Amazon IAM編 Key Management Service (KMS) ①


こんにちは!Narimasaです!

今回は「AWS re: Invent 2014」で発表された新サービスの「AWS Key Management Service (KMS)」を使ってみたいと思います。

AWS Key Management Service (KMS)とは

IAMユーザー・ロールに対し、データの暗号化を行うための固有のKeyを提供するサービスです。
暗号化されたデータはKeyを持っていないIAMユーザーからは中身を見ることができないため、IAM間でのセキュリティを保つことができます。
AWSをエンタープライズ環境で利用するために必須のサービスと言えます。

それでは、実際に設定を行ってみます。

Keyの作成

KMSの設定は「AWS Identity and Access Management(IAM)」の画面から設定できます。
こちらが表示画面となっております。
IAM-console

Keyはリージョン毎に管理されます。
「Create Key」をクリックします。
kms-console

Keyの表示名と説明を入力します。
Keysetting

鍵を管理するIAMユーザー・ロールを選択します。
Administrator

鍵の利用を許可するIAMユーザー・ロールを選択します。
permission

なお、画面下部の「External Accounts」では、他アカウントのIDを入力することで他アカウントからの鍵の利用も許可できます。
external account

最後にKeyのポリシーが表示されます。
「Finish」をクリックするとKeyの作成は終了です。
policy

以下の画面のようにKeyの情報が表示されています。
kms-finish

Keyをクリックすると設定した基本項目や鍵の管理者、鍵の利用権限保持者の編集が出来る他、鍵のローテート設定も行うことができます。
rotate

Keyの設定については以上となります。

現在、このサービスはEBSやS3、Redshiftで利用でき、順次拡大していくとのことです。
次回は設定したKeyの使い方についてご紹介します。

お楽しみに!