Classic/VPC環境で利用できます。
キーのバージョン管理
暗号化キーに対する様々なセキュリティ脅威に備え、キー用途別に推奨される有効期限があります。通常、暗号文作成用途(暗号化)には最大2年、復号化には最大5年まで同じキーを使用できます。そのため、暗号学的なセキュリティ脅威を防ぐためには、使用期限が切れる前に新しいキーに更新することが望ましいです。キー Tagで識別されるキーリソースは、実際の生キー(Raw key)がバージョンで分けて構成され、最大100個のバージョンを持つことができます。キーをローテーションさせて新しいバージョンに更新すると新しい生キーが追加され、キーを完全に変更するのと同じ効果が期待できます。
キーローテーション

キーバージョンを更新するには、キーローテーション機能を使用します。作成されたキーの最初のバージョンは1です。その後にローテーションの度に更新され、最大100個のバージョンを維持できます。100回のキーローテーション後にはこれ以上ローテーションを行えないため、新しいキーに取り替える必要があります。キーローテーションには、定められた周期に従って自動的に行われる自動ローテーションと、必要に応じてユーザーが手動で行う手動ローテーションがあります。それぞれの説明は、次の通りです。
- 自動ローテーション: 設定されたローテーションン周期に従って自動でローテーションを行います。
- 手動ローテーション: 必要に応じてユーザーが手動でローテーションを行います。手動ローテーションは次の自動ローテーションスケジュールに影響を与えません。例えば90日の自動ローテーション周期を持つキーが次のローテーション日まで10日残っている状態で手動ローテーションを行うとしても、10日後には予定通りに自動ローテーションが行われます。
- 自動ローテーションが適用されていないキーは、手動ローテーションを行わない限りローテーションが行われないためセキュリティ面で脆弱になる可能性があります。定期的なキーの更新と管理に対するすべての責任はユーザーにあります。
- キーローテーション後の注意事項は、次の通りです。
- 暗号化は常に最新バージョンのキーでのみ可能です。キーがローテーションしてバージョンが更新されると、以前のバージョンのキーは暗号化には使用できず、復号化のみに使用できます。
- キーローテーションが行われ新しいバージョンに更新されたら、以前のバージョンのキーを使用していたユーザーはなるべく早く新しいバージョンのキーで再暗号化し、以前のバージョンのキーは無効化することをお勧めします。再暗号化のための APIの使用方法は、Re-encryptをご参照ください。
- 復号化の際は正確なバージョンを設定することで正しい結果が得られます。暗号文に含まれる prefix (ex. ncpkms:v1)を任意に変更すると、復号化が正しく処理されません。
手動ローテーション
キーに対するセキュリティ上の脅威が発生したと判断された場合、または更新期限が過ぎた場合など、ユーザーの判断により手動ローテーションで直ちにキーを更新できます。手動でキーをローテーションさせて新しいバージョンに更新する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、
> Services > Security > Key Management Service > Keyメニューを順にクリックします。 - 手動ローテーションを行うキーの基本情報タブで [キーローテーション] ボタンをクリックします。
- 今すぐローテーション のポップアップが表示されたら、 [確認] ボタンをクリックします。
- 現在のバージョン で更新したバージョン情報を確認してください。
自動ローテーション設定
キーが一定周期に従って新しいバージョンに自動で更新されるように自動ローテーションを設定する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、
> Services > Security > Key Management Service > Keyメニューを順にクリックします。 - 自動ローテーションを行うキーの基本情報タブで 自動ローテーション をクリックし、設定を変更します。
- 自動ローテーション周期を設定するために、 ローテーション周期(次のローテーション日) の [Edit] ボタンをクリックします。

- ローテーション周期変更 のポップアップが表示されたら、ローテーション周期を入力します。
- 1~730日の間で入力(デフォルト値: 90日)
- 変更すると同時に次のローテーション日が変更
- [確認] ボタンをクリックします。
バージョン管理

キーのステータスとは別に、キーのバージョン単位でもステータスを設定できます。キーバージョンのステータスは、有効または無効の2種類です。最新バージョンのキーは常に有効化のステータスである必要があるため、バージョンステータスを設定することはできません。無効化されたバージョンは、復号化に使用できなくなります。前述したように、復号化用途のキーは最大5年までの使用を推奨するという勧告に従うには、バージョンを無効にする必要があります。そのため、キーがローテーションして新しいバージョンが作成されたら、以前使用していたキーは無効にすることをお勧めします。