BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース AWS Key Management Serviceにマルチリージョンキーを導入

AWS Key Management Serviceにマルチリージョンキーを導入

原文(投稿日:2021/06/27)へのリンク

AWSは先頃、暗号化されたデータをリージョン間で移動できるようにするクライアントサイドアプリケーションのための新機能であるKMSマルチリージョンキーが利用可能だと発表した。

新しいIDとマテリアルを持つプライマリマルチリージョンキーが1つのリージョンで作成されると、独立して使用できる別のリージョンに関連したマルチリージョンレプリカを作成することができる。プライマリキーとレプリカキーは、キーID、キーローテーション、およびキーオリジンを共有し、あるリージョンでデータを暗号化し、別のリージョンでデータを復号化できるようにする。

出典: https://aws.amazon.com/blogs/security/encrypt-global-data-client-side-with-aws-kms-multi-region-keys

AWS KMSマルチリージョンキーを使用してクライアントサイドのグローバルデータを暗号化する方法を示す別の記事で、同クラウドプロバイダは新機能の必要性について説明している:

AWS KMSは当初から、実装ごとに単一のAWSリージョンに厳密に分離されており、リージョン間でキー、ポリシー、または監査情報を共有することはありませんでした。リージョンの分離は、セキュリティ標準とデータ常駐要件に準拠するのに役立ちます。ただし、リージョン間でキーを共有しないと、それらのキーに依存するデータをリージョン間で移動しなければならない場合に問題が発生します。(...) クライアントサイドの暗号化を使用する場合、この仕様により、リージョンで分離されたKMSキー間の再暗号化の複雑さと遅延がさらに追加されます。

マルチリージョンキーを使用すると、災害復旧、グローバルデータ管理、分散署名アプリケーション、複数のリージョンにまたがるアクティブ-アクティブアプリケーションなど、さまざまなデータセキュリティシナリオに役立つ。グローバルキーではなく、キーを複製するオプションであっても、この新機能により、データがリージョン間を移動するときにデータを再度復号化および暗号化する必要がなくなるため、マルチリージョンデプロイメントの管理が容易になる。

出典: https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-view.html

この機能はコミュニティから頻繁にリクエストされており、ユーザのCeralEnt氏はRedditでこの変更につまずいた状況を説明している:

今日、いくつかのKMSキーを調べていたところ、コンソールに「Regionality」プロパティが表示されていました。そして、私はそこに座って、「あれ、マルチリージョンで使えるキーに覚えがない。奇妙だ、十分な注意を払っていなかったに違いない。すばらしい。

別の開発者は、Infrastructure as CodeとCloudFormationテンプレートでの利点にフォーカスしている:

「エイリアスはマルチリージョンキーほど優れている」ということはもうありません。(...) CloudFormationテンプレート全体でエイリアスを使用していることを確認するのに非常に多くの時間を費やしました。

シングルリージョンキーとマルチリージョンキーは、AWS KMSコンソール、AWS KMS API、AWS Encryption SDK、Amazon DynamoDB Encryption Client、およびAmazon S3 Encryption Clientでサポートされている。ユーザは、作成されたすべてのCMKと、AWS KMS価格でAPIリクエストに対して課金される。マルチリージョンキーは、すべてのパブリックAWSリージョンで利用できる。

 

この記事に星をつける

おすすめ度
スタイル

BT