銀行の貸金庫システムで理解する超入門ガイド
AWS CMKの仕組みを、身近な銀行の貸金庫システムで分かりやすく説明します!
大切なデータ を 暗号化して保護 するための 特別な鍵 です
貴重品
を
貸金庫
に
安全に保管したい
🔑
専用の鍵
でロック
👮 銀行員が
鍵の管理
をサポート
🔄 定期的に
鍵を交換
重要なデータ
を
暗号化
して
安全に保存したい
🔑
CMK(暗号化キー)
でロック
☁️ AWS KMSが
鍵の管理
をサポート
🔄 自動で
鍵をローテーション
あなた専用の特別な鍵
です。
この鍵でデータを暗号化・復号化します。
カスタマーマネージド
なら、あなたが完全にコントロール可能。
誰が鍵を使えるか
を細かく設定。
社長、経理、開発者など、
役職や部署ごと
に権限を分けられます。
1年に1回自動
で新しい鍵に交換。
古い鍵で暗号化されたデータも、
ちゃんと復号化
できるので安心。
AWS管理の鍵と、あなたが管理する鍵の違いを理解しよう
銀行が全部管理
✅ メリット:
❌ デメリット:
あなたが完全コントロール
✅ メリット:
❌ デメリット:
🏦 AWS管理CMKが向いている場合:
🔑 カスタマーマネージドCMKが向いている場合:
誰が、いつ、どの操作をできるかを細かくコントロール
銀行の例:
「田中さんは貸金庫エリアに入室可能」
AWS:
どのユーザー・ロールがKMSにアクセスできるかを設定
銀行の例:
「田中さんは鍵で開けることは可能、でも鍵のコピーは不可」
AWS:
その特定のCMKに対して何ができるかを設定
銀行の例:
「今日だけ、佐藤さんも田中さんの鍵を使えます」
AWS:
期間限定や条件付きでの一時的なアクセス権限
許可:
・データの暗号化
・データの復号化
拒否:
・鍵の削除
・鍵の管理
許可:
・全ての操作
・鍵の作成・削除
・ポリシー変更
拒否:
・全ての操作
・アクセス不可
許可:
・ログの閲覧
・鍵の使用状況確認
拒否:
・データアクセス
まるで銀行が定期的に貸金庫の鍵を新しくしてくれるようなサービスです
今使っている鍵で
データを暗号化
AWSが新しい鍵を
自動で作成
新データは新鍵で
暗号化される
古い鍵も保管されるので
復号化可能
🏦 銀行の例で考えてみると...
☁️ AWSでも同じ理由:
設定場所:
KMSコンソール > カスタマーマネージドキー > 作成
設定項目:
「自動ローテーションを有効にする」をチェック
デフォルト:
365日(1年)
範囲:
90日〜2560日まで設定可能
推奨:
1年(セキュリティと運用のバランス)
手順:
既存のCMK > キーローテーション > 編集
注意:
次回ローテーションは設定から365日後
影響:
アプリケーションは何も変更不要
確認方法:
KMSコンソール > キーの詳細 > ローテーション履歴
CloudTrail:
ローテーション実行のログも記録
監視:
CloudWatchでローテーション失敗を検知可能
暗号化前
顧客情報、財務データ暗号化キー
カスタマーマネージド安全に保存
S3、RDS、EBS等データが必要になったら → アクセス権限をチェック → CMKで復号化 → 元のデータとして使用
場所:
AWSコンソール > KMS > カスタマーマネージドキー > 作成
→ 鍵の種類: 対称
→ 用途: 暗号化と復号化
→ 自動ローテーション: 有効
キー管理者:
IT部門のマネージャーを指定
→ 鍵の削除、ポリシー変更権限
→ 通常はAWS管理者アカウント
キー利用者:
アプリケーションやユーザーを指定
→ EC2インスタンス、Lambda関数等
→ 暗号化・復号化権限のみ
エイリアス例:
alias/my-company-master-key
→ 覚えやすい名前を付ける
→ 説明文も追加(「顧客データ暗号化用」等)
S3での使用:
バケットの暗号化設定でCMKを指定
RDSでの使用:
データベース作成時にCMKを指定
EBSでの使用:
ボリューム作成時にCMKを指定
CloudTrail:
KMS APIの使用ログを確認
CloudWatch:
メトリクスとアラームを設定
→ 異常なアクセスを早期発見
誰がいつ鍵を使えるかを細かく制御。自分だけの鍵で最高レベルの安全性
いつ、誰が、何をしたかがすべて記録。コンプライアンス要件も安心
年1回自動で鍵を更新。アプリケーション変更不要で安全性アップ
他のAWSアカウントとも安全に鍵を共有。組織全体での一元管理
どちらのキータイプがあなたのニーズに最適か、詳しく比較してみましょう
✅ メリット:
❌ デメリット:
✅ メリット:
❌ デメリット:
どちらのキータイプを選ぶべき?
推奨!
無料で簡単、
学習や開発に最適
必須!
企業レベルの
セキュリティと制御
おすすめ!
コスト効率と
シンプルさ重視
🏦 AWSマネージドキーのみ使用
→ 開発・テスト環境で暗号化を学習
→ コストゼロで暗号化の基本を体験
→ S3、RDS、EBSで基本的な暗号化を実装
🔐 本番のみカスタマーマネージド
→ 本番環境の機密データに対してのみ使用
→ アクセス制御と監査ログの重要性を実感
→ 開発環境は引き続きAWSマネージド
⚖️ データの機密度に応じて使い分け
→ 機密度「高」:カスタマーマネージド
→ 機密度「中」:AWSマネージド
→ ログやキャッシュ:AWSマネージド
🏦 AWSマネージド推奨
個人プロジェクト
学習・練習用
プロトタイプ開発
🔀 混合利用
開発:AWSマネージド
本番:カスタマーマネージド
段階的にカスタマー移行
🔐 カスタマーマネージド
厳格なコンプライアンス
完全な監査要件
最高レベルの制御
🔐 カスタマーマネージド必須
患者データ保護
法的要件遵守
最高機密レベル
📋 段階的移行の手順:
⚠️ 注意点: 既存のAWSマネージドキーからカスタマーマネージドキーへの直接変更はできません。データを復号化→再暗号化する必要があります。
年間コスト
キー管理料金:無料
API使用料:約$5-50
(使用量による)
年間コスト(1キー)
キー管理料金:$12/年
API使用料:約$5-50
(使用量による)
💰 カスタマーマネージドキーの追加コスト年間$12-60に対して:
🎯 結論:
企業にとってカスタマーマネージドキーの年間数千円の投資は、
数百万円規模のセキュリティリスクを回避する非常に効果的な投資です。
🔑 カスタマーマネージドCMK = 自分で管理する銀行の貸金庫の鍵
🏦 AWSマネージドCMK = 銀行におまかせする簡単な暗号化
👮 アクセス制御 = 誰が鍵を使えるかの細かい権限設定
🔄 自動ローテーション = 年1回の自動鍵交換サービス
📊 監査ログ = いつ誰が鍵を使ったかの完全記録
この理解で、 あなたのニーズに最適な暗号化戦略 を選択できます!
🎯 選択の指針:
🚀 次のステップ:
Created by SSuzuki1063
AWS SAP Learning Resources
Created by SSuzuki1063
AWS SAP Learning Resources