データを暗号化/複合化する仕組みをAWSが提供しています。
AWS KMS keys - AWS Key Management Service
独自の暗号化アプリケーションで使用するために作成および管理されるKMSキーは、 カスタマーマネージドキー と呼ばれるタイプです。カスタマーマネージドキーは、 KMS キーを使用して AWS サービスがユーザーに代わって保存するデータを暗号化...
暗号化と複合化の仕組みを時間の流れととともに図解してみます。
(この記事は、AWS認定試験の合格を目的として書いています。訂正があれば、随時修正をします)
カスタマーマスターキーを作成
↑AWS内で、カスタマーマスターキー(CMK)を作成します。
暗号化
↑先ほどの、カスタマーマスターキー(CMK)から、データキーを作成します。
↑データキーを元に、暗号化させたいデータを暗号化します。
↑暗号化をした、元のデータは、「削除」をします。
↑データキーを、カスタマーマスターキーを使って、暗号化します。
↑暗号化された、データキーの元となる、データキーを削除します。
↑これで、暗号化されました。
複合化
複合化をしてみます。
↑AWS内のカスタマーマスターキーから、データキーを、復号化します。
↑復号化された、データキーを使って、データを、復号化します。
復号化されたデータを、アプリケーションで利用します。
↑アプリケーション利用後、復号化された、データキーと、データを削除します。
AWS KMS (Key Management Service) 利用料金
毎月、20,000件のリクエストが無料枠内で利用できます。
それ以上は、東京リージョンの場合、0.03USD/10,000リクエストの追加料金がかかります。
(2019年2月現在)
料金 - AWS Key Management Service | AWS
AWS Key Management Service (KMS) の料金 | Amazon ウェブ サービス (AWS)
AWS CloudHSM
AWS CloudHSMは、ユーザ専用のハードウェアを用意しています。
AWS KMS は、ハードウェアをシェアしていますが、AWS CloudHMSは、専用です。
AWS CloudTrail
暗号化/復号化のログは、AWS CloudTrailに記録されます。