What is the AWS KMS eXternal Key Store (XKS) service?

XKS enables next-level control and ownership of keys for a growing range of AWS services that use KMS. With XKS, AWS users can externally generate, host, and manage Root Keys for data encryption keys that are used in AWS KMS.

How does AWS XKS with Fortanix DSM work?

The customer’s Root Keys are generated, protected, and used wholly within Fortanix DSM. AWS KMS calls DSM to unwrap Data Encryption Keys (DEKs) for use by the AWS services it supports.

What are the benefits of AWS XKS and Fortanix Integration?

The user gains full control over the data encryption policies within AWS. This control includes defining where the keys reside, and from where they may be accessed.

What are the benefits of Key provenance in AWS XKS?

Key provenance records metadata such as who created the key, when, what cryptographic model was used, key authorization, and the need for its creation.

What are the benefits of Key centralization in AWS XKS?

Key centralization reduces operational complexity in hybrid multicloud architectures. Keys are always accessible, whether needed on-premises, in AWS, or on other cloud platforms.

What are the benefits of Key control in AWS XKS?

With AWS XKS, organizations can fully control data encryption keys and store them on premises.

Which AWS cloud services are supported by AWS KMS External Key Store?

The use of custom key stores is completely transparent to AWS KMS users. As such, all 100+ AWS services that use KMS can access XKS key stores.

How can AWS XKS integrate with Fortanix DSM?

Fortanix DSM is available as an on-premises solution and SaaS offering with a FIPS 140-2 Level 3 certified™ HSM protection.

How does international data transfer from Europe work with Fortanix?

Fortanix BV (Netherlands office) is a separate European entity. We have datacenters in Europe. Any European entity would not be allowed by contract to transfer information to the USA, and this entity's ownership doesn't allow an American court to request the encryption keys through the Cloud Act.

How does Fortanix DSM as XKS affect KMS service reliability and performance?

Using the on-premises DSM or DSM SaaS as an External Key Store makes your services dependent on the availability of the DSM solution. Fortanix defines a Service Level Agreement for DSM SaaS, and the availability of on-premises DSM clusters may be impacted by network connectivity, firewall rules, and so on.

What is the latency of the XKS service offered by DSM SaaS?

The network trip outside AWS to open KMS key envelopes should be considered when defining the total application’s latency budget. The extra latency is directly related to the network distance between AWS and the DSM SaaS service.

Do AWS Services cache Data Encryption Keys serve by AWS KMS? For how long?

Fortanix has no control over KMS or the services that use it, and no insight into how long those services keep the keys that they are served. While we have observed that some services do cache their keys for a short time, Fortanix has no control over this behavior.

AWS外部キーストア(外部キーストア)

Home > FAQ > AWS外部キーストア(外部キーストア)

Content

AWS外部キーストア(外部キーストア)

AWS 外部キーストア外部キーストアサービスとは何ですか？

AWSは2022年11月に開催されたAWS re:Inventカンファレンスで、キーマネジメントサービス（KMS）の外部キーストア（外部キーストア）サポートを発表した。

外部キーストアは、KMSを使用するAWSサービスの種類を増やし、鍵の次レベルの制御と所有権を可能にします。外部キーストアにより、AWSユーザーはAWS KMSで使用されるデータ暗号化キーのルートキーを外部で生成、ホスト、管理できる。

Fortanix データセキュリティマネージャ(DSM) とAWS 外部キーストアの統合により、企業はFortanix DSMに保存された鍵でAWSのデータを保護できます。

この機能により、Fortanix の顧客は、金融サービスやヘルスケアなどの高度に規制された業界のプライバシーに敏感なワークロードをパブリッククラウドに移行し、最も厳しいデータプライバシー規制に準拠できるようになります。

AWS 外部キーストアと Fortanix DSM はどのように機能しますか?

次の図に示すように、外部キーストアを使用すると、AWS キーマネジメントサービスが顧客管理の外部ルートキーを使用できるようになり、顧客によるキー管理とデータ保護の取り組みの制御が強化されます。

顧客のルートキーは、すべて Fortanix データセキュリティマネージャ(DSM) 内で生成、保護され、使用されます。 AWS キーマネジメントサービスはデータセキュリティマネージャ(DSM) を呼び出して、サポートする AWS サービスで使用できるデータ暗号化キー (DEK) のラップを解除します。

データセキュリティマネージャ(DSM) は、きめ細かいアクセス制御とキー使用ポリシーを適用します。外部キーストアによって保護された DEK は、キーマネジメントサービスによって 1 回、データセキュリティマネージャ(DSM) によって 1 回という二重にエンベロープ (暗号化) されます。

キーマネジメントサービスクライアントがキーを使用するたびに、キーマネジメントサービスは Fortanix データセキュリティマネージャ(DSM) に青い封筒を開くように要求し、復号化するために灰色の封筒をクライアントに送り返します。このようにして、Fortanix が顧客のキーを確認することはありません。

AWS 外部キーストアと Fortanix の統合の利点は何ですか?

ユーザーは、AWS 内のデータ暗号化ポリシーを完全に制御できます。この制御には、キーが存在する場所と、キーにアクセスできる場所の定義が含まれます。

データセキュリティマネージャ(DSM) は詳細な監査ログを提供するため、顧客は自社のセキュリティ管理が GDPR などの規制 (シュレムス II 判決で定義された制限を含む) に準拠していることを証明できます。

AWS は強力なキー保護を提供しており、Fortanix はこれらの機能と競合しません。代わりに、Fortanix は外部のきめ細かなアクセス制御による職務の分離を提供します。

AWS 外部キーストアのキーの出所の利点は何ですか?

