このサービスは管理的には非常に重要でキーを安全に共有したいとか、キーがどれだっけ?とか、緊急の対処が必要なのにキーが見つからないとか、そういう状況に陥らないようにするために、こう言ったサービスが非常に重要だったりします。
サポートされているリージョンは以下の通りです。東京でも使えますね。
http://docs.aws.amazon.com/kms/latest/developerguide/regions.html
| Region Name | Region | Endpoint | Protocol | Support Date |
|---|---|---|---|---|
| US East (Northern Virginia) Region | us-east-1 | kms.us-east-1.amazonaws.com | HTTPS | 11/12/2014 |
| US West (Northern California) Region | us-west-1 | kms.us-west-1.amazonaws.com | HTTPS | 11/12/2014 |
| US West (Oregon) Region | us-west-2 | kms.us-west-2.amazonaws.com | HTTPS | 11/12/2014 |
| EU (Ireland) Region | eu-west-1 | kms.eu-west-1.amazonaws.com | HTTPS | 11/12/2014 |
| EU (Frankfurt) Region | eu-central-1 | kms.eu-central-1.amazonaws.com | HTTPS | 11/12/2014 |
| Asia Pacific (Singapore) Region | ap-southeast-1 | kms.ap-southeast-1.amazonaws.com | HTTPS | 11/12/2014 |
| Asia Pacific (Sydney) Region | ap-southeast-2 | kms.ap-southeast-2.amazonaws.com | HTTPS | 11/12/2014 |
| Asia Pacific (Tokyo) Region | ap-northeast-1 | kms.ap-northeast-1.amazonaws.com | HTTPS | 11/12/2014 |
| South America (Sao Paulo) Region | sa-east-1 | kms.sa-east-1.amazonaws.com | HTTPS | 11/12/2014 |
対応しているサービスは以下の通りです。
- Amazon Redshift
- Amazon Simple Storage Service
- Amazon Elastic Block Store
データストアとして使うサービスで暗号化がサポートされているサービスは全て使えるようです。個人的な趣味としては、RDSのEBSでつかえるのかなぁというのが気になります。
それでは、早速、使ってみたいと思います。単独のサービスとしては、management console には表示されません。 IAM のメニューの一つとして、あります。
よく考えずに、Create Key してみます。
エイリアスを入力しなければいけないようなので、とりあえず適当な名前を入力します。
IAMユーザーの選択を求められたので、汎用に使っている adminitorator 権限(ようするに制限なし)のユーザーを選択しました。
もう一回 IAM ユーザーの選択を求められます。よく読むと、キーの管理者とキーの利用者を別に設定できるようです。これはセキュリティ的によく考えられた設計だと思います。でもここでは同じユーザーを選択しました。よろしくないですね。
こんな感じでキーのポリシーが作成されました。キーの管理者権限と、使用者権限が別に設定されています。
次に進むとこんな感じで、キーが作成されています。初期で作成されたキーは洗濯できなくて、新しく作成されたキーば選択可能になっています。キーの削除も可能なようです。
クリックするとこんな感じの画面になって、キーの管理者と使用者を指定できるようになっています。
キー自体をアップロードしたり、ダウンロードしたりはできないようです。
実際どのようなユースケースが想定されるでしょうか。
例えば、研究開発部門で極秘のプロジェクトが進行していて、同社内でも他部門には知られたくない研究データがあったとします。もちろ他社の産業スパイなどにも注意が必要です。そのデータはEBSに格納されています。KMSを利用して、権限を限定して、かつEBS暗号化を利用することで、同社内でもデータを利用することを制限することが可能です。
人事データや給与データなども該当するかもしれません。
もっと簡単なユースケースでは、例えば18禁ビデオと、それ以外でアクセス可能な権限を分けるとかw
何れにしてもセキュリティ管理的には重要な機能が追加されたと思います。
