主なデータ
データキーは、 暗号化キーおよびその他のデータの多数を含むデータを暗号化するために使用される暗号化鍵です。
あなたはAWS KMS使用することができ 、クライアントのマスターキー (CMK)の生成、データの暗号化と復号化鍵を。しかし、AWS KMSは、保存、管理したり、データのキーを追跡することはありません、それは、操作を実行するために、データの暗号化キーを使用しません。あなたは、AWSのKMSのうち、重要なデータの管理とを使用する必要があります。
データキーを作成します。
データキーを作成するには、呼び出し GenerateDataKeyの 操作を。AWS KMS CMKあなたは鍵を生成したデータを指定します。図に示すように、この動作は、キーと暗号化されたデータのコピーキーCMKを用いて平文データのコピーを返します。
AWS KMSもサポートしてい GenerateDataKeyWithoutPlaintext 唯一のデータ暗号化キーを返す操作を。あなたはデータのキーを使用する必要がある場合は、AWS KMSが必要と 復号化するために、それを。
データキーを使用してデータを暗号化します
AWSは、キーデータは、データを暗号化するために使用することはできませんKMSができますが、そのようにOpenSSLまたは使用するなど、KMSに加えて、データキーを使用することができ AWS SDKの暗号化 やその他の暗号化ライブラリを。
平文データを暗号化するためにデータ・キーを使用した後、できるだけ速やかにメモリから削除してください。必要に応じてデータを解読するために使用することができるように、安全に、暗号化されたデータと暗号鍵データを保存することができます。
データを復号化するデータ・キーを使用します
データの暗号化を解除するには、暗号化されたデータのキーをするために送信され保存 解読 操作を。AWS KMSは、関数は、プレーンテキストデータのキーを返し、データを復号化するために、あなたのCMKのキーを使用します。データを復号化し、できるだけ早くメモリに平文データからキーを削除するために平文データキーを使用してください。
次の図は、復号化は、暗号化データのキー操作を復号化方法を示しています。
封筒の暗号化
あなたはデータを暗号化した後、データは保護されますが、暗号化キーを保護する必要があります。1つの戦略は、それを暗号化することです。封筒の暗号化は 、暗号化された平文データへのデータキーを使用し、データのキーを暗号化するために異なるキーを使用する暗号化方式です。
あなたも、暗号化キーが暗号化されたデータの異なる暗号化キー、および暗号化の別の暗号鍵で暗号化キーを使用することができます。あなたがキーとデータを復号化できるように、しかし、最終的には、キーは、クリアテキストで保存されなければなりません。呼ばれるこのトップクリアキー暗号化キーマスターキー。
AWS KMSは、しっかりとマスターキーを格納して管理することにより、それらを保護するためにあなたを助けることができます。マスターキーは、AWS KMS(と呼ばれるに格納された顧客マスタキー (CMK))AWS KMSてみましょう決して FIPS-検証済みのハードウェア・セキュリティ・モジュールを非暗号化された状態で。AWS KMS CMKを使用するには、AWSのKMSを呼び出す必要があります。
封筒の暗号化には、以下のいくつかの利点を提供します。
-
データ保護キー
データ暗号化キーの保護の対象にデータの暗号化キー自体ので、あなたは、データストレージの暗号化キーを心配する必要はありません。あなたは安全にデータ暗号化キーと一緒に格納されたデータを暗号化することができます。
-
データを暗号化するためにマスターキーの同じ複数を使用して
暗号化操作は、データを暗号化するための、特に非常に時間がかかるが、大きなオブジェクトであることができます。あなただけのオリジナルデータを保護するために、データ暗号化キーを再し、複数の異なるキーを使用せずに元のデータを再暗号化することができます。
-
さまざまなアルゴリズムの利点と合わせて
一般的に、共通鍵暗号の速度より速い公開鍵アルゴリズムより、暗号文を生成小さいが、公開鍵アルゴリズムは、固有の役割分離と容易鍵管理を提供します。封筒の暗号化を使用すると、各戦略の利点を組み合わせることができます。