キーの来歴には、誰がキーを作成したか、いつ、どの暗号モデルが使用されたか、キーの認可、作成の必要性などのメタデータが記録されます。

キーの来歴はキーのライフサイクル全体にわたって適用され、キーがどのように保存、アクセス、使用、破棄されるかについての詳細を提供します。

組織は、主要な発行元、場所、バックアップ履歴、その他の特性を追跡できます。

AWS 外部キーストアでのキーの一元化の利点は何ですか?

主要な集中化により、ハイブリッドマルチクラウドアーキテクチャにおける運用の複雑さが軽減されます。オンプレミス、AWS、またはその他のクラウドプラットフォームで必要な場合でも、キーには常にアクセスできます。

ユーザーに以下を提供します。

安全なデータと暗号化キーを分離し (職務分離)、パブリッククラウドでのワークロードの実行を可能にするベストプラクティスセキュリティ。
キーを保存し、ライフサイクルを制御して秘密の拡散を減らすための単一の記録システム。
統一されたワークフローとアクセスポリシーにより、新しい開発者のオンボーディングプロセスと監査プロセスが簡素化されます。

AWS 外部キーストアのキー制御の利点は何ですか?

AWS 外部キーストアを使用すると、組織はデータ暗号化キーを完全に制御し、オンプレミスに保存できます。

これによって、例えばCLOUD ACTの下で義務付けられる可能性のある、AWSの鍵やデータへのアクセスを禁止することができる。

組織は、鍵のアクセスと使用を管理し、ルート鍵の完全な出所を維持することができる。

AWS キーマネジメントサービス外部キーストアがサポートするAWSクラウドサービスは？

カスタムキーストアの使用は、AWS キーマネジメントサービスユーザーにとって完全に透過的です。そのため、キーマネジメントサービスを使用する 100 以上の AWS サービスはすべて外部キーストアキーストアにアクセスできます。

AWS キーマネジメントサービスチームは、外部キーストアを使用するための各サービスの機能を検証し、文書化しています。

AWS によると、キーマネジメントサービスの最大の消費者は次のとおりです。

アマゾンS3
Amazon DynamoDB
AWSラムダ
Amazon シンプル通知サービスcation Service
Amazon シンプルキューサービス (SQS)
アマゾンキネシス

AWS 外部キーストアはどのようにして Fortanix データセキュリティマネージャ(DSM) と統合できますか?

Fortanix データセキュリティマネージャ(DSM) は、FIPS 140-2 レベル 3 認定™ハードウェアセキュリティモジュール保護を備えたオンプレミスソリューションおよび SaaS 製品として利用できます。

AWS外部キーストアとデータセキュリティマネージャ(DSM) SaaS の統合では、AWS サービスは Fortanixデータセキュリティマネージャ(DSM) サービスにアクセスして顧客のルートキーにアクセスします。
オンプレミスの Fortanixデータセキュリティマネージャ(DSM) クラスターの場合、お客様は AWS からのネットワークアクセスを許可する必要があります。

ヨーロッパからの国際データ転送は Fortanix でどのように機能しますか?

Fortanix BV (オランダ事務所) は、ヨーロッパの独立した事業体です。当社はヨーロッパにデータセンターを持っています。

欧州のいかなる事業体も米国に情報を転送することは契約により許可されておらず、この事業体の所有権により、アメリカの裁判所がクラウド法を通じて暗号化キーを要求することは許可されていません。

XKS としての Fortanix DSM は、KMS サービスの信頼性とパフォーマンスにどのような影響を与えますか?

オンプレミスのデータセキュリティマネージャ(DSM) またはデータセキュリティマネージャ(DSM) SaaS を外部キーストアとして使用すると、サービスは DSM ソリューションの可用性に依存するようになります。

Fortanix はデータセキュリティマネージャ(DSM) SaaS のサービスレベルアグリーメントを定義しており、オンプレミスデータセキュリティマネージャ(DSM) クラスターの可用性はネットワーク接続、ファイアウォールルールなどの影響を受ける可能性があります。

外部キーストアを使用するかどうかは、データ保護と可用性の両方の要件を念頭に置いて決定する必要があり、この 2 つの間のトレードオフを考慮する必要があります。

データセキュリティマネージャ(DSM)SaaS によって提供される外部キーストアサービスのレイテンシはどれくらいですか?

アプリケーションの合計レイテンシバジェットを定義する際には、キーマネジメントサービスキーエンベロープを開くために AWS の外へネットワークを移動することを考慮する必要があります。

追加のレイテンシーは、AWS とデータセキュリティマネージャ(DSM) SaaS サービス間のネットワーク距離に直接関係します。

分散を使用してテストします。 ICMP Ping サービス 1 は次のことを提案します。

米国本土の POP と amer.smartkey.io の間は 1 ～ 20 ミリ秒
ヨーロッパ大陸からeu.smartkey.ioまで約1ミリ秒
アジア太平洋地域のさまざまな国と apac.smartkey.io の間で 40 ～ 50 ミリ秒
シドニーとau.smartkey.io間のミリ秒未満。

もちろん、これらの数値はネットワークの状況によって異なる場合があります。

AWS サービスは、AWS KMS によって提供されるデータ暗号化キーをキャッシュしますか?どれだけの時間？

Fortanix は、キーマネジメントサービスまたはそれを使用するサービスを制御することができず、それらのサービスが提供されるキーを保持する期間についての洞察もありません。

一部のサービスがキーを短期間キャッシュすることが確認されていますが、Fortanix はこの動作を制御できません。

テクニカルサポートプログラム

カスタマーサクセスサービス

Fortanix カスタマーサクセスサービス

Fortanix サポートプログラム

Content