【KMS】自動キーローテーション済みのカスタマーマスターキーが、過去の暗号化データキーをいつまで復号できるか教えてください

【KMS】自動キーローテーション済みのカスタマーマスターキーが、過去の暗号化データキーをいつまで復号できるか教えてください

AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS KMS
#AWS Key Management Service(KMS)
#AWS
川崎照夫

川崎照夫

facebook logohatena logotwitter logo
Clock Icon2022.03.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

社内でKMSの利用ポリシーを策定しています。

ローテーション方針

  • 1年に1度、CMKのローテーションとともに、データキーの再発行を行う。

という方針を立てました。

この場合、 自動キーローテーション済みのカスタマーマスターキーが、 過去の暗号化データキーをいつまで復号できるか教えてください。

どう対応すればいいの?

AWS KMS は KMS キーが削除されるまで、ローテーションされたキーマテリアルを削除しません。 過去の暗号化データキーは、期限の制限なく復号できます。

下記資料[2]のp.52〜p.54の内容もご確認ください。

p.52 AWS KMSの鍵管理
p.53 CMK(カスタマーマスターキー)のライフサイクル
p.54 ローテーションの仕組み

参考資料

[1] AWS KMS keys ローテーション - AWS Key Management Service

カスタマーマネージドキーの自動キーローテーションを有効にすると、AWS KMS は KMS キーの新しい暗号化マテリアルを毎年生成します。AWS KMS は KMS キーの古い暗号化マテリアルを永続的に保存して、KMS キーが暗号化したデータの復号に使用します。AWS KMS は KMS キーが削除されるまでローテーションされたキーマテリアルを削除しません。

[2] [AWS Black Belt Online Seminar] AWS Key Management Service

p.54 ローテーションの仕組み ローテーションが行われるとHBKが世代交代する。古いものも保持される。

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

User avatar
SamindaSansaiya
2024.10.18
S3 のクロスアカウントレプリケーションでダウンロード時の kms:Decrypt のエラーを回避するには

S3 のクロスアカウントレプリケーションでダウンロード時の kms:Decrypt のエラーを回避するには

User avatar
hato
2024.09.11
TiDB CloudにてAWS KMSキーを使用した暗号化であるCMEKを使ってみた

TiDB CloudにてAWS KMSキーを使用した暗号化であるCMEKを使ってみた

User avatar
sora
2024.08.30
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.