3種類のキーを「住まいの鍵」にたとえて徹底解説
AWSが完全管理。ユーザーは意識不要。無料
AWSが管理+一部確認可能。使用料のみ
ユーザーが完全管理。最高の柔軟性。月額+使用料
KMSの3種類のキーは、「どこに住んでいるか」で考えると理解しやすい!
ホテル・賃貸マンション・持ち家、それぞれ鍵の管理方法が違いますよね 🔑
| 比較項目 | 🏨 AWS所有キー | 🏢 AWSマネージドキー | 🏠 カスタマーマネージドキー |
|---|---|---|---|
| 管理者 | AWS(完全) | AWS(主体) | ユーザー(完全) |
| キーの可視性 | 見えない | 確認可能 | 完全可視 |
| キーポリシー変更 | 不可 | 不可 | 可能 |
| キーローテーション | AWS自動(非公開) | AWS自動(1年) | 手動 or 自動設定可 |
| CloudTrail監査 | 不可 | 可能 | 可能 |
| 削除・無効化 | 不可 | 不可 | 可能 |
| 月額料金 | 無料 | 無料 | $1/月 |
| API使用料 | 無料 | 有料 | 有料 |
| キー識別名 | なし | aws/[サービス名] | alias/[任意の名前] |
最もシンプル。意識せず自動で暗号化
複数のAWSアカウントで共有されるキー。ユーザーからは完全に見えず、管理も一切できない。
多くのAWSサービスでデフォルトで使用される。特別な設定不要。
設定不要、追加コストなし、運用の手間ゼロ。
監査不可、ポリシー制御不可、コンプライアンス要件を満たせない場合あり。
バランス型。監査可能で運用はAWSにおまかせ
AWSサービス専用のキー。aws/[サービス名]という形式で識別。CloudTrailで使用履歴を確認可能。
サービス設定で「SSE-KMS」や「AWS管理キー」を選択。自動的に作成される。
監査ログ取得可能、自動ローテーション、運用の手間が少ない。
キーポリシー変更不可、クロスアカウント共有不可、細かい制御は不可能。
最高の柔軟性。完全な管理権限
ユーザーが作成・管理するキー。キーポリシー、エイリアス、ローテーション、すべてを自由に設定可能。
KMSコンソールまたはAPIで明示的に作成。対称/非対称キーを選択可能。
完全な制御、クロスアカウント共有、外部キー持ち込み(BYOK)、厳格なコンプライアンス対応。
月額費用発生、管理責任、削除すると復号不可能。
追加費用は一切なし
キー自体の月額費用は無料
API使用料のみ発生
キー1つにつき月額$1
+ $0.03/10,000リクエスト
コンプライアンス不要なら所有キー、監査が必要ならマネージドキー、完全制御ならCMKを選択。
CMKを使う場合は自動ローテーション(1年)を有効化。セキュリティ強化に効果的。
CMKには分かりやすいエイリアス(alias/prod-data-key など)を設定して管理を容易に。
キーポリシーで必要最小限のアクセス権限のみを付与。誰が何をできるかを明確に。
マネージドキーとCMKはCloudTrailで使用履歴を記録。異常なアクセスを検知。
CMKの削除は待機期間(7-30日)あり。削除するとデータが復号不能になるため慎重に。
SSE-S3 = AWS所有キーを使用。最もシンプルで追加費用なし。
SSE-KMS = AWSマネージドキーまたはCMKを使用。CloudTrailで監査可能。コンプライアンス要件がある場合はSSE-KMSを推奨。
CMKには待機期間(7-30日)が設定されています。この期間内であれば削除をキャンセル可能です。完全に削除されると、そのキーで暗号化されたデータは二度と復号できません。
CMK(カスタマーマネージドキー)のみクロスアカウント共有が可能です。キーポリシーで他アカウントのプリンシパルに権限を付与します。AWS所有キーとマネージドキーは共有できません。
はい!BYOK(Bring Your Own Key)を使えば、オンプレミスで生成したキーマテリアルをKMSにインポートできます。これはCMKでのみ可能です。コンプライアンス要件でキーの出所を証明する必要がある場合に有用です。
Created by SSuzuki1063
AWS SAP Learning Resources