【KMS】自動キーローテーション済みのカスタマーマスターキーが、過去の暗号化データキーをいつまで復号できるか教えてください

2022.03.27

困っていた内容

社内でKMSの利用ポリシーを策定しています。

ローテーション方針

  • 1年に1度、CMKのローテーションとともに、データキーの再発行を行う。

という方針を立てました。

この場合、 自動キーローテーション済みのカスタマーマスターキーが、 過去の暗号化データキーをいつまで復号できるか教えてください。

どう対応すればいいの?

AWS KMS は KMS キーが削除されるまで、ローテーションされたキーマテリアルを削除しません。 過去の暗号化データキーは、期限の制限なく復号できます。

下記資料[2]のp.52〜p.54の内容もご確認ください。

p.52 AWS KMSの鍵管理
p.53 CMK(カスタマーマスターキー)のライフサイクル
p.54 ローテーションの仕組み

参考資料

[1] AWS KMS keys ローテーション - AWS Key Management Service

カスタマーマネージドキーの自動キーローテーションを有効にすると、AWS KMS は KMS キーの新しい暗号化マテリアルを毎年生成します。AWS KMS は KMS キーの古い暗号化マテリアルを永続的に保存して、KMS キーが暗号化したデータの復号に使用します。AWS KMS は KMS キーが削除されるまでローテーションされたキーマテリアルを削除しません。

[2] [AWS Black Belt Online Seminar] AWS Key Management Service

p.54 ローテーションの仕組み ローテーションが行われるとHBKが世代交代する。古いものも保持される。