インポートオリジンCMKの仕組みとキー状態の違いを理解しよう!
通常のKMSキー:
🔨 鍵屋さん(AWS)が金庫の鍵を作って管理
→ 簡単だけど、鍵の材料は鍵屋さんにお任せ
BYOKキー:
🔑 あなたが特別な金属を持参して、鍵屋さんに鍵を作ってもらう
→ 自分の材料なので安心だけど、管理は自分の責任
BYOKは、自分で生成したキーマテリアル(鍵の材料)をAWS KMSにインポートして使用する仕組みです。セキュリティを強化できますが、キーマテリアルの管理責任はあなたにあります。
オリジンを「External」に設定してCMKを作成(まだキーマテリアルなし)
自分でキーマテリアルを生成、またはAWSから暗号化パラメータを取得
キーマテリアルをAWS KMSにインポート(有効期限設定可能)
CMKがEnabled状態になり、暗号化・復号化が可能に
鍵屋さんが営業中
金庫の開け閉めが自由にできる状態
✅ 新しい暗号化 OK
✅ 既存データの復号化 OK
鍵屋さんが一時休業
新しい鍵は作れないけど、既存の金庫は開けられる
❌ 新しい暗号化 NG
✅ 既存データの復号化 OK
鍵の材料を持ち帰り
金庫が開けられなくなる
❌ 新しい暗号化 NG
❌ 既存データの復号化 NG
| 機能 | Enabled | Disabled | キーマテリアル削除済み |
|---|---|---|---|
| 新しいデータの暗号化 | ✅ 可能 | ❌ 不可能 | ❌ 不可能 |
| 既存データの復号化 | ✅ 可能 | ✅ 可能 | ❌ 不可能 |
| キーの再有効化 | ✅ すでに有効 | ✅ 可能 | ⚠️ 再インポートが必要 |
| AWS Servicesでの利用 | ✅ 可能 | ❌ 制限あり | ❌ 不可能 |
| データキーの生成 | ✅ 可能 | ❌ 不可能 | ❌ 不可能 |
一度キーマテリアルを削除すると、そのキーで暗号化されたすべてのデータが 永久に復号化不可能 になります。これは元に戻すことができません!
キーマテリアルは必ずセキュアな場所にバックアップを保管
有効期限を設定し、定期的な更新プロセスを確立
CloudTrailでキーの使用状況を監視
本番環境で使用前に、復旧手順をテスト
BYOK は自分でキーマテリアルを管理する仕組み。 Enabled/Disabled は可逆的な状態変更ですが、 キーマテリアルの削除 は不可逆的な操作です。適切なバックアップと監視を行い、慎重に運用しましょう。
Created by SSuzuki1063
AWS SAP Learning Resources