S3をKMS(Key Management Service)を利用して暗号化してみた

  • 投稿者:
  • 投稿カテゴリー:未分類

(KMS)暗号化のメリット

※正しくアクセス制御できれば、AWSの中の人がデータ閲覧することを防げるくらい(実質不可能のはず)で、そこまでメリットに感じてはいない。
・PCI DSSなどの要件を実現可能。
・誤ってS3を公開したとき閲覧できない。
([Requests specifying Server Side Encryption with AWS KMS managed keys require AWS Signature Version 4.]というエラーとなる)

KMS暗号化のデメリット

・キーを削除すると、永遠にファイルを復号化できない。
(ただし削除ボタンはなく、*日後に削除するという仕組みなので誤削除しにくくなっている。)

・KMSの利用料金が発生する。
・KMSに利用制限がある。
・KMS障害発生のリスク。

仕組み

データを鍵で暗号化し、その鍵をマスターキーで暗号化する。マスターキーはKMSにて管理される。
参考:10分でわかる!Key Management Serviceの仕組み

設定

KMS

S3

既存のS3を暗号化する場合

以下のようなコマンドで、ひとつずつ暗号化する必要がある。

# aws s3 cp s3://${bucket_name} s3://${bucket_name} --recursive --sse

参考:S3の暗号化についてまとめてみた(2018年6月版)