AWS KMSについて勉強したので、新しく覚えたことをメモします。
KMSはまだまだ理解が浅いのでしっかり勉強していきたいです。
KMSとは
KMSの公式ドキュメントには以下の記載がありました。
AWS Key Management Service(AWS KMS)は、お客様のデータを暗号化するために使用される暗号化キーである カスタマーマスターキー (CMK)を簡単に作成および制御できるマネージドサービスです。
CMKの種類
CMKには対象キーと非対称キーの二種類があるそうです。
対称 CMK: AWS KMS が暗号化されないままにならない単一の 256 ビットのシークレット暗号化キーを表します。シンメトリック CMK を使用するには、AWS KMS を呼び出す必要があります。
非対称 CMK: 暗号化か復号、または署名か検証には使用できますが、両方は使用できない、数学的に関連するパブリックキーとプライベートキーのペアを表します。プライベートキーによって AWS KMS が暗号化されていないままになることはありません。AWS KMS API オペレーションを呼び出して AWS KMS 内でパブリックキーを使用することも、パブリックキーをダウンロードして AWS KMS の外部で使用することもできます。
AWSのサービスのデータをKMSを使用して暗号化する際は対象(Symmetric)キーを使うのが一般的なようです。
タスクに明示的に非対称暗号化が必要でない限り、AWS KMS を暗号化せずに残すことのない対称 CMK が適しています。