Tencent Cloud Key Management Service (KMS) は、キーを簡単に作成および管理し、その機密性、整合性、および可用性を保護できるセキュリティ管理ソリューションです。マルチアプリケーションおよびマルチビジネスシナリオにおけるキー管理のニーズを満たすとともに、規制とコンプライアンスの要件にも適合します。
特徴
セキュリティとコンプライアンス
KMSはサードパーティ認証のハードウェアセキュリティモジュール(HSM)に基づいてキーを生成と保護します。安全なデータ転送プロトコルを利用して、分散クラスターの業務デプロイとホットバックアップを保護します。セキュリティーと品質管理はすでに複数のコンプライアンススキームによって検証および認定されています。
包括的な管理機能
KMSはキーの作成、有効化、無効化、ローテーション設定、エイリアス設定、キーの詳細の表示、関連情報の変更など、豊富なキー管理機能を提供します。
クラウドサービスとのシームレスな統合
KMS は、COS、TencentDB for MySQL、CBS などのTencent Cloud サービスとシームレスに統合しています。KMS を使用すると、これらのサービスのデータを暗号化し、ストレージの環境を管理できます。
管理が簡単
KMSコンソールは CAM および Cloud Monitor と統合することにより、キーを作成してアクセス権限をコントロールすることが簡単になり、同時にキーの管理操作とキーの使用状況にも記録できます。
安心・安全のディザスタリカバリ対策
二台以上の分散サーバ・集積化業務配置とホットスタンバイが採用され、基盤となるHSMが二台サーバのコールドスタンバイを取り入れ、暗号鍵管理システムのハイアベイラビリティを確保します。
外部キーのインポートをサポート
Tencent Cloudアーキテクチャにおいて独自のキーを使用して機密データを暗号化および復号化できます。つまり、Tencent CloudにおいてBYOK(Bring Your Own Key)ソリューションを実施することができます。
機能
マネージド型キー管理サービス
KMS は、キーの作成、有効化、無効化、ローテーション設定、エイリアス設定、キーの詳細の表示、関連情報の変更など、豊富な管理機能を提供します。KMS を使用すると、各キーの管理ポリシーを簡単に作成、保護及び実行できます。
キーローテーション
KMS には、デフォルトでは無効になっているカスタマーマスターキー (CMK) の自動キーローテーション機能があり、必要に応じて有効にすることができます。CMKの自動キーローテーション機能を有効にすると、KMS キーの新しい暗号化マテリアルを毎年生成します。キーローテーションはKMSシステムによって管理され、自動キーローテーション済みのカスタマーマスターキーが、 過去の暗号文を引き続き復号化でき、新しい暗号化タスクのみが新しいCMK を使用します。
権限制御
KMS は CAM と完全に統合されており、ID およびポリシー管理を通じて機密キーにアクセスまたは管理できるアカウントとロールを制御できます。
ビルトイン監査
KMS は Tencent Cloud Audit と完全に統合されており、キーの管理操作と使用状況を含むすべてのAPIリクエストを記録できます。
ユースケース
機密データの暗号化
エンベロープ暗号化
キーのインポート
機密情報の暗号化はKMSのコア機能であり、主にキー、証明書、構成ファイルなどのサーバーディスク内にある機密データ (4 KB 未満) を保護するために使用されます。
エンベロープ暗号化は、大量データ向けに設計された高性能の暗号化および復号化ソリューションです。エンベロープ暗号化を使用すると、データ暗号化キー(DEK)をKMS サーバーに転送するだけ(CMKで暗号化および復号化され)で、すべての業務データは効率的なローカル対称暗号化方式で処理されます。
BYOK(Bring Your Own Key) ソリューションを使用すると、独自のキーを使用して Tencent Cloud 上の機密データを暗号化および復号化できます。BYOKソリューションを実装する場合は、キーマテリアルなしでCMK を生成でき、独自のキーマテリアルをマスターキーにインポートして、外部キー CMK (EXTERNAL CMK) を形成し、KMSサービスによってこの外部キーの配布管理を行います。
料金
KMSはCMKの保存費用とAPIの呼び出し費用の二つの部分で構成されています。使った分だけお支払いの従量制プランを採用し、毎月1日~末日までのご利用分の請求書が翌月の3日から5日の間に生成され、決済されます。詳細を見る。