KMS(Key Management Service)

[更新日: 2025年5月2日]

「KMS」の仕様詳細や作成・利用方法についての説明ページです。

注意

本サービスはβ版提供となります。
またお申し込みの際には後述の事前申請が必要となることをご了承ください。

概要

KMS(Key Management Service)はデータ暗号化に用いられる暗号鍵の作成、保管、削除などを含むライフサイクル管理を行うためのサービスです。

作成された暗号鍵は FIPS 140-2 level 3 認証を受けた HSM と連携して保護されます。

暗号鍵単位でデータ暗号化に対応した他サービス、もしくは機能と連携することにより、お客様データをより安全に保管することが可能となります。

用語

当サービスで用いられる用語と説明を以下に示します。

用語

説明

KMSキー

お客様が作成した暗号鍵の当サービス内での呼称です。

連携可能サービス

現在 KMS との連携に対応しているサービスは「シークレットマネージャ」です。

リソース単位と料金

お客様が作成された KMS キー単位での課金が行われます。 KMS キーが作成されてから削除されるまでの間課金が行われます。 現在はβサービス中につき、無償で提供されます。

項目

詳細

サービス利用料金

βサービスにつき無償(KMSキー管理のみ)

管理対象

KMSキー(鍵暗号鍵、KEK)

注意事項

現在、KMS キーの削除に際して回復可能期間を設けていないため、データ暗号化に対応した他サービス(例:シークレットマネージャ)のリソースに指定した KMS キーを削除した場合、該当リソースが保持する暗号化データは即座に失われ、回復ができなくなります。

現在、KMS キーのローテーション(暗号鍵の更新)機能には対応しておりません。

現在、KMS キーを用いた任意のお客様データの暗号化・復号には対応しておりません。

現在、KMS キーは対称鍵(AES 256 bit 鍵)のみに対応しております。

利用手順

利用申請(事前審査)

画面上部の「オプション」の項目より表示される「エクストラサービス」を選択します。

[オプション]-[エクストラサービス]の選択

「エクストラサービス」の作成ボタンをクリックし、サービスの項目より「KMS」を選択します。

[オプション]-[エクストラサービス]-[KMS]の申し込み

当社にて申請内容の審査を実施し、審査結果につきましてはご契約者様へメールにてご連絡を行っております。

※審査には5営業日程度かかる場合がございます。

利用の流れ

  1. コントロールパネルへのアクセス コントロールパネルにログインし、「KMSキー」メニューを開きます。

  2. KMSキーの作成 新規にKMSキーを作成することで、サービスの利用が開始されます。

  3. 他サービスリソースへのKMSキーの連携 作成したKMSキーを連携サービス側の設定で指定する事でご利用いただけます。

コントロールパネルへのアクセス

注釈

KMSキーはゾーンに依存しないグローバルリソースです。そのため、KMSキーの一覧画面には選択中のプロジェクト内で作成したすべてのKMSキーが表示されます。

左メニューの「グローバル」カテゴリ内にある「KMSキー」をクリックします。作成済みのKMSキーがある場合はメイン画面内にリスト表示されます。新規に作成する場合は「追加」ボタンをクリックします。

[グローバル]-[KMSキー]の表示

KMSキーの作成

「追加」ボタンのクリックによりKMSキーの新規作成画面が表示されるので、必要な項目を選択・入力し、作成ボタンをクリックします。

KMSキーの新規作成画面(自動生成)

各項目の説明は以下の通りです。

項目

説明

キー生成方法(必須)

「自動生成」もしくは「BYOK」から選べます。

プレーン鍵

キー生成方法に「BYOK」を選んだときだけ入力可能です。
お手元で生成した 256 bit 長の暗号鍵を base64 エンコードした状態で入力します。

名前

コントロールパネル上でKMSキーを識別するための名前を入力します。

説明

リソースの説明を記入できます。

タグ

コントロールパネル上でフィルタに便利なタグを設定できます。

キー生成方法を「自動生成」とした時、暗号鍵は FIPS 140-2 level 3 認証を受けた HSM によって生成された暗号論的にセキュアなものが用いられます。

「*」と表示されている項目はは必須項目です。

BYOKモードの利用

法的要件などの背景があり暗号鍵の生成と持ち込みを希望されるお客様は、BYOKモードをご利用いただけます。

アップロード時に暗号鍵に追加の暗号化を行わず、平文での送信を行うことにご留意ください。なお、通信路は HTTPS により暗号化されております。

KMSキーの新規作成画面(BYOK)

Linux システム等において、プレーン鍵フィールドに入力するデータフォーマットを作成できるサンプルコマンドを下記に示します。

これはフォーマット確認用のサンプルであり暗号論的にセキュアな生成方法ではありませんので、実際の暗号鍵の生成には別途安全な乱数生成器を用いてください。

$ dd if=/dev/urandom bs=32 count=1 2>/dev/null | base64
AfL5zzjD4RgeFQm3vvAADwPNrurNUc616877wsa8v4w=

KMS キーの削除

KMSキー一覧画面から対象のKMSキーをダブルクリック、または選択後に「詳細」をクリックするとKMSキー詳細画面が表示されます。

KMSキーの詳細表示方法

詳細画面内の「KMSキーを削除」ボタンをクリックすることで作成済みのKMSを削除できます。

KMSキーの削除

APIの利用

APIの詳細なドキュメントにつきましては、以下のリンクからご参照ください。
KMS/SecretManager/CloudHSM API ドキュメント

API エンドポイント

https://secure.sakura.ad.jp/cloud/zone/{ゾーン名}/api/cloud/1.1/kms

※ ゾーン名は、提供中の全てのゾーンで有効です。

主要な API 操作

  • GET /keys KMSキーの一覧を取得します。

  • POST /keys 新規KMSキーを作成します。

  • GET /keys/{resource_id} 指定したKMSキーの詳細情報を取得します。

  • PUT /keys/{resource_id} 指定したKMSキーの情報を更新します。

  • DELETE /keys/{resource_id} 指定したKMSキーを削除します。

よくある質問

Q.KMSキーはいくつまで作成できますか?
A.クラウドプロジェクト1つにつき、100個としています。

Q.KMSキーの取り出し、バックアップはできますか?
A.できません。KMSキーはHSM機器と連携し保存・管理されており、外部への取り出しやバックアップはサポートしておりません。