キーのバージョン管理

Classic/VPC環境で利用できます。

キーのバージョン管理

暗号化キーに対する様々なセキュリティ脅威に備え、キー用途別に推奨される有効期限があります。通常、暗号文作成用途(暗号化)には最大2年、復号化には最大5年まで同じキーを使用できます。そのため、暗号学的なセキュリティ脅威を防ぐためには、使用期限が切れる前に新しいキーに更新することが望ましいです。キー Tagで識別されるキーリソースは、実際の生キー(Raw key)がバージョンで分けて構成され、最大100個のバージョンを持つことができます。キーをローテーションさせて新しいバージョンに更新すると新しい生キーが追加され、キーを完全に変更するのと同じ効果が期待できます。

キーローテーション

キーバージョンを更新するには、キーローテーション機能を使用します。作成されたキーの最初のバージョンは1です。その後にローテーションの度に更新され、最大100個のバージョンを維持できます。100回のキーローテーション後にはこれ以上ローテーションを行えないため、新しいキーに取り替える必要があります。キーローテーションには、定められた周期に従って自動的に行われる自動ローテーションと、必要に応じてユーザーが手動で行う手動ローテーションがあります。それぞれの説明は、次の通りです。

• 自動ローテーション: 設定されたローテーションン周期に従って自動でローテーションを行います。
• 手動ローテーション: 必要に応じてユーザーが手動でローテーションを行います。手動ローテーションは次の自動ローテーションスケジュールに影響を与えません。例えば90日の自動ローテーション周期を持つキーが次のローテーション日まで10日残っている状態で手動ローテーションを行うとしても、10日後には予定通りに自動ローテーションが行われます。

手動ローテーション

キーに対するセキュリティ上の脅威が発生したと判断された場合、または更新期限が過ぎた場合など、ユーザーの判断により手動ローテーションで直ちにキーを更新できます。手動でキーをローテーションさせて新しいバージョンに更新する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 > Services > Security > Key Management Service > Keyメニューを順にクリックします。
2. 手動ローテーションを行うキーの基本情報タブで [キーローテーション] ボタンをクリックします。
3. 今すぐローテーション のポップアップが表示されたら、 [確認] ボタンをクリックします。
4. 現在のバージョン で更新したバージョン情報を確認してください。

自動ローテーション設定

キーが一定周期に従って新しいバージョンに自動で更新されるように自動ローテーションを設定する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 > Services > Security > Key Management Service > Keyメニューを順にクリックします。
2. 自動ローテーションを行うキーの基本情報タブで 自動ローテーション をクリックし、設定を変更します。
3. 自動ローテーション周期を設定するために、 ローテーション周期(次のローテーション日) の [Edit] ボタンをクリックします。
   
4. ローテーション周期変更 のポップアップが表示されたら、ローテーション周期を入力します。
   • 1~730日の間で入力(デフォルト値: 90日)
   • 変更すると同時に次のローテーション日が変更
5. [確認] ボタンをクリックします。

バージョン管理

キーのステータスとは別に、キーのバージョン単位でもステータスを設定できます。キーバージョンのステータスは、有効または無効の2種類です。最新バージョンのキーは常に有効化のステータスである必要があるため、バージョンステータスを設定することはできません。無効化されたバージョンは、復号化に使用できなくなります。前述したように、復号化用途のキーは最大5年までの使用を推奨するという勧告に従うには、バージョンを無効にする必要があります。そのため、キーがローテーションして新しいバージョンが作成されたら、以前使用していたキーは無効にすることをお勧めします。