MENU
試験勉強のメモ
  1. ホーム
  2. AWS Certified Cloud Practitioner
  3. 【AWS Certified Cloud Practitioner】AWS KMS・AWS CloudHSM・AWS Certificate Managerを「暗号化(保存時/通信時)」で整理して理解する

【AWS Certified Cloud Practitioner】AWS KMS・AWS CloudHSM・AWS Certificate Managerを「暗号化(保存時/通信時)」で整理して理解する

AWS Certified Cloud Practitioner
目次

試験での位置付け:暗号化は「保存時」と「通信時」で分けて考える

AWS Certified Cloud Practitionerでは、セキュリティの基礎として「データ保護」を押さえることが重要です。特に暗号化は、次の2つを区別すると整理しやすくなります。

  • 保存時の暗号化(Encryption at rest):S3、EBS、RDS など「保存されているデータ」を暗号化
  • 通信時の暗号化(Encryption in transit):TLS(HTTPS)で「通信経路」を暗号化

この2つに対応して、AWSでは主に次のサービスが登場します。

  • AWS KMS:暗号鍵(キー)を管理し、保存時暗号化の基盤になりやすい
  • AWS CloudHSM:専有(シングルテナント)のHSMで鍵を保持・利用したい場合
  • AWS Certificate Manager(ACM):TLS証明書を発行・更新し、通信時暗号化を簡単にする

AWS KMS(Key Management Service)とは

AWS KMSは、暗号化に使う暗号鍵(KMSキー)を作成・管理し、AWSサービスの暗号化(特に保存時暗号化)と連携させるためのマネージドサービスです。KMSキーはAWS KMSの中で生成・管理され、アクセス制御(誰が暗号化/復号できるか)をポリシーでコントロールできます。

公式一次情報:

KMSキーの3種類(写真の情報を反映した比較)

KMSの学習で重要なのは、「キーの種類=誰がどこまで管理できるか」を正しく区別することです。写真にあるポイント(作成者、ローテーション、料金)も含めて整理すると次の通りです。

観点カスタマー マネージドキーAWS マネージドキーAWS 所有のキー
キーの作成・管理利用者(あなた)が作成・管理AWSが作成・管理(あなたのアカウント内でサービス用途に用意)AWSが作成・管理(あなたはキーを直接見たり管理したりできない)
自動ローテーションオプション(有効/無効を選べる。既定は年1回相当)必須(AWSが年1回相当で自動)サービスごとに戦略が決まる(利用者は制御不可)
料金(キー保管)キー単位で月額課金(KMSで作成したキー)作成・保管は課金なし作成・保管は課金なし
料金(利用:API等)キー利用(リクエスト)に従量課金キー利用(リクエスト)に従量課金(KMSとしての利用課金は発生しない。暗号化の実装はサービス側の設計に依存)
向いている場面(試験での選び分け)監査/統制で「鍵の権限やライフサイクルを自分で管理したい」まずは標準の暗号化を「運用負担少なく」使いたいサービスが暗号化を「完全にお任せ」で提供(キー管理を意識させない)

公式一次情報:

ローテーション(鍵更新)で押さえるべきこと

試験で混同しやすいのが「キーを作り直す」のか「キーマテリアルを更新する(ローテーション)」のかです。KMSの自動ローテーションは、同じKMSキーの下で暗号材料を更新するイメージです。

  • カスタマー マネージドキー:自動ローテーションは任意で、有効化/無効化できる
  • AWS マネージドキー:自動ローテーションはAWSが年1回相当で実施(利用者はON/OFFできない)
  • AWS 所有のキー:ローテーション戦略はサービス側が決定(利用者は制御できない)

参考(より柔軟な自動ローテーションやオンデマンドローテーション):

料金感(CLF向け:暗記するのは「傾向」)

CLFでは、細かい単価の暗記よりも「どこで課金が発生しやすいか」を押さえるのが効果的です。

  • カスタマー マネージドキー:キー保管(キー単位の月額)+利用(APIリクエスト等の従量)
  • AWS マネージドキー:キー保管は無料だが、利用(APIリクエスト等)は従量課金
  • AWS 所有のキー:KMSとしてのキー保管・利用の課金は発生しない(サービス料金は別)

公式一次情報(KMS料金):

AWS CloudHSMとは(KMSとの違い:マルチテナント vs シングルテナント)

AWS CloudHSMは、暗号処理と鍵保管を行うHSM(Hardware Security Module)をAWS上で利用できるサービスです。重要なポイントは、CloudHSMが専有(シングルテナント)のHSMを提供することです。つまり、HSMそのものを他利用者と共有せず、自分専用のHSM(クラスター)として扱います。

  • KMS(一般的な利用形態):マルチテナントのマネージド基盤上で鍵管理を提供(運用が楽)
  • CloudHSM:シングルテナントHSMを専有し、鍵をより直接的にコントロール(要件が強い方向け)

CLFでよく出る判断軸は次の通りです。

  • KMSで十分:保存時暗号化を標準的に適用したい/鍵管理の運用負担を増やしたくない
  • CloudHSMを検討:専有HSMが必要(規制・監査要件など)/鍵をHSM内で保持してより強いコントロールが必要

公式一次情報:

AWS Certificate Manager(ACM)とは(通信時暗号化の要)

AWS Certificate Manager(ACM)は、TLS(HTTPS)に必要なSSL/TLS証明書を発行・管理し、更新(リニューアル)を簡単にするサービスです。ロードバランサーやCDN等に証明書を関連付けることで、通信時暗号化を実装しやすくなります。

ACMの学習ポイント(CLF向け)

  • 証明書の更新が管理される:条件を満たすとACMが自動更新(または期限が近いと通知)
  • 統合サービス向けの公開証明書は基本無料:ACM統合サービスで使う場合、追加コストなし(例外:エクスポート可能な公開証明書など)

公式一次情報:

使い分け早見(試験の典型パターン)

やりたいこと(問題文の意図)まず選ぶ候補理由(短く)
保存時暗号化の鍵を管理したいAWS KMS鍵管理をマネージドで提供し、多くのAWSサービスと連携する
鍵の権限制御や削除・無効化まで自分で管理したいKMS:カスタマー マネージドキーキーのライフサイクル/権限を利用者が設計できる
まず暗号化を簡単に有効化したい(運用負担を増やしたくない)KMS:AWS マネージドキーサービスが自動で用意し、管理が最小化される
サービスが暗号化を完全に内包し、キー管理を意識させないKMS:AWS 所有のキー利用者はキーを管理できず、サービス側の設計で暗号化が提供される
専有HSM(シングルテナント)で鍵を保持・利用したいAWS CloudHSM専有のHSMをVPC内で利用できる
HTTPS(TLS)を有効化する証明書を管理したいAWS Certificate Manager(ACM)証明書の発行・更新を簡単にし、統合サービスでは低運用で使える

よくある誤解(CLFで失点しやすい)

  • 「AWSマネージドキー=AWS所有のキー」ではない:AWSマネージドキーは(サービス用途で)アカウント内に用意されるが、AWS所有のキーは利用者に見えない
  • 「自動ローテーション=無料」ではない:カスタマー マネージドキーはキー保管の月額が発生し、利用(API等)も従量になり得る
  • CloudHSMは“鍵管理を楽にする”ではなく“専有HSM要件に応える”寄り:要件が強い分、運用の考慮点も増える

試験前に確認したい公式資料

AWS Certified Cloud Practitioner
aws AWS Certificate Manager AWS CloudHSM AWS KMS clf-c02 Security and Compliance TLS 暗号化 鍵管理
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次