで、変更されたキーの状態を確認してください。
- 使用停止: 無効化して使用が停止されたキーで、いつでも有効化して使用可能状態に切り替えられます。いつでも使用可能な状態で維持するために、使用停止状態のキーはローテーションスケジュールに従います。
- 使用可能: すべての暗号化/復号化リクエストに利用できる状態
キーを無効化すると、そのキーを使用していたユーザーがキーを使用できなくなります。設定の際はご注意ください。
キー削除
使用しなくなったキーは、削除をリクエストできます。削除リクエストが届けられると、72時間の待機を経てから完全削除されます。削除リクエストされたキーは削除予定状態に切り替えられ、使用停止状態と同様に暗号化/復号化のリクエストに利用できません。削除待機が必要ない場合は、直ちに削除することもできます。例えば、ユーザーのいないキーの場合は、削除してもデータ消失の恐れがないので、72時間の待機なしで直ちに削除できます。
一度削除したキーは完全に削除され復旧できません。慎重に行ってください。特に [直ちに削除] の場合、キーが直ちに削除されてキャンセルできないので、ご注意ください。
削除待機中のキーに対する削除リクエストをキャンセルするには、72時間の待機時間が経過する前に [キー削除をキャンセル] ボタンをクリックしてください。ボタンをクリックすると削除リクエストは撤回され、直ちに使用停止状態に切り替わります。キーを再び使用するには、有効化状態に切り替えてください。
キーを削除する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
- Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
- Services > Security > Key Management Service メニューを順にクリックします。
- 削除するキーをクリックして選択し、 [キー削除をリクエスト] ボタンをクリックします。
- キー削除をリクエスト のポップアップが表示されたら、[削除リクエスト] ボタンをクリックします。
- 注意 のポップアップ: 削除するキーの使用履歴がある場合、ポップアップの最近の使用履歴を確認して [削除リクエスト] ボタンをクリック
- キーリストで削除リクエストを行った後、変更されたキーの状態を確認します。
- 削除予定: 削除リクエストが受け付けられ、完全削除までの72時間は待機中の状態
- 状態フィールドに表示された削除予定日に削除せずに直ちに削除するには、 [今すぐ削除] ボタンをクリックします。
キー履歴の確認
様々なセキュリティ脅威に備えるために、キーのすべての使用履歴を照会してキーが適切に運用されているかモニタリングできます。キーの使用履歴を確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューで、利用中のリージョンをクリックして選択します。
- Platform メニューで、VPC と Classic のどちらかをクリックして選択します。
- Services > Security > Key Management Service メニューを順にクリックします。
- 使用履歴を確認するキーをクリックして選択し、 [キーの履歴を見る] ボタンをクリックします。
- 使用履歴 のポップアップが表示されたら、必要な情報を確認します。
- IP: 操作を行ったアカウント(主体)の IPアドレスとアクセス情報
- 日時: 操作を行った日付
- ジョブ: 行ったジョブの内容
- 結果: 行った操作の成否
- アカウント: 操作を行ったアカウントの ID