AWS KMSとは

暗号化キーの作成・管理・利用を制御するフルマネージドのキー管理サービス。AWSサービス（S3・EBS・RDS・DynamoDB等）との統合によりサーバーサイド暗号化を一元管理する。

CMK（Customer Managed Key）はキーポリシー・IAMポリシー・グラントの3つで利用権限を制御する。マルチリージョンキーでクロスリージョンの暗号化・復号が可能。自動キーローテーション（年1回）をサポート。

試験での問われ方

SAAではS3のSSE-S3（Amazonが管理）・SSE-KMS（KMSキーを使用・CloudTrailで監査可能）・SSE-C（顧客提供キー）の使い分けが頻出。監査証跡が必要な場合はSSE-KMS。

Secrets ManagerやParameter Store（SecureString）もKMSで暗号化する。「KMSキーのアクセスを取り消すとデータが読めなくなる」という特性が引っかけになる。

エンベロープ暗号化（データキーをCMKで暗号化する仕組み）のコンセプトはDVA・SCSで問われる。

公式ドキュメントを読む →

このサービスが登場する演習問題（14問）

• 【CLF-C02】ある企業が、AWS CloudHSMを使ってハードウェアセキュリティモジュール（HSM）で暗号化キーを管理することを検討…
• 【AIF-C01】ある金融機関が AWS 上で機密性の高い顧客データを使って機械学習モデルをトレーニングしている。保存中のデータを暗号化す…
• 【SAA-C03】ある金融機関が、機密データを保存する RDS for PostgreSQL データベースを運用している。規制要件として、…
• 【SAA-C03】ある企業が、EC2 インスタンスで動作するアプリケーションに対して、AWS KMS を使って特定のデータを暗号化/復号す…
• 【SAA-C03】ある企業が、AWS で動作するアプリケーションから機密データを含む複数の S3 バケットへの全アクセスを暗号化し、データ…
• 【SAA-C03】ある企業が、Amazon RDS for PostgreSQL に保存されているカード番号などの機密データを、アプリケー…
• 【DVA-C02】あるチームは KMS でデータキーを使ってアプリケーションデータを暗号化しています。大量のデータを効率的に暗号化するため…
• 【DVA-C02】ある企業のアプリケーションは AWS KMS で暗号化された S3 オブジェクトを読み込む Lambda 関数を持ってい…
• 【DVA-C02】ある企業は Parameter Store を使って複数の Lambda 関数に共有設定値を提供しています。一部のパラメ…
• 【DVA-C02】ある企業は S3 に保存する機密ファイルの暗号化キーを自社のオンプレミスキー管理システム（KMS）で管理することが義務付…
• 【DVA-C02】ある企業は AWS KMS の CMK を使用しています。外部の監査会社に対して、特定の期間（30 日間）だけ対象 CM…
• 【DVA-C02】ある企業はグローバルに展開するアプリケーションで、複数のリージョンから KMS で暗号化されたデータを読み書きしています…
• 【SAP-C02】ある企業が AWS KMS でカスタマー管理キー（CMK）を使って S3 バケット内のデータを暗号化しています。コンプラ…
• 【SAP-C02】ある企業が AWS 上でマルチテナントの SaaS アプリケーションを構築しており、テナントごとに独立したデータ暗号化キ…

関連サービス

• AWS IAM
• AWS IAM Identity Center
• Amazon Cognito
• AWS Secrets Manager
• Amazon GuardDuty