専用KMS
このトピックでは、OCIの専用キー管理サービスの概要について説明します。
Dedicated Key Managementサービス(DKMS)は、シングルテナント・ハードウェア・セキュリティ・モジュール(HSM)パーティションを提供する、可用性の高いマネージド・サービスです。これにより、物理的で改ざんに強いHSMデバイス内の専用パーティションに排他的にアクセスでき、暗号化キーが完全に保護および分離されます。
専用KMSでは、キーの生成、ストレージおよび使用を完全に制御して、HSMパーティションを暗号化して所有します。HSMパーティションはFIPS 140-2 Level 3で認定されており、鍵管理に最高レベルのセキュリティーを提供します。このサービスは、暗号化操作を実行するために、OCI APIまたはモジュールを必要とせずに暗号化操作を実行するためにPKCS#11標準をサポートしています。専用KMSは、99.9%の可用性SLAで、自動的に同期され、可用性の高いすべてのOCIリージョンにHSMクラスタを提供します。
専用KMSは次のものを提供します。
- キーだけでなく、HSMパーティションおよび管理ユーザーを直接管理することで、アクセス制御を強化します。
- 強化された制御により、暗号化操作をより詳細に可視化し、HSM環境をニーズに合わせてカスタマイズできます。
- HSMとの直接対話にPKCS#11標準を使用すると、OCI APIをバイパスして、より効率的で効率的な暗号化操作を実現できます。
パーティション職責
Oracleはリージョン内のHSMパーティションおよびキーの高可用性を保証しますが、顧客はHSMクラスタ内のすべてのレプリカ間でユーザーおよびキーを同期する必要があります。1つ以上のレプリカでユーザーおよびキーを使用できないと、特にそれらのユーザーまたはキーを含むパーティションのみが使用できなくなった場合、顧客アプリケーションの可用性に影響する可能性があります。これらの操作の詳細は、Dedicated Key Managementドキュメントのユーザーの作成およびキーの生成を参照してください。
サポートされているクライアントSDK
専用KMSのキーと対話するには、次のクライアントSDKを使用します:
- PKCS#11:この標準では、ハードウェア・セキュリティ・モジュール(HSM)でキーを管理し、暗号化操作を実行するためのAPIを指定します。詳細は、PKCS #11 Libraryを参照してください。
- Java Cryptography Extension (JCE):専用KMSは、Java Development Kit (JDK)を使用して暗号化操作を実行するJCEプロバイダを提供します。詳細は、JCEプロバイダを参照してください。
- Windows CNGおよびKSP: OCI Dedicated Key Managementは、Microsoft Windowsアプリケーション用の暗号化API: 次世代(CNG)およびキー・ストレージ・プロバイダ(KSP)をサポートしています。詳細は、Windows次世代(CNG)およびKey Storage Providers (KSP)を参照してください。
専用のKMSの用語と概念
| 用語 | 説明 |
|---|---|
| HSMクラスタ | クラスタは、OCI KMSが同期を維持する個々のHSMパーティションの集合です。 |
| HSMパーティション(専用) | HSMクラスタ内のシングルテナントのセキュアな暗号化エンクレーブで、キーに対して完全に分離されています。 |
| HSMユーザー | HMSユーザーは、IAMユーザーとは異なります。IAMユーザーとは異なり、資格証明はHSM上で直接行われるため、HSMユーザーはHSM資格証明を使用してユーザー管理ユーティリティにアクセスし、HSMでの操作を認証します。 |
| 集計 | HSMパーティションでユーザー管理操作を実行できるCrypto Officerユーザー。 |
| CU | HSMパーティション内のキーに対してキー管理および暗号化操作を実行できる暗号化ユーザー。 |
| PKCS #11 | PKCS #11はCryptokiとも呼ばれる暗号化インタフェース標準です。これは、アプリケーションと暗号化デバイス間のインタフェースを定義する公開鍵暗号化規格の1つです。 